Wyświetlanie listy przypisań ról w usłudze Microsoft Entra

Wyświetlanie listy przypisań ról

Można również łatwo wyświetlić własne uprawnienia. Na stronie Role i administratorzy wybierz pozycję Twoja rola, aby wyświetlić role, które są aktualnie przypisane do Ciebie.

Wyświetlanie listy przypisań ról dla użytkownika

Wykonaj następujące kroki, aby wyświetlić listę ról firmy Microsoft dla użytkownika przy użyciu centrum administracyjnego firmy Microsoft Entra. Twoje doświadczenie będzie się różnić w zależności od tego, czy masz włączoną usługę Microsoft Entra Privileged Identity Management (PIM).

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do Identity>Users>Wszyscy użytkownicy.

3. Wybierz nazwa użytkownika >przypisane role.

   Listę ról przypisanych do użytkownika można wyświetlić na różnych poziomach. Ponadto można sprawdzić, czy rola została przypisana bezpośrednio, czy za pośrednictwem grupy.

   

   Jeśli masz licencję Microsoft Entra ID P2, zobaczysz środowisko PIM, które zawiera informacje o przypisaniu ról, które są kwalifikujące się, aktywne lub wygasłe.

   

Wyświetlanie listy przypisań ról dla grupy

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przeglądaj Identity>Groups>Wszystkie grupy.

3. Wybierz grupę z możliwością przypisywania ról.

   Aby określić, czy grupa może być przypisana do roli, możesz wyświetlić Właściwości grupy.

4. Wybierz pozycję Przypisane role.

   Możesz teraz zobaczyć wszystkie role Microsoft Entra przypisane do tej grupy. Jeśli nie widzisz opcji Przypisane role, grupa nie jest grupą z możliwością przypisywania ról.

   

Pobieranie przypisań ról

Aby pobrać wszystkie aktywne przypisania ról dla wszystkich ról, w tym wbudowane i niestandardowe role, wykonaj następujące kroki.

Operacje zbiorcze mogą działać maksymalnie przez 1 godzinę i napotykają ograniczenia w dużych klientach. Aby uzyskać więcej informacji, zobacz operacje zbiorcze oraz tworzenie użytkowników zbiorczo w usłudze Microsoft Entra ID.

1. Na stronie Role i administratorzy wybierz pozycję Wszystkie role.

2. Wybierz pozycję Pobierz przypisania.

   

3. Określ nazwę pliku i wybierz pozycję Rozpocznij pobieranie.

   Pobierany jest plik CSV, który zawiera listę przypisań we wszystkich zakresach dla wszystkich ról.

Aby pobrać przypisania ról dla określonej roli, wykonaj następujące kroki.

1. Na stronie Role i administratorzy wybierz rolę.

2. Wybierz pozycję Pobierz przypisania.

   Jeśli masz licencję Microsoft Entra ID P2, zobaczysz środowisko usługi PIM. Wybierz pozycję Eksportuj, aby pobrać przypisania ról.

   Plik CSV, który zawiera listę przypisań we wszystkich zakresach dla tej roli, jest pobierany.

Lista przypisań ról z zakresem dzierżawy

W tej procedurze opisano sposób wyświetlania listy przypisań ról z zakresem dzierżawy.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do >i administratorzy Role i administratorzy.>

3. Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.

   

4. Wybierz pozycję Przypisania , aby wyświetlić listę przypisań ról.

   

5. W kolumnie zakresu , zobacz przypisania ról z zakresem Directory.

Wyświetl listę przypisań ról w zakresie rejestracji aplikacji

W tej sekcji opisano sposób wyświetlania listy przypisań ról z zakresem pojedynczej aplikacji.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do aplikacji > Rejestracje aplikacji.

3. Wybierz rejestrację aplikacji dla listy przypisań ról, które chcesz wyświetlić.

   Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji firmy Microsoft Entra.

4. Wybierz role i administratora.

5. Wybierz nazwę roli, aby otworzyć rolę.

6. Wybierz pozycję Przypisania , aby wyświetlić listę przypisań ról.

   Otwarcie strony przypisania z poziomu rejestracji aplikacji pokazuje przypisania ról, które są ograniczone do tego zasobu Firmy Microsoft Entra.

