列出 Azure AD 角色指派

本文說明如何列出您在 Azure Active Directory (Azure AD) 中指派的角色。 在 Azure Active Directory (Azure AD) 中,您可以在整個組織的範圍或單一應用程式的範圍中指派角色。

  • 在整個組織範圍中的角色指派會新增至單一應用程式角色指派清單,而且可以在其中看到。
  • 在單一應用程式範圍中的角色指派不會新增至整個組織範圍的指派清單,而且不會在其中看到。

必要條件

  • 使用 PowerShell 時的 AzureAD 模組
  • 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件

Azure 入口網站

此程序說明如何列出具有整個組織範圍的角色指派。

  1. 登入 Azure 入口網站Azure AD 系統管理中心

  2. 選取 [Azure Active Directory] > [角色和系統管理員],然後選取要開啟並檢視其屬性的角色。

  3. 選取 [指派],列出其角色指派。

    List role assignments and permissions when you open a role from the list

列出我的角色指派

您也可以輕鬆列出自己的權限。 在 [角色和系統管理員] 頁面中選取 [您的角色],即可查看目前已指派給您的角色。

List my role assignments

下載角色指派

若要下載所有角色的所有作用中角色指派 (包括內建和自訂角色),請遵循下列步驟 (目前為預覽版)。

  1. 在 [角色和系統管理員] 頁面上,選取 [所有角色]。

  2. 選取 [下載指派]。

    這會下載 CSV 檔案,而此檔案列出所有角色在所有範圍的指派。

    Screenshot showing download all role assignments.

若要下載特定角色的所有指派,請遵循下列步驟。

  1. 在 [角色和系統管理員] 頁面上,選取角色。

  2. 選取 [下載指派]。

    這會下載 CSV 檔案,其中列出該角色在所有範圍中的指派。

    Screenshot showing download all assignments for a specific role.

列出具有單一應用程式範圍的角色指派

本節說明如何列出具有單一應用程式範圍的角色指派。 此功能目前為公開預覽狀態。

  1. 登入 Azure 入口網站Azure AD 系統管理中心

  2. 依序選取 [Azure Active Directory] > [應用程式註冊],接著選取要檢視其屬性的應用程式註冊。 您可能必須選取 [所有應用程式] 才能查看 Azure AD 組織中的完整應用程式註冊清單。

    Create or edit app registrations from the App registrations page

  3. 在應用程式註冊中,選取 [角色和系統管理員],然後選取要檢視其屬性的角色。

    List app registration role assignments from the App registrations page

  4. 選取 [指派],列出其角色指派。 應用程式註冊內會開啟指派頁面,顯示範圍設定為此 Azure AD 資源的角色指派。

    List app registration role assignments from the properties of an app registration

PowerShell

本節說明針對具有整個組織範圍的角色檢視其指派。 本文使用 Azure Active Directory PowerShell 第 2 版模組。 若要使用 PowerShell 檢視單一應用程式範圍的指派,您可以利用使用 PowerShell 指派自訂角色 中的 Cmdlet。

使用 Get-AzureADMSRoleDefinitionGet-AzureADMSRoleAssignment 命令來列出角色指派。

下列範例顯示如何列出群組管理員角色的角色指派。

# Fetch list of all directory roles with template ID
Get-AzureADMSRoleDefinition

# Fetch a specific directory role by ID
$role = Get-AzureADMSRoleDefinition -Id "fdd7a751-b60b-444a-984c-02652fe8fa1c"

# Fetch membership for a role
Get-AzureADMSRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
RoleDefinitionId                     PrincipalId                          DirectoryScopeId
----------------                     -----------                          ----------------
fdd7a751-b60b-444a-984c-02652fe8fa1c 04f632c3-8065-4466-9e30-e71ec81b3c36 /administrativeUnits/3883b136-67f0-412c-9b...

下列範例顯示如何列出所有角色的所有作用中角色指派,包括內建和自訂角色 (目前為預覽版)。

$roles = Get-AzureADMSRoleDefinition
foreach ($role in $roles)
{
  Get-AzureADMSRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
RoleDefinitionId                     PrincipalId                          DirectoryScopeId Id
----------------                     -----------                          ---------------- --
e8611ab8-c189-46e8-94e1-60213ab1f814 9f9fb383-3148-46a7-9cec-5bf93f8a879c /                uB2o6InB6EaU4WAhOrH4FHwni...
e8611ab8-c189-46e8-94e1-60213ab1f814 027c8aba-2e94-49a8-974b-401e5838b2a0 /                uB2o6InB6EaU4WAhOrH4FEqdn...
fdd7a751-b60b-444a-984c-02652fe8fa1c 04f632c3-8065-4466-9e30-e71ec81b3c36 /administrati... UafX_Qu2SkSYTAJlL-j6HL5Dr...
...

Microsoft Graph API

本節說明如何列出具有整個組織範圍的角色指派。 若要使用圖形 API 列出單一應用程式範圍的角色指派,您可以利用使用圖形 API 指派自訂角色中的作業。

使用 List unifiedRoleAssignments API 來取得特定角色定義的角色指派。 下列範例顯示如何列出識別碼為 3671d40a-1aac-426c-a0c1-a3821ebd8218 的特定角色定義的角色指派。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments&$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

回應

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

後續步驟