Вывод списка назначений ролей Microsoft Entra

  • Статья

В этой статье описывается, как перечислить роли, назначенные в идентификаторе Microsoft Entra. В идентификаторе Microsoft Entra роли можно назначать в область на уровне организации или с одним приложением область.

  • Назначения ролей в масштабе организации добавляются в и могут отображаться в списке назначений ролей для одного приложений.
  • Назначения ролей в области одного приложения не добавляются и не отображаются в списке назначений в масштабе организации.

Необходимые компоненты

  • Модуль Microsoft Graph PowerShell при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В этой процедуре описывается, как вести список назначений ролей в масштабе организации.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к ролям удостоверений>и администраторам.>

  3. Выберите роль, чтобы открыть ее и просмотреть ее свойства.

  4. Чтобы вывести список назначений ролей, выберите Назначения.

    List role assignments and permissions when you open a role from the list

Список моих назначений ролей

Вы также можете составить список собственных разрешений. Выберите Ваша роль на странице Роли и администраторы, чтобы увидеть роли, назначенные вам сейчас.

List my role assignments

Загрузка назначений ролей

Чтобы скачать все активные назначения ролей во всех ролях, включая встроенные и настраиваемые роли, выполните следующие действия (в настоящее время в предварительной версии):

  1. На странице Роли и администраторы выберите Все роли.

  2. Выберите Скачать назначения.

    Будет загружен CSV-файл, в котором перечислены назначения для всех областей этой роли.

    Screenshot showing download all role assignments.

Чтобы скачать все назначения для определенной роли, выполните следующие действия.

  1. На странице Роли и администраторы выберите роль.

  2. Выберите Скачать назначения.

    Будет загружен CSV-файл, в котором перечисляются назначения для всех областей этой роли.

    Screenshot showing download all assignments for a specific role.

Составление списка назначений ролей в области одного приложения

В этом разделе описывается, как составить список назначений ролей в области одного приложения. Эта функция сейчас доступна в виде общедоступной предварительной версии.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к приложениям> удостоверений>Регистрация приложений.

  3. Выберите регистрацию приложения, чтобы просмотреть его свойства. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.

    Create or edit app registrations from the App registrations page

  4. В окне регистрации приложения выберите Роли и администраторы, а затем выберите роль, чтобы просмотреть ее свойства.

    List app registration role assignments from the App registrations page

  5. Чтобы вывести список назначений ролей, выберите Назначения. Открытие страницы назначений из регистрации приложения показывает назначения ролей, которые область в этот ресурс Microsoft Entra.

    List app registration role assignments from the properties of an app registration

PowerShell

В этом разделе описывается просмотр назначений роли в масштабе организации. В этой статье используется модуль Microsoft Graph PowerShell . Для просмотра области назначений с одним приложением с помощью PowerShell можно использовать командлеты в Назначение настраиваемых ролей в PowerShell.

Используйте команды Get-MgRoleManagementDirectoryRoleDefinition и Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей.

В следующем примере показано, как вывести список назначений ролей для роли Администратор групп.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

В следующем примере показано, как вывести список всех активных назначений ролей во всех ролях, включая встроенные и настраиваемые роли (в настоящее время в предварительной версии).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API Microsoft Graph

В этом разделе описывается, как составить список назначений ролей в масштабе организации. Чтобы составить список назначений ролей области одного приложения с помощью API Graph, можно использовать операции в Назначении настраиваемых ролей с API Graph.

Чтобы получить назначения роли для указанного определения роли, используйте API List unifiedRoleAssignments. В следующем примере показано, как получить список назначений ролей для конкретного определения роли с идентификатором 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Следующие шаги