Freigeben über


Get-AzRoleAssignment

Listet Azure RBAC-Rollenzuweisungen im angegebenen Bereich auf. Standardmäßig werden alle Rollenzuweisungen im ausgewählten Azure-Abonnement aufgelistet. Verwenden Sie die entsprechenden Parameter zum Auflisten von Zuordnungen zu einem bestimmten Benutzer oder zum Auflisten von Zuordnungen zu einer bestimmten Ressourcengruppe oder Ressource.

Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Beachten Sie, dass dieses Cmdlet als Unknown Ausgabe markiert ObjectType wird, wenn das Objekt der Rollenzuweisung nicht gefunden wird oder das aktuelle Konto über unzureichende Berechtigungen zum Abrufen des Objekttyps verfügt.

Syntax

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Beschreibung

Verwenden Sie den Befehl "Get-AzRoleAssignment", um alle Rollenzuweisungen auflisten, die für einen Bereich wirksam sind. Ohne einschränkende Parameter gibt dieser Befehl alle Rollenzuweisungen zurück, die in diesem Abonnement erstellt wurden. Diese Liste kann mithilfe von Filterparametern für Prinzipal, Rolle und Bereich gefiltert werden. Der Betreff der Zuordnung muss angegeben werden. Verwenden Sie zum Angeben eines Benutzers die Parameter "SignInName" oder "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Sicherheitsgruppe den Parameter "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Microsoft Entra-Anwendung die Parameter ServicePrincipalName oder ObjectId. Die zugewiesene Rolle muss mithilfe des RoleDefinitionName-Parameters angegeben werden. Der Bereich, in dem der Zugriff gewährt wird, kann angegeben werden. Standardmäßig wird das ausgewählte Abonnement verwendet. Der Bereich der Zuordnung kann mithilfe einer der folgenden Parameterkombinationen angegeben werden: Bereich – Dies ist der vollqualifizierte Bereich, der mit /subscriptions/<subscriptionId> beginnt. Dadurch werden Zuordnungen gefiltert, die in diesem bestimmten Bereich wirksam sind, d. h. alle Zuordnungen in diesem Bereich und höher. b. ResourceGroupName – Name einer beliebigen Ressourcengruppe unter dem Abonnement. Dadurch werden Zuordnungen gefiltert, die bei der angegebenen Ressourcengruppe c wirksam sind. ResourceName, ResourceType, ResourceGroupName und (optional) ParentResource – Identifiziert eine bestimmte Ressource unter dem Abonnement und filtert Zuordnungen, die in diesem Ressourcenbereich wirksam sind. Verwenden Sie die Option "ExpandPrincipalGroups", um zu bestimmen, über welchen Zugriff ein bestimmter Benutzer im Abonnement verfügt. Dadurch werden alle Rollen aufgelistet, die dem Benutzer zugewiesen sind, und den Gruppen, in denen der Benutzer Mitglied ist. Verwenden Sie die Option IncludeClassicAdministrators, um auch die Abonnementadministratoren und Co-Administratoren anzuzeigen.

Beispiele

Beispiel 1

Get-AzRoleAssignment

Auflisten aller Rollenzuweisungen im Abonnement

Beispiel 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Ruft alle Rollenzuweisungen an den Benutzer john.doe@contoso.comund die Gruppen ab, deren Mitglied er ist, im TestRG-Bereich oder höher.

Beispiel 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Ruft alle Rollenzuweisungen des angegebenen Dienstprinzipals ab.

Beispiel 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Ruft Rollenzuweisungen im Bereich der Website "site1" ab.

Parameter

-DefaultProfile

Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure

Typ:IAzureContextContainer
Aliase:AzContext, AzureRmContext, AzureCredential
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-ExpandPrincipalGroups

Wenn angegeben, werden dem Benutzer direkt zugewiesene Rollen und gruppen zurückgegeben, deren Mitglied der Benutzer ist (transitiv). Wird nur für einen Benutzerprinzipal unterstützt.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-IncludeClassicAdministrators

Wenn angegeben, werden auch klassische Abonnementadministratoren (Co-Administratoren, Dienstadministratoren usw.) Rollenzuweisungen aufgeführt.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-ObjectId

Die Microsoft Entra-Objekt-ID des Benutzers, der Gruppe oder des Dienstprinzipals. Filtert alle Zuordnungen, die an den angegebenen Prinzipal vorgenommen werden.

Typ:String
Aliase:Id, PrincipalId
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ParentResource

Die übergeordnete Ressource in der Hierarchie der ressource, die mit dem Parameter ResourceName angegeben wurde. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceType und ResourceName verwendet werden.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ResourceGroupName

Der Name der Ressourcengruppe. Listet Rollenzuweisungen auf, die bei der angegebenen Ressourcengruppe wirksam sind. Bei Verwendung in Verbindung mit den Parametern "ResourceName", "ResourceType" und "ParentResource" listet der Befehl Zuordnungen auf, die für Ressourcen innerhalb der Ressourcengruppe wirksam sind.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ResourceName

Der Name der Ressource. Für z.B. storageaccountprod. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceType und (optional)ParentResource verwendet werden.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ResourceType

Der Ressurcentyp. Für z.B. Microsoft.Network/virtualNetworks. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceName und (optional)ParentResource verwendet werden.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-RoleDefinitionId

ID der Rolle, die dem Prinzipal zugewiesen ist.

Typ:Guid
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-RoleDefinitionName

Rolle, die dem Prinzipal zugewiesen ist, z. B. Leser, Mitwirkender, Virtueller Netzwerkadministrator usw.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-Scope

Der Bereich der Rollenzuweisung. Im Format des relativen URI. Zum Beispiel /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Er muss mit "/subscriptions/{id}" beginnen. Der Befehl filtert alle Zuordnungen, die in diesem Bereich wirksam sind.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ServicePrincipalName

Der ServicePrincipalName des Dienstprinzipals. Filtert alle Zuordnungen, die an der angegebenen Microsoft Entra-Anwendung vorgenommen werden.

Typ:String
Aliase:SPN
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-SignInName

Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers. Filtert alle Zuordnungen, die an den angegebenen Benutzer vorgenommen werden.

Typ:String
Aliase:Email, UserPrincipalName
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-SkipClientSideScopeValidation

Wenn angegeben, überspringen Sie die clientseitige Bereichsüberprüfung.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

Eingaben

String

Guid

Ausgaben

PSRoleAssignment

Hinweise

Schlüsselwörter: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment