Wyświetlanie listy przypisań ról w usłudze Microsoft Entra

Wyświetl moje przypisania ról

Można również łatwo wyświetlić własne uprawnienia. Na stronie Role i administratorzy wybierz pozycję Twoja rola, aby wyświetlić role, które są aktualnie przypisane do Ciebie.

Wyświetlanie listy przypisań ról dla użytkownika

Wykonaj następujące kroki, aby wyświetlić listę ról firmy Microsoft dla użytkownika przy użyciu centrum administracyjnego firmy Microsoft Entra. Twoje doświadczenie będzie się różnić w zależności od tego, czy masz włączoną usługę Microsoft Entra Privileged Identity Management (PIM).

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do pozycji Entra ID>Użytkownicy.

3. Wybierz nazwa użytkownika >przypisane role.

   Listę ról przypisanych do użytkownika można wyświetlić na różnych poziomach. Ponadto można sprawdzić, czy rola została przypisana bezpośrednio, czy za pośrednictwem grupy.

   

   Jeśli masz licencję Microsoft Entra ID P2, zobaczysz środowisko PIM, które zawiera informacje o przypisaniu ról, które są kwalifikujące się, aktywne lub wygasłe.

   

Wyświetl listę przydziałów ról dla grupy

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do Entra ID>Grupy>Wszystkie grupy.

3. Wybierz grupę z możliwością przypisywania ról.

   Aby określić, czy grupa może być przypisana do roli, możesz wyświetlić Właściwości grupy.

4. Wybierz Przypisane role.

   Możesz teraz zobaczyć wszystkie role Microsoft Entra przypisane do tej grupy. Jeśli nie widzisz opcji Przypisane role, grupa nie jest grupą z możliwością przypisywania ról.

   

Pobierz przypisania ról

Aby pobrać wszystkie aktywne przypisania ról dla wszystkich ról, w tym wbudowane i niestandardowe role, wykonaj następujące kroki.

Operacje zbiorcze mogą działać maksymalnie przez 1 godzinę i napotykają ograniczenia w dużych klientach. Aby uzyskać więcej informacji, zobacz operacje zbiorcze oraz tworzenie użytkowników zbiorczo w usłudze Microsoft Entra ID.

1. Na stronie Role i administratorzy wybierz pozycję Wszystkie role.

2. Wybierz Pobierz zadania.

   

3. Określ nazwę pliku i wybierz pozycję Rozpocznij pobieranie.

   Pobierany jest plik CSV, który zawiera listę przypisań we wszystkich zakresach dla wszystkich ról.

Aby pobrać przypisania ról dla określonej roli, wykonaj następujące kroki.

1. Na stronie Role i administratorzy wybierz rolę.

2. Wybierz Pobierz zadania.

   Jeśli masz licencję Microsoft Entra ID P2, zobaczysz środowisko usługi PIM. Wybierz pozycję Eksportuj, aby pobrać przypisania ról.

   Plik CSV, który zawiera listę przypisań we wszystkich zakresach dla tej roli, jest pobierany.

Lista przypisań ról z zakresem dzierżawy

W tej procedurze opisano sposób wyświetlania listy przypisań ról z zakresem dzierżawy.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do pozycji Entra ID>Role i administratorzy.

3. Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.

   

4. Wybierz Przypisania, aby wyświetlić listę przypisań do ról.

   

5. W kolumnie zakresu , zobacz przypisania ról z zakresem Directory.

Wyświetl listę przypisań ról w zakresie rejestracji aplikacji

W tej sekcji opisano, jak wyświetlić listę przypisań ról z zakresem jednej aplikacji.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do obszaruRejestracje aplikacji>.

3. Wybierz rejestrację aplikacji, aby zobaczyć listę przypisań ról.

   Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji firmy Microsoft Entra.

4. Wybierz role i administratora.

5. Wybierz nazwę roli, aby otworzyć rolę.

6. Wybierz Przypisania, aby wyświetlić listę przypisań do ról.

   Otwarcie strony przypisań z poziomu rejestracji aplikacji pokazuje przypisania ról, które obowiązują dla tego zasobu Microsoft Entra.

   

7. W kolumnie Zakres zobacz przypisania ról dla zakresu Tego zasobu.

Lista przypisań ról z zakresem jednostki administracyjnej

Można wyświetlić wszystkie przypisania ról utworzone z zakresem jednostki administracyjnej w sekcji Jednostki administracyjne centrum administracyjnego Microsoft Entra.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do Entra ID>Role i administratorzy>Jednostki administracyjne.

3. Wybierz jednostkę administracyjną dla listy przypisań ról, które chcesz wyświetlić.

4. Wybierz role i administratora.

5. Wybierz nazwę roli, aby otworzyć rolę.

6. Wybierz Przypisania, aby wyświetlić listę przypisań do ról.

   

7. W kolumnie Zakres zobacz przypisania ról dla zakresu Tego zasobu.

W tej sekcji opisano, jak przeglądać przypisania roli w obrębie dzierżawy. W tej sekcji użyto modułu programu Microsoft Graph PowerShell .

Konfiguracja

1. Zainstaluj moduł programu Microsoft Graph przy użyciu Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Użyj polecenia Connect-MgGraph, aby zalogować się i używać poleceń cmdlet programu PowerShell programu Microsoft Graph.

   Connect-MgGraph
   

Lista przypisań ról z zakresem dzierżawy

Użyj poleceń Get-MgRoleManagementDirectoryRoleDefinition i Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról.

W poniższym przykładzie pokazano, jak wyświetlić listę przypisań ról dla roli Administrator grup.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Na poniższym przykładzie pokazano, jak wypisać wszystkie aktywne przypisania ról we wszystkich rolach, w tym w rolach wbudowanych i niestandardowych.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Wylistuj przypisania ról dla podmiotu

Użyj polecenia Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról dla użytkownika.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Lista bezpośrednich i przechodnich przypisań ról dla podmiotu

Użyj interfejsu API List transitiveRoleAssignments, aby uzyskać role przypisane bezpośrednio i przechodnio do użytkownika.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Wyświetl listę przydziałów ról dla grupy

Aby uzyskać grupę, użyj polecenia Get-MgGroup.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Użyj polecenia Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról dla grupy.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Lista przypisań ról z zakresem jednostki administracyjnej

Użyj polecenia Get-MgDirectoryAdministrativeUnitScopedRoleMember, aby wyświetlić listę przypisań ról z zakresem jednostki administracyjnej.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

W tej sekcji opisano sposób wyświetlania listy przypisań ról w ramach zakresu najemcy. Użyj interfejsu API List unifiedRoleAssignments, aby uzyskać przypisania ról.

Wylistuj przypisania ról dla podmiotu

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Odpowiedź

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Lista bezpośrednich i przechodnich przypisań ról dla podmiotu

Wykonaj następujące kroki, aby wyświetlić listę ról usługi Microsoft Entra przypisanych do użytkownika przy użyciu interfejsu API programu Microsoft Graph w programie Graph Explorer.

1. Zaloguj się do eksploratora programu Graph .

2. Użyj interfejsu API List transitiveRoleAssignments, aby uzyskać role przypisane bezpośrednio i przechodnio do użytkownika. Dodaj następujące zapytanie do adresu URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Przejdź do karty Nagłówki żądań. Dodaj ConsistencyLevel jako klucz i Eventual jako wartość.

4. Wybierz pozycję Uruchom zapytanie.

Wyświetl listę przydziałów ról dla grupy

Użyj interfejsu API Get group, aby pobrać grupę.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Użyj interfejsu API List unifiedRoleAssignments, aby uzyskać przypisanie roli.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Wyświetl listę przypisań ról dla definicji roli

W poniższym przykładzie pokazano, jak wyświetlić listę przypisań ról dla określonej definicji roli.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Odpowiedź

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Wyświetlanie listy przypisania roli według identyfikatora

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Odpowiedź

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Wyświetl listę przypisań ról w zakresie rejestracji aplikacji

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Odpowiedź

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Lista przypisań ról z zakresem jednostki administracyjnej

Aby wyświetlić listę przypisań ról o określonym zakresie jednostki administracyjnej, użyj API List scopedRoleMembers.

Żądanie

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Ciało

{}