Listar atribuições de função do Microsoft Entra

Listar minhas atribuições de função

Também é fácil listar suas próprias permissões. Na página Funções e administradores, selecione Sua Função para ver as funções que estão atualmente atribuídas a você.

Listar atribuições de função para um usuário

Siga estas etapas para listar as funções do Microsoft Entra para um usuário usando o centro de administração do Microsoft Entra. Sua experiência será diferente dependendo se você tiver Microsoft Entra Privileged Identity Management (PIM) habilitado.

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Navegue até Identidade>Utilizadores>Todos os utilizadores.

3. Selecione nome de usuário>Funções atribuídas.

   Você pode ver a lista de funções atribuídas ao usuário em diferentes escopos. Além disso, você pode ver se a função foi atribuída diretamente ou por meio de um grupo.

   

   Se tiver uma licença Microsoft Entra ID P2, verás as funcionalidades do PIM, que incluem detalhes de atribuição de função elegíveis, ativos e expirados.

   

Listar atribuições de função para um grupo

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Navegue até Identidade>Grupos>Todos os grupos.

3. Selecione um grupo atribuível por função.

   Para determinar se um grupo é atribuível a funções, pode ver as Propriedades para o grupo.

4. Selecione Funções atribuídas.

   Agora você pode ver todas as funções do Microsoft Entra atribuídas a esse grupo. Se não vir a opção Funções atribuídas, o grupo não é um grupo de atribuição de funções.

   

Baixar atribuições de função

Para baixar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas, siga estas etapas.

As operações em massa só podem ser executadas por até 1 hora e têm limitações em locatários grandes. Para obter mais informações, consulte Operações em Massa e Criação em Massa de Utilizadores no Microsoft Entra ID.

1. Na página Funções e administradores, selecione Todas as funções.

2. Selecione Baixar atribuições.

   

3. Especifique um nome de arquivo e selecione Iniciar download.

   Um arquivo CSV que lista atribuições em todos os escopos para todas as funções é baixado.

Para baixar atribuições de função para uma função específica, siga estas etapas.

1. Na página Funções e administradores, selecione uma função.

2. Selecione Baixar atribuições.

   Se você tiver uma licença do Microsoft Entra ID P2, verá a experiência do PIM. Selecione Exportar para baixar as funções atribuídas.

   Um arquivo CSV que lista atribuições em todos os escopos para essa função é baixado.

Listar atribuições de função no âmbito do inquilino

Este procedimento descreve como listar atribuições de função com escopo de locatário.

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Navegue até >>Roles & admins.

3. Selecione um nome de função para abri-la. Não adicione uma marca de seleção ao lado da função.

   

4. Selecione Atribuições para listar as atribuições de função.

   

5. Na coluna Escopo, consulte as atribuições de função com o escopo de Diretório .

Listar atribuições de função com escopo de registo de aplicação

Esta seção descreve como listar atribuições de função com escopo de aplicativo único.

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Navegue até Registros do aplicativo Identity>

3. Selecione um registo de aplicação para a lista de atribuições de função que pretende visualizar.

   Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.

4. Selecione Funções e administradores.

5. Selecione um nome de função para abri-la.

6. Selecione Atribuições para listar as atribuições de função.

   Abrir a página de atribuições de dentro do registro do aplicativo mostra as atribuições de função que têm como escopo esse recurso do Microsoft Entra.

   

7. Na coluna Escopo, verifique as atribuições de função no âmbito de Este recurso.

Listar atribuições de função com escopo de unidade administrativa

Você pode exibir todas as atribuições de função criadas com um escopo de unidade administrativa na seção Unidades administrativas do centro de administração do Microsoft Entra.

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Navegue até Identidade>Funções & Administradores>Unidades Administrativas.

3. Selecione uma unidade administrativa para a lista de atribuições de função que você deseja exibir.

4. Selecione Funções e administradores.

5. Selecione um nome de função para abri-la.

6. Selecione Atribuições para listar as atribuições de função.

   

7. Na coluna Escopo , verifique as atribuições de funções com o escopo deste recurso .

Esta seção descreve como visualizar atribuições de uma função com escopo de cliente. Esta seção usa o módulo Microsoft Graph PowerShell.

Configuração

1. Instale o módulo Microsoft Graph usando Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Use o comando Connect-MgGraph para entrar e usar cmdlets do Microsoft Graph PowerShell.

   Connect-MgGraph
   

Listar atribuições de função com âmbito do inquilino

Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.

O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos .

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Listar atribuições de função para um principal

Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de função para um principal.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Listar atribuições de função diretas e transitivas para um principal

Use a List transitiveRoleAssignments API para obter funções atribuídas direta e transitivamente a um usuário.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Listar atribuições de função para um grupo

Use o comando Get-MgGroup para obter um grupo.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de função para o grupo.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Listar atribuições de função com escopo de unidade administrativa

Utilize o comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para listar atribuições de função com o escopo de unidade administrativa.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Esta seção descreve como listar atribuições de função com escopo de inquilino. Use a List unifiedRoleAssignments API para obter as atribuições de função.

Listar atribuições de função para um principal

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Listar atribuições de função diretas e transitivas para um principal

Siga estes passos para listar as funções do Microsoft Entra atribuídas a um utilizador usando a API do Microsoft Graph no Graph Explorer.

1. Inicie sessão no Graph Explorer.

2. Use a List transitiveRoleAssignments API para obter funções atribuídas direta e transitivamente a um usuário. Adicione a seguinte consulta ao URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Navegue até ao guia Cabeçalhos de Solicitação. Adicione ConsistencyLevel como chave e Eventual como o respetivo valor.

4. Selecione Executar consulta.

Listar atribuições de função para um grupo

Use o Obter grupo API para obter um grupo.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Utilize a API List unifiedRoleAssignments para obter a atribuição de funções.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Listar atribuições de função para uma definição de função

O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Listar uma atribuição de função por ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Response

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Listar atribuições de função com âmbito de registo de aplicação

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Listar atribuições de função com âmbito de unidade administrativa

Utilize a API List scopedRoleMembers para listar atribuições de função com o âmbito da unidade administrativa.

Solicitar

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corpo

{}