Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure role-based access control (Azure RBAC) ist das Autorisierungssystem, das Sie zum Verwalten des Zugriffs auf Azure-Ressourcen verwenden. Um zu ermitteln, auf welche Ressourcen Benutzer, Gruppen, Dienstprinzipale oder verwaltete Identitäten Zugriff haben, können Sie deren Rollenzuweisungen auflisten. In diesem Artikel wird beschrieben, wie Rollenzuweisungen mithilfe von Azure PowerShell aufgeführt werden.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Hinweis
Wenn Ihre Organisation Verwaltungsfunktionen an einen Dienstanbieter ausgelagert hat, der die Azure Lighthouse verwendet, werden die von diesem Dienstanbieter autorisierten Rollenzuweisungen hier nicht angezeigt. Ebenso werden Benutzer*innen im Dienstanbietermandanten keine Rollenzuweisungen für Benutzer*innen im Kundenmandanten angezeigt, unabhängig von ihrer Rolle.
Voraussetzungen
Auflisten von Rollenzuweisungen für das aktuelle Abonnement
Die einfachste Möglichkeit zum Abrufen einer Liste aller Rollenzuweisungen im aktuellen Abonnement (einschließlich geerbter Rollenzuweisungen aus Stamm- und Verwaltungsgruppen) besteht darin, Get-AzRoleAssignment ohne Parameter zu verwenden.
Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : Alain
SignInName : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Marketing
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : Group
CanDelegate : False
...
Auflisten der Rollenzuweisungen für ein Abonnement
Verwenden Sie Get-AzRoleAssignment, um alle Rollenzuweisungen in einem Abonnementbereich auflisten zu können. Um die Abonnement-ID zu erhalten, finden Sie sie auf dem Blatt "Abonnements " im Azure-Portal, oder Sie können Get-AzSubscription verwenden.
Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>
PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000
Auflisten von Rollenzuweisungen für einen Benutzer
Wenn Sie alle Rollen auflisten möchten, die einem angegebenen Benutzer zugewiesen sind, verwenden Sie Get-AzRoleAssignment.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname>
PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Wenn Sie alle Rollen auflisten möchten, die einem angegebenen Benutzer zugewiesen sind, und die Rollen, die den Gruppen zugewiesen sind, denen der Benutzer angehört, verwenden Sie Get-AzRoleAssignment.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups
Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope
Auflisten von Rollenzuweisungen für eine Ressourcengruppe
Verwenden Sie Get-AzRoleAssignment, um alle Rollenzuweisungen in einem Ressourcengruppenbereich auflisten zu können.
Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Alain Charon
RoleDefinitionName : Backup Operator
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Auflisten von Rollenzuweisungen für eine Managementgruppe
Wenn Sie alle Rollenzuweisungen in einem Verwaltungsgruppenbereich auflisten möchten, verwenden Sie Get-AzRoleAssignment. Um die Verwaltungsgruppen-ID zu erhalten, finden Sie sie auf dem Blatt "Verwaltungsgruppen " im Azure-Portal, oder Sie können Get-AzManagementGroup verwenden.
Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>
PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group
Auflisten von Rollenzuweisungen für eine Ressource
Verwenden Sie "Get-AzRoleAssignment " und den -Scope Parameter, um Rollenzuweisungen für eine bestimmte Ressource auflisten zu können. Der Bereich unterscheidet sich je nach Ressource. Um den Bereich abzurufen, können Sie ohne Parameter ausführen Get-AzRoleAssignment , um alle Rollenzuweisungen auflisten und dann den Bereich zu finden, den Sie auflisten möchten.
Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>
Das folgende Beispiel zeigt, wie sie die Rollenzuweisungen für ein Speicherkonto auflisten. Beachten Sie, dass dieser Befehl auch Rollenzuweisungen in höheren Bereichen wie Ressourcengruppen und Abonnements auflistet, die für dieses Speicherkonto gelten.
PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"
Wenn Sie nur Rollenzuweisungen auflisten möchten, die direkt auf einer Ressource zugewiesen sind, können Sie den Befehl "Where-Object " verwenden, um die Liste zu filtern.
PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}
Auflisten von Rollenzuweisungen für klassische Dienstadministratoren und Co-Administratoren
Um Rollenzuweisungen für den klassischen Abonnementadministrator und Co-Administratoren auflisten zu können, verwenden Sie Get-AzRoleAssignment.
Get-AzRoleAssignment -IncludeClassicAdministrators
Auflisten von Rollenzuweisungen für eine verwaltete Identität
Rufen Sie die Objekt-ID der vom System zugewiesenen oder vom Benutzer zugewiesenen verwalteten Identität ab.
Um die Objekt-ID einer vom Benutzer zugewiesenen verwalteten Identität abzurufen, können Sie Get-AzADServicePrincipal verwenden.
Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"Verwenden Sie "Get-AzRoleAssignment", um die Rollenzuweisungen auflisten zu können.
Get-AzRoleAssignment -ObjectId <objectid>