Auflisten von Azure AD-Rollenzuweisungen

In diesem Artikel wird beschrieben, wie Sie Rollen auflisten, die Sie in Azure Active Directory (Azure AD) zugewiesen haben. In Azure Active Directory (Azure AD) können Rollen im organisationsweiten Bereich oder mit einem Einzelanwendungsbereich zugewiesen werden.

  • Rollenzuweisungen im organisationsweiten Bereich werden der Liste der Rollenzuweisungen einzelner Anwendungen hinzugefügt und werden dort angezeigt.
  • Rollenzuweisungen im Einzelanwendungsbereich werden der Liste der Zuweisungen im organisationsweiten Bereich nicht hinzugefügt und dort nicht angezeigt.

Voraussetzungen

  • AzureAD-Modul bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Azure-Portal

In diesem Verfahren wird beschrieben, wie organisationsweit geltende Rollenzuweisungen aufgelistet werden.

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center an.

  2. Wählen Sie Azure Active Directory>Rollen und Administratoren und anschließend eine Rolle aus, um sie zu öffnen und ihre Eigenschaften anzuzeigen.

  3. Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.

    Auflisten von Rollenzuweisungen und Berechtigungen beim Öffnen einer Rolle in der Liste

Auflisten der eigenen Rollenzuweisungen

Sie können auch Ihre eigenen Berechtigungen ohne großen Aufwand auflisten. Wählen Sie auf der Seite Rollen und Administratoren die Option Ihre Rolle, um die Rollen anzuzeigen, die Ihnen derzeit zugewiesen sind.

Auflisten der eigenen Rollenzuweisungen

Herunterladen von Rollenzuweisungen

Führen Sie die folgenden Schritte aus (derzeit in der Vorschauphase), um alle aktiven Rollenzuweisungen rollenübergreifend herunterzuladen, einschließlich integrierter und benutzerdefinierter Rollen:

  1. Wählen Sie auf der Seite Rollen und Administratoren die Option Alle Rollen aus.

  2. Wählen Sie Zuweisungen herunterladen aus.

    Eine CSV-Datei wird heruntergeladen, die Zuweisungen in allen Bereichen für alle Rollen auflistet.

    Screenshot: Herunterladen aller Rollenzuweisungen.

Führen Sie die folgenden Schritte aus, um alle Zuweisungen für eine bestimmte Rolle herunterzuladen:

  1. Wählen Sie auf der Seite Rollen und Administratoren eine Rolle aus.

  2. Wählen Sie Zuweisungen herunterladen aus.

    Es wird eine CSV-Datei heruntergeladen, die Zuweisungen in allen Bereichen für diese Rolle auflistet.

    Screenshot: Herunterladen aller Zuweisungen für eine bestimmte Rolle.

Auflisten von Rollenzuweisungen im Einzelanwendungsbereich

In diesem Abschnitt wird beschrieben, wie Rollenzuweisungen im Einzelanwendungsbereich aufgelistet werden. Dieses Feature ist zurzeit als öffentliche Preview verfügbar.

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center an.

  2. Wählen Sie Azure Active Directory>App-Registrierungen und dann die gewünschte App-Registrierung aus, um ihre Eigenschaften anzuzeigen. Möglicherweise müssen Sie die Option Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in ihrer Azure AD-Organisation anzuzeigen.

    Erstellen oder Bearbeiten von App-Registrierungen auf der Seite „App-Registrierungen“

  3. Wählen Sie in der App-Registrierung Rollen und Administratoren und anschließend eine Rolle aus, um ihre Eigenschaften anzuzeigen.

    Auflisten der Rollenzuweisungen einer App-Registrierung auf der Seite „App-Registrierungen“

  4. Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten. Wenn Sie die Seite „Zuweisungen“ in der App-Registrierung öffnen, werden die Rollenzuweisungen angezeigt, die auf diese Azure AD-Ressource beschränkt sind.

    Auflisten der Rollenzuweisungen einer App-Registrierung über die Eigenschaften einer App-Registrierung

PowerShell

In diesem Abschnitt wird das Anzeigen von Zuweisungen einer Rolle mit einem organisationsweiten Bereich beschrieben. Dieser Artikel verwendet das Azure Active Directory PowerShell Version 2-Modul. Zum Anzeigen von Zuweisungen im Einzelanwendungsbereich mithilfe von PowerShell können Sie die Cmdlets in Zuweisen benutzerdefinierter Rollen mit Ressourcengeltungsbereich unter Verwendung von PowerShell in Azure Active Directory verwenden.

Verwenden Sie die Befehle Get-AzureADMSRoleDefinition und Get-AzureADMSRoleAssignment, um Rollenzuweisungen aufzulisten.

Im folgenden Beispiel wird gezeigt, wie die Rollenzuweisungen für die Rolle Gruppenadministrator aufgelistet werden:

# Fetch list of all directory roles with template ID
Get-AzureADMSRoleDefinition

# Fetch a specific directory role by ID
$role = Get-AzureADMSRoleDefinition -Id "fdd7a751-b60b-444a-984c-02652fe8fa1c"

# Fetch membership for a role
Get-AzureADMSRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
RoleDefinitionId                     PrincipalId                          DirectoryScopeId
----------------                     -----------                          ----------------
fdd7a751-b60b-444a-984c-02652fe8fa1c 04f632c3-8065-4466-9e30-e71ec81b3c36 /administrativeUnits/3883b136-67f0-412c-9b...

Im folgenden Beispiel wird gezeigt, wie alle aktiven Rollenzuweisungen in allen Rollen aufgeführt werden, einschließlich integrierter und benutzerdefinierter Rollen (derzeit in der Vorschauphase):

$roles = Get-AzureADMSRoleDefinition
foreach ($role in $roles)
{
  Get-AzureADMSRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
RoleDefinitionId                     PrincipalId                          DirectoryScopeId Id
----------------                     -----------                          ---------------- --
e8611ab8-c189-46e8-94e1-60213ab1f814 9f9fb383-3148-46a7-9cec-5bf93f8a879c /                uB2o6InB6EaU4WAhOrH4FHwni...
e8611ab8-c189-46e8-94e1-60213ab1f814 027c8aba-2e94-49a8-974b-401e5838b2a0 /                uB2o6InB6EaU4WAhOrH4FEqdn...
fdd7a751-b60b-444a-984c-02652fe8fa1c 04f632c3-8065-4466-9e30-e71ec81b3c36 /administrati... UafX_Qu2SkSYTAJlL-j6HL5Dr...
...

Microsoft Graph-API

In diesem Abschnitt wird beschrieben, wie organisationsweit geltende Rollenzuweisungen aufgelistet werden. Zum Auflisten von Zuweisungen im Einzelanwendungsbereich mithilfe der Graph-API können Sie die Vorgänge in Zuweisen von benutzerdefinierten Administratorrollen mithilfe der Graph-API in Azure Active Directory verwenden.

Verwenden Sie die API unifiedRoleAssignments auflisten, um die Rollenzuweisungen für eine bestimmte Rollendefinition abzurufen. Das folgende Beispiel zeigt, wie Sie die Rollenzuweisungen für eine bestimmte Rollendefinition mit der ID 3671d40a-1aac-426c-a0c1-a3821ebd8218 auflisten:

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments&$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Antwort

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Nächste Schritte