Enumeración de asignaciones de roles de Azure AD
En este artículo se describe cómo enumerar los roles que ha asignado en Azure Active Directory (Azure AD). En Azure Active Directory (Azure AD), los roles se pueden asignar a un ámbito de toda la organización o con un ámbito de aplicación única.
- Las asignaciones de roles en el ámbito de toda la organización se agregan y pueden verse en la lista de asignaciones de roles de aplicación únicas.
- Las asignaciones de roles en el ámbito de aplicación única no se agregan y no se pueden ver en la lista de asignaciones con un ámbito de toda la organización.
Requisitos previos
- Módulo AzureAD al usar PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Azure portal
En este procedimiento se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización.
Inicie sesión en Azure Portal.
SeleccioneAzure Active Directory>Roles y administradores y luego seleccione un rol para abrirlo y ver sus propiedades.
Seleccione Asignaciones para enumerar las asignaciones de roles.
Enumeraciñon de mis asignaciones de roles
También es fácil enumerar sus propios permisos. Seleccione su rol en la página Roles y administradores para ver los roles que tiene asignados actