你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 基于角色的访问控制(Azure RBAC) 是用于管理对 Azure 资源的访问的授权系统。 若要确定用户、组、服务主体或托管标识有权访问的资源,请列出其角色分配。 本文介绍如何使用 Azure 门户列出角色分配。
注释
如果组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则此处将不会显示该服务提供商授权的角色分配。 同样,无论已分配有什么角色,服务提供商租户中的用户都无法查看用户在客户租户中的角色分配。
先决条件
Microsoft.Authorization/roleAssignments/read 权限,例如读取者
列出用户或组的角色分配
要快速查看订阅中分配给用户或组的角色,可以使用“Azure 角色分配”窗格。
在 Azure 门户中,从 Azure 门户菜单中选择“所有服务”。
选择“Microsoft Entra ID”,然后选择“用户”或“组”。
单击要列出其角色分配的用户或组。
单击“Azure 角色分配”。
随即将显示各范围(如管理组、订阅、资源组或资源)内分配给所选用户或组的角色列表。 此列表包括你有权读取的所有角色分配。
要更改订阅,请单击“订阅”列表。
列出订阅的所有者
获得订阅所有者角色的用户可以管理订阅中的所有内容。 按照以下步骤列出订阅所有者。
在 Azure 门户中,依次单击“所有服务”、“订阅”。
单击要列出其所有者的订阅。
单击“访问控制(IAM)”。
单击“角色分配”选项卡以查看此订阅的所有角色分配。
滚动到“所有者”部分,查看所有已被分配此订阅的所有者角色的用户。
列出或管理特权管理员角色分配
在“角色分配”选项卡上,可以列出并查看当前范围内的特权管理员角色分配计数。 有关详细信息,请参阅特权管理员角色。
在 Azure 门户中,单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源。
单击特定资源。
单击“访问控制(IAM)”。
单击“角色分配”选项卡,然后单击“特权”选项卡,列出此范围内的特权管理员角色分配。
若要查看此范围内的特权管理员角色分配计数,请查看“特权”卡。
若要管理特权管理员角色分配,请参阅“特权”卡,然后单击“查看分配”。
在“管理特权角色分配”页上,可以添加条件来限制特权角色分配或移除角色分配。 有关详细信息,请参阅向 有条件的其他人委托 Azure 角色分配管理。
列出某个范围内的角色分配
在 Azure 门户中,单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源。
单击特定资源。
单击“访问控制(IAM)”。
单击“角色分配”选项卡以查看在此范围内的角色分配。
如果你拥有 Microsoft Entra ID Free 或 Microsoft Entra ID P1 许可证,则你的“角色分配”选项卡与以下屏幕截图类似。
如果你拥有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 许可证,则“角色分配”选项卡类似于以下针对管理组、订阅和资源组范围的屏幕截图。 此功能正在分阶段部署,因此它可能在你的租户中尚不可用,或者你的界面可能看起来有所不同。
你会看到“状态”列,该列可能处于以下状态之一:
State Description 永久活动 使用户无需执行任何操作,始终可以使用该角色的角色分配。 限时活动 使用户只能在指定日期范围内使用角色而无需执行任何操作的角色分配。 符合条件的永久 使用户始终有资格激活该角色的角色分配。 符合条件的限时 通过这种角色分配方式,用户只有在开始和结束日期范围内才有资格激活角色。 可以将开始日期设置为未来的某个日期。
如果要列出角色分配的开始时间和结束时间,请单击“编辑列”,然后选择“开始时间”和“结束时间”。
请注意,有些角色的权限范围已划归到此资源,还有一些角色是从另一范围(继承的)。 访问权限可以专门分配给此资源,也可以从父作用域的分配继承。
列出用户在某个范围内的角色分配
要列出用户、组、服务主体或托管标识的访问权限,请列出其角色分配。 按照以下步骤列出特定范围内单个用户、组、服务主体或托管标识的角色分配。
在 Azure 门户中,单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源。
单击特定资源。
单击“访问控制(IAM)”。
在“检查访问权限”选项卡上,单击“检查访问权限”按钮。
在“检查访问权限”窗格中,单击“用户、组或服务主体”或“托管标识”。
在搜索框中,输入字符串以在目录中搜索显示名称、电子邮件地址或对象标识符。
单击安全主体以打开“分配”窗格。
在此窗格上,可以查看在此范围和继承到此范围的所选安全主体的访问权限。 未列出在子范围的分配。 你会看到以下分配:
- 通过 Azure RBAC 添加的角色分配。
- 使用 Azure 蓝图或 Azure 托管应用添加的拒绝分配。
列出托管标识的角色分配
如之前所述,可以使用“访问控制(IAM)”边栏选项卡列出特定范围内系统分配和用户分配的托管标识的角色分配。 本节介绍如何仅列出托管标识的角色分配。
系统分配的托管标识
在 Azure 门户中,打开系统分配的托管标识。
在左侧菜单中,单击“ 标识”。
在“权限”下,点击“Azure 角色分配”。
随即将显示各范围(如管理组、订阅、资源组或资源)内分配给所选系统分配的托管标识的角色列表。 此列表包括你有权读取的所有角色分配。
若要更改订阅,请单击 “订阅 ”列表。
用户分配的管理标识
在 Azure 门户中,打开用户分配的托管标识。
单击“Azure 角色分配”。
随即将显示各范围(如管理组、订阅、资源组或资源)内分配给所选用户分配的托管标识的角色列表。 此列表包括你有权读取的所有角色分配。
若要更改订阅,请单击 “订阅 ”列表。
列出角色分配的数量
每个订阅中最多可以有 4000 个角色分配。 此限制包括订阅、资源组和资源范围内的角色分配。 符合条件的角色分配和计划的将来角色分配不计入此限制。 为了帮助跟踪此限制,“角色分配”选项卡包含一个图表,列出了当前订阅的角色分配数量。
如果在快要到达最大数量时尝试添加更多角色分配,则“添加角色分配”窗格中会显示一条警告。 有关减少角色分配数量的方法,请参阅 Azure RBAC 限制故障排除。
下载角色分配
可以使用 CSV 或 JSON 格式下载某个范围内的角色分配。 如果需要在迁移订阅时检查电子表格中的列表或进行清点,这会很有帮助。
下载角色分配时,应记住以下条件:
- 如果你没有读取目录的权限(例如目录读取者角色),则 DisplayName、SignInName 和 ObjectType 列将为空。
- 不包括安全主体已被删除的角色分配。
- 不包括授予传统管理员的访问权限。
按照以下步骤下载某个范围内的角色分配。
在 Azure 门户中,单击“所有服务”,然后选择要下载角色分配的范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源。
单击特定资源。
单击“访问控制(IAM)”。
单击“下载角色分配”打开“下载角色分配”窗格。
使用复选框选择要包含在下载文件中的角色分配。
- 继承 - 包含当前范围的继承角色分配。
- 当前范围 - 包括当前范围内的角色分配。
- 子项 - 包括当前范围以下级别的角色分配。 对于管理组范围,此复选框处于禁用状态。
选择文件格式,可以是逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON)。
指定文件名。
单击“开始”开始下载。
下面展示每种文件格式的输出示例。
