Enumeración de asignaciones de roles de Microsoft Entra

  • Artículo

En este artículo se describe cómo enumerar los roles que ha asignado en Microsoft Entra ID. En Microsoft Entra ID, los roles se pueden asignar a nivel de toda la organización o con un ámbito de aplicación única.

  • Las asignaciones de roles en el ámbito de toda la organización se agregan y pueden verse en la lista de asignaciones de roles de aplicación únicas.
  • Las asignaciones de roles en el ámbito de aplicación única no se agregan y no se pueden ver en la lista de asignaciones con un ámbito de toda la organización.

Requisitos previos

  • Módulo de Microsoft Graph PowerShell cuando se usa PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

En este procedimiento se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización.

  1. Inicie sesión en el Centro de administración Microsoft Entra.

  2. Vaya a Identidad>Roles y Administradores>Roles y Administradores.

  3. Seleccione un role para abrirlo y ver sus propiedades.

  4. Seleccione Asignaciones para enumerar las asignaciones de roles.

    List role assignments and permissions when you open a role from the list

Enumeraciñon de mis asignaciones de roles

También es fácil enumerar sus propios permisos. Seleccione su rol en la página Roles y administradores para ver los roles que tiene asignados actualmente.

List my role assignments

Descarga de asignaciones de rol

Para descargar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados, siga estos pasos (actualmente en versión preliminar).

  1. En la página Roles y administradores, seleccione Todos los roles.

  2. Seleccione Descargar asignaciones.

    Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para todos los roles.

    Screenshot showing download all role assignments.

Para descargar todas las asignaciones de un rol específico, siga estos pasos.

  1. En la página Roles y administradores, seleccione un rol.

  2. Seleccione Descargar asignaciones.

    Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para ese rol.

    Screenshot showing download all assignments for a specific role.

Enumeración de las asignaciones de roles con ámbito de aplicación única

En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de aplicación única. Esta característica actualmente está en su versión preliminar pública.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  3. Seleccione el registro de aplicación para ver sus propiedades. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Microsoft Entra.

    Create or edit app registrations from the App registrations page

  4. En el registro de la aplicación, seleccione Roles y administradores y después elija un rol para ver sus propiedades.

    List app registration role assignments from the App registrations page

  5. Seleccione Asignaciones para enumerar las asignaciones de roles. Al abrir la página de asignaciones desde el registro de la aplicación, se muestran las asignaciones de roles que se limitan a este recurso de Microsoft Entra.

    List app registration role assignments from the properties of an app registration

PowerShell

En esta sección se describe cómo ver las asignaciones de un rol con ámbito de toda la organización. En este artículo se usa el módulo de PowerShell de Microsoft Graph. Para ver las asignaciones con un ámbito de aplicación única con PowerShell, puede usar los cmdlets de Asignación de roles personalizados con PowerShell.

Use los comandos Get-MgRoleManagementDirectoryRoleDefinition y Get-MgRoleManagementDirectoryRoleAssignment para enumerar las asignaciones de roles.

En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles para el rol de Administrador de grupos.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

En el ejemplo siguiente se muestra cómo enumerar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados (actualmente en versión preliminar).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Microsoft Graph API

En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización. Para enumerar las asignaciones de roles con un ámbito de aplicación única mediante Graph API, puede usar las operaciones de Asignación de roles personalizados con Graph API.

Use la API List unifiedRoleAssignments para obtener la asignación de roles para una definición de roles específica. En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles de una definición de rol específica con el Id. 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Pasos siguientes