Comparteix a través de


Enumeración de asignaciones de roles de Microsoft Entra

En este artículo se describe cómo enumerar los roles que ha asignado en Microsoft Entra ID. En Microsoft Entra ID, los roles se pueden asignar a nivel de toda la organización o con un ámbito de aplicación única.

  • Las asignaciones de roles en el ámbito de toda la organización se agregan y pueden verse en la lista de asignaciones de roles de aplicación únicas.
  • Las asignaciones de roles en el ámbito de aplicación única no se agregan y no se pueden ver en la lista de asignaciones con un ámbito de toda la organización.

Requisitos previos

  • Módulo de Microsoft Graph PowerShell cuando se usa PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

En este procedimiento se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización.

  1. Inicie sesión en el Centro de administración Microsoft Entra.

  2. Vaya a Identidad>Roles y Administradores>Roles y Administradores.

  3. Seleccione un role para abrirlo y ver sus propiedades.

  4. Seleccione Asignaciones para enumerar las asignaciones de roles.

    Enumeración de asignaciones de roles y permisos al abrir un rol de la lista

Enumeraciñon de mis asignaciones de roles

También es fácil enumerar sus propios permisos. Seleccione su rol en la página Roles y administradores para ver los roles que tiene asignados actualmente.

Enumeraciñon de mis asignaciones de roles

Descarga de asignaciones de rol

Para descargar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados, siga estos pasos (actualmente en versión preliminar).

  1. En la página Roles y administradores, seleccione Todos los roles.

  2. Seleccione Descargar asignaciones.

    Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para todos los roles.

    Captura de pantalla que muestra la descarga de todas las asignaciones de roles.

Para descargar todas las asignaciones de un rol específico, siga estos pasos.

  1. En la página Roles y administradores, seleccione un rol.

  2. Seleccione Descargar asignaciones.

    Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para ese rol.

    Captura de pantalla que muestra la descarga de todas las asignaciones para un rol específico.

Enumeración de las asignaciones de roles con ámbito de aplicación única

En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de aplicación única. Esta característica actualmente está en su versión preliminar pública.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  3. Seleccione el registro de aplicación para ver sus propiedades. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Microsoft Entra.

    Creación o edición de registros de aplicaciones desde la página Registros de aplicaciones

  4. En el registro de la aplicación, seleccione Roles y administradores y después elija un rol para ver sus propiedades.

    Enumeración de las asignaciones de roles de registro de aplicaciones desde la página Registros de aplicaciones

  5. Seleccione Asignaciones para enumerar las asignaciones de roles. Al abrir la página de asignaciones desde el registro de la aplicación, se muestran las asignaciones de roles que se limitan a este recurso de Microsoft Entra.

    Enumeración de las asignaciones de roles de registro de aplicaciones desde las propiedades de un registro de aplicaciones

PowerShell

En esta sección se describe cómo ver las asignaciones de un rol con ámbito de toda la organización. En este artículo se usa el módulo de PowerShell de Microsoft Graph. Para ver las asignaciones con un ámbito de aplicación única con PowerShell, puede usar los cmdlets de Asignación de roles personalizados con PowerShell.

Use los comandos Get-MgRoleManagementDirectoryRoleDefinition y Get-MgRoleManagementDirectoryRoleAssignment para enumerar las asignaciones de roles.

En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles para el rol de Administrador de grupos.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

En el ejemplo siguiente se muestra cómo enumerar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados (actualmente en versión preliminar).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Microsoft Graph API

En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización. Para enumerar las asignaciones de roles con un ámbito de aplicación única mediante Graph API, puede usar las operaciones de Asignación de roles personalizados con Graph API.

Use la API List unifiedRoleAssignments para obtener la asignación de roles para una definición de roles específica. En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles de una definición de rol específica con el Id. 00000000-0000-0000-0000-000000000000.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Pasos siguientes