In diesem Artikel wird beschrieben, wie Sie Rollen auflisten, die Sie in der Microsoft Entra-ID zugewiesen haben, mithilfe des Microsoft Entra Admin Centers, von Microsoft Graph PowerShell oder der Microsoft Graph-API.
Rollenzuweisungen enthalten Informationen, die einen bestimmten Sicherheitsprinzipal – sei es ein Benutzer, eine Gruppe oder ein Anwendungsdienstprinzipal – mit einer Rollendefinition verknüpfen. Das Auflisten von Benutzern, Gruppen und zugewiesenen Rollen ist eine Standardbenutzerberechtigung.
In Microsoft Entra ID können Rollen in unterschiedlichen Bereichen zugewiesen werden.
Auflisten der eigenen Rollenzuweisungen
Sie können auch Ihre eigenen Berechtigungen ohne großen Aufwand auflisten. Wählen Sie auf der Seite Rollen und administrierende Personen Ihre Rolle aus, um die Rollen anzuzeigen, die Ihnen aktuell zugewiesen sind.
Liste von Rollenzuweisungen für einen Benutzer
Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen für einen Benutzer mithilfe des Microsoft Entra Admin Centers auflisten. Ihre Erfahrung wird unterschiedlich sein, abhängig davon, ob Sie Microsoft Entra Privileged Identity Management (PIM) aktiviert haben.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Benutzer.
Wählen Sie Benutzername>Zugewiesene Rollen aus.
Sie können die Liste der Rollen anzeigen, die dem Benutzer in verschiedenen Bereichen zugewiesen sind. Darüber hinaus können Sie sehen, ob die Rolle direkt oder über eine Gruppe zugewiesen wurde.
Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, wird die PIM-Benutzeroberfläche angezeigt, die über berechtigte, aktive und abgelaufene Rollenzuweisungsdetails verfügt.
Auflisten von Rollenzuweisungen für eine Gruppe
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra-ID-Gruppen>>alle Gruppen.
Wählen Sie eine rollenzuweisungsfähige Gruppe aus.
Um festzustellen, ob eine Gruppe für die Rollenzuweisung geeignet ist, können Sie die Eigenschaften für die Gruppe anzeigen.
Wählen Sie Zugewiesene Rollen aus.
Sie können jetzt alle Microsoft Entra-Rollen sehen, die dieser Gruppe zugewiesen sind. Wenn die Option Zugewiesene Rollen nicht angezeigt wird, handelt es sich bei der Gruppe nicht um eine zur Rollenzuweisung geeignete Gruppe.
Herunterladen von Rollenzuweisungen
Führen Sie die folgenden Schritte aus, um alle aktiven Rollenzuweisungen für alle Rollen herunterzuladen, einschließlich integrierter und benutzerdefinierter Rollen.
Massenvorgänge können maximal 1 Stunde lang ausgeführt werden, und es gelten Einschränkungen bei großen Mandanten. Weitere Informationen finden Sie unter Massenvorgänge und Massenerstellung von benutzenden Personen in Microsoft Entra ID.
Wählen Sie auf der Seite Rollen und Administratoren die Option Alle Rollen aus.
Wählen Sie Zuweisungen herunterladen aus.
Geben Sie einen Dateinamen an, und wählen Sie Herunterladen starten aus.
Eine CSV-Datei wird heruntergeladen, die Zuweisungen in allen Bereichen für alle Rollen auflistet.
Führen Sie die folgenden Schritte aus, um Rollenzuweisungen für eine bestimmte Rolle herunterzuladen.
Wählen Sie auf der Seite Rollen und Administratoren eine Rolle aus.
Wählen Sie Zuweisungen herunterladen aus.
Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, wird die PIM-Benutzeroberfläche angezeigt. Wählen Sie Exportieren aus, um die Rollenzuweisungen herunterzuladen.
Es wird eine CSV-Datei heruntergeladen, die Zuweisungen in allen Bereichen für diese Rolle auflistet.
Auflisten von Rollenzuweisungen mit Mandantenbereich
Im Folgenden wird beschrieben, wie Sie Rollenzuweisungen mit Mandantenbereich auflisten.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra IDRollen & Administratoren.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen. Aktivieren Sie das Kontrollkästchen neben der Rolle nicht.
Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.
In der Spalte Bereich sehen Sie die Rollenzuweisungen mit dem Bereich Verzeichnis.
Auflisten von Rollenzuweisungen mit App-Registrierungsbereich
In diesem Abschnitt wird beschrieben, wie Rollenzuweisungen im Einzelanwendungsbereich aufgelistet werden.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>App-Registrierungen.
Wählen Sie eine App-Registrierung für die Liste der Rollenzuweisungen aus, die Sie anzeigen möchten.
Möglicherweise müssen Sie die Option Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in Ihrer Microsoft Entra-Organisation anzuzeigen.
Klicken Sie auf Rollen und Administratoren.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen.
Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.
Wenn Sie die Seite „Zuweisungen“ in der App-Registrierung öffnen, werden die Rollenzuweisungen angezeigt, die auf diese Microsoft Entra-Ressource beschränkt sind.