   

7. W kolumnie Zakres zobacz przypisania ról dla zakresu Tego zasobu.

Lista przypisań ról z zakresem jednostki administracyjnej

Można wyświetlić wszystkie przypisania ról utworzone z zakresem jednostki administracyjnej w sekcji Jednostki administracyjne centrum administracyjnego Microsoft Entra.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do Tożsamości>Role & Administratorów>Jednostki administracyjne.

3. Wybierz jednostkę administracyjną dla listy przypisań ról, które chcesz wyświetlić.

4. Wybierz role i administratora.

5. Wybierz nazwę roli, aby otworzyć rolę.

6. Wybierz pozycję Przypisania , aby wyświetlić listę przypisań ról.

   

7. W kolumnie Zakres sprawdź przypisania ról w zakresie tego zasobu.

W tej sekcji opisano wyświetlanie przypisań roli z zakresem dzierżawy. W tej sekcji użyto modułu programu Microsoft Graph PowerShell .

Konfiguracja

1. Zainstaluj moduł programu Microsoft Graph przy użyciu Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Użyj polecenia Connect-MgGraph, aby zalogować się i używać poleceń cmdlet programu PowerShell programu Microsoft Graph.

   Connect-MgGraph
   

Wyświetl przypisania ról w zakresie dzierżawy

Użyj poleceń Get-MgRoleManagementDirectoryRoleDefinition i Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról.

W poniższym przykładzie pokazano, jak wyświetlić listę przypisań ról dla roli Administrator grup.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Na poniższym przykładzie pokazano, jak wypisać wszystkie aktywne przypisania ról we wszystkich rolach, w tym w rolach wbudowanych i niestandardowych.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Wyświetlanie listy przypisań ról dla podmiotu zabezpieczeń

Użyj polecenia Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról dla użytkownika.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Lista bezpośrednich i przechodnich przypisań ról dla podmiotu

Użyj interfejsu API List transitiveRoleAssignments, aby uzyskać role przypisane bezpośrednio i przechodnio do użytkownika.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Lista przypisań ról dla grupy

Aby uzyskać grupę, użyj polecenia Get-MgGroup.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Użyj polecenia Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról dla grupy.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Wyświetl listę przypisań ról z zakresem jednostki administracyjnej

Użyj polecenia Get-MgDirectoryAdministrativeUnitScopedRoleMember, aby wyświetlić listę przypisań ról z zakresem jednostki administracyjnej.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

W tej sekcji opisano sposób wyświetlania listy przypisań ról z zakresem dzierżawy. Użyj interfejsu API List unifiedRoleAssignments, aby uzyskać przypisania ról.

Wyświetl przypisania ról dla podmiotu

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Wylistuj bezpośrednie i przechodnie przypisania ról dla podmiotu

Wykonaj następujące kroki, aby wyświetlić listę ról usługi Microsoft Entra przypisanych do użytkownika przy użyciu interfejsu API programu Microsoft Graph w programie Graph Explorer.

1. Zaloguj się do eksploratora programu Graph .

2. Użyj interfejsu API List transitiveRoleAssignments do uzyskania ról przypisanych bezpośrednio i przechodnio użytkownikowi. Dodaj następujące zapytanie do adresu URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Przejdź do karty Nagłówki żądań. Dodaj ConsistencyLevel jako klucz i Eventual jako wartość.

4. Wybierz pozycję Uruchom zapytanie.

Wyświetlanie listy przypisań ról dla grupy

Użyj interfejsu API Get group, aby pobrać grupę.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Użyj interfejsu API List unifiedRoleAssignments, aby uzyskać przypisanie roli.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Wyświetl listę przypisań ról dla definicji roli

W poniższym przykładzie pokazano, jak wyświetlić listę przypisań ról dla określonej definicji roli.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Wyświetlanie listy przypisania roli według identyfikatora

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Response

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Lista przypisań ról dla zakresu rejestracji aplikacji

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Lista przypisań ról z zakresem jednostki administracyjnej

Aby wyświetlić listę przypisań ról o określonym zakresie jednostki administracyjnej, użyj API List scopedRoleMembers.

Żądanie

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Ciało

{}