Condividi tramite


Elencare le assegnazioni di ruolo di Microsoft Entra

Questo articolo descrive come elencare i ruoli assegnati in Microsoft Entra ID. In Microsoft Entra ID i ruoli possono essere assegnati in un ambito a livello di organizzazione o di applicazione singola.

  • Le assegnazioni di ruolo nell'ambito dell'organizzazione vengono aggiunte a e possono essere visualizzate nell'elenco delle singole assegnazioni di ruolo dell'applicazione.
  • Le assegnazioni di ruolo nell'ambito dell'applicazione singola non vengono aggiunte a e non possono essere visualizzate nell'elenco delle assegnazioni con ambito a livello di organizzazione.

Prerequisiti

  • Modulo di Microsoft Graph PowerShell quando si usa PowerShell
  • Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Questa procedura descrive come elencare le assegnazioni di ruolo con ambito a livello di organizzazione.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.

  3. Selezionare un ruolo per aprirlo e visualizzarne le proprietà.

  4. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

    Elencare le assegnazioni di ruolo e le autorizzazioni quando si apre un ruolo dall'elenco

Elencare le assegnazioni di ruolo

È facile elencare anche le proprie autorizzazioni. Selezionare Your Role (Ruolo dell'utente) sulla pagina Roles and administrators (Ruoli e amministratori) per visualizzare i ruoli attualmente assegnati all'utente.

Elencare le assegnazioni di ruolo

Scarica assegnazioni di ruolo

Per scaricare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati, seguire questa procedura (attualmente in anteprima).

  1. Nella pagina Ruoli e amministratori selezionare Tutti i ruoli.

  2. Selezionare Scarica assegnazioni.

    Viene scaricato un file CSV che elenca le assegnazioni in tutti gli ambiti per tutti i ruoli.

    Screenshot che mostra il download di tutte le assegnazioni di ruolo.

Per scaricare tutte le assegnazioni per un ruolo specifico, seguire questa procedura.

  1. Nella pagina Ruoli e amministratori selezionare un ruolo.

  2. Selezionare Scarica assegnazioni.

    Un file CSV che elenca le assegnazioni in tutti gli ambiti per tale ruolo viene scaricato.

    Screenshot che mostra il download di tutte le assegnazioni per un ruolo specifico.

Elencare le assegnazioni di ruolo con ambito applicazione singola

Questa sezione descrive come elencare le assegnazioni di ruolo con ambito applicazione singola. Questa funzionalità è attualmente in anteprima pubblica.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Identità>Applicazioni>Registrazioni app.

  3. Selezionare la registrazione dell'app per visualizzarne le proprietà. Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nell'organizzazione Microsoft Entra.

    Creare o modificare le registrazioni dell'app dalla pagina Registrazioni app

  4. Nella registrazione dell'app selezionare Ruoli e amministratori e quindi selezionare un ruolo per visualizzarne le proprietà.

    Elencare le assegnazioni di ruolo di registrazione dell'app dalla pagina Registrazioni app

  5. Selezionare Assegnazioni per elencare le assegnazioni di ruolo. L'apertura della pagina assegnazioni dall'interno della registrazione dell'app mostra le assegnazioni di ruolo che hanno come ambito questa risorsa Microsoft Entra.

    Elencare le assegnazioni di ruolo di registrazione dell'app dalle proprietà di una registrazione dell'app

PowerShell

Questa sezione descrive la visualizzazione delle assegnazioni di un ruolo con ambito a livello di organizzazione. Questo articolo usa il modulo di PowerShell di Microsoft Graph. Per visualizzare le assegnazioni di ambito a applicazione singola tramite PowerShell, è possibile usare i cmdlet in Assegnare ruoli personalizzati con PowerShell.

Usare i comandi Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo.

Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per il ruolo Amministratore gruppi.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Nell'esempio seguente viene illustrato come elencare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati (attualmente in anteprima).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API di Microsoft Graph

Questa sezione descrive come elencare le assegnazioni di ruolo con ambito a livello di organizzazione. Per elencare le assegnazioni di ruolo con ambito applicazione singola usando l'API Graph, è possibile usare le operazioni in Assegnare ruoli personalizzati con l'API Graph.

Usare l'API List unifiedRoleAssignments per ottenere le assegnazioni di ruolo per una definizione di ruolo specifica. Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per una definizione di ruolo specifica con l'ID 00000000-0000-0000-0000-000000000000.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Passaggi successivi