In der Spalte Bereich sehen Sie die Rollenzuweisungen mit dem Bereich Diese Ressource.
Auflisten von Rollenzuweisungen mit Verwaltungseinheitsbereich
Alle Rollenzuweisungen, die mit einem auf Verwaltungseinheiten bezogenen Bereich erstellt wurden, können im Abschnitt Verwaltungseinheiten des Microsoft Entra Admin Centers angezeigt werden.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra IDRollen & AdministratorenAdmin-Einheiten.
Wählen Sie eine administrative Einheit für die Liste der Rollenzuweisungen aus, die Sie anzeigen möchten.
Klicken Sie auf Rollen und Administratoren.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen.
Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.
In der Spalte Bereich sehen Sie die Rollenzuweisungen mit dem Bereich Diese Ressource.
In diesem Abschnitt wird beschrieben, wie Sie Zuweisungen einer Rolle mit Mandantenbereich anzeigen. In diesem Abschnitt wird das Microsoft Graph PowerShell Modul verwendet.
Einrichten
Installieren Sie das Microsoft Graph-Modul mithilfe von Install-Module.
Install-Module -name Microsoft.Graph
Verwenden Sie den Befehl Connect-MgGraph, um sich anzumelden und die Microsoft Graph PowerShell-Cmdlets zu verwenden.
Connect-MgGraph
Auflisten von Rollenzuweisungen mit Mandantenbereich
Verwenden Sie die Befehle Get-MgRoleManagementDirectoryRoleDefinition und Get-MgRoleManagementDirectoryRoleAssignment zum Auflisten von Rollenzuweisungen.
Im folgenden Beispiel wird gezeigt, wie die Rollenzuweisungen für die Rolle Gruppenadministrator aufgelistet werden.
# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
Das folgende Beispiel zeigt, wie alle aktiven Rollenzuweisungen in allen Rollen aufgeführt werden, einschließlich integrierter und benutzerdefinierter Rollen.
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
Auflisten von Rollenzuweisungen für einen Prinzipal
Verwenden Sie den Befehl Get-MgRoleManagementDirectoryRoleAssignment, um die Rollenzuweisungen für einen Prinzipal aufzulisten.
# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
Auflisten von direkten und transitiven Rollenzuweisungen für einen Prinzipal
Verwenden Sie die API List transitiveRoleAssignments, um die Rollen abzurufen, die einer benutzenden Person direkt und transitiv zugewiesen sind.
$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}
$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value
Auflisten von Rollenzuweisungen für eine Gruppe
Verwenden Sie den Befehl Get-MgGroup, um eine Gruppe abzurufen.
Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"
Verwenden Sie den Befehl Get-MgRoleManagementDirectoryRoleAssignment, um die Rollenzuweisungen für die Gruppe aufzulisten.
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'"
Auflisten von Rollenzuweisungen mit Verwaltungseinheitsbereich
Verwenden Sie den Befehl Get-MgDirectoryAdministrativeUnitScopedRoleMember zum Auflisten von Rollenzuweisungen im Bereich einer Verwaltungseinheit.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
In diesem Abschnitt wird beschrieben, wie Sie Rollenzuweisungen mit Mandantenbereich auflisten. Verwenden Sie die API List unifiedRoleAssignments, um die Rollenzuweisungen abzurufen.
Auflisten von Rollenzuweisungen für einen Prinzipal
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'
Antwort
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
"directoryScopeId": "/"
}
]
}
Auflisten von direkten und transitiven Rollenzuweisungen für einen Prinzipal
Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen auflisten, die einem Benutzer mithilfe der Microsoft Graph-API in Graph-Explorerzugewiesen sind.
Melden Sie sich bei Graph-Tester an.
Verwenden Sie die API List transitiveRoleAssignments, um die Rollen abzurufen, die einer benutzenden Person direkt und transitiv zugewiesen sind. Fügen Sie der URL die folgende Abfrage hinzu.
GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
Navigieren Sie zur Registerkarte Anforderungsheader. Fügen Sie ConsistencyLevel als Schlüssel und Eventual als Wert dieses Schlüssels hinzu.
Wählen Sie Abfrage ausführen aus.
Auflisten von Rollenzuweisungen für eine Gruppe
Verwenden Sie die API Get group, um eine Gruppe abzurufen.
GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'
Verwenden Sie die API List unifiedRoleAssignments, um die Rollenzuweisung abzurufen.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq
Auflisten der Rollenzuweisungen für eine Rollendefinition
Das folgende Beispiel zeigt, wie sie die Rollenzuweisungen für eine bestimmte Rollendefinition auflisten.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'
Antwort
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Auflisten einer Rollenzuweisung anhand der ID
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Antwort
HTTP/1.1 200 OK
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
}
Auflisten von Rollenzuweisungen mit App-Registrierungsbereich
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'
Antwort
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
}
]
}
Auflisten von Rollenzuweisungen mit Verwaltungseinheitsbereich
Verwenden Sie die API List scopedRoleMembers, um Rollenzuweisungen im Bereich einer Verwaltungseinheit aufzulisten.
Anfrage
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Körper
{}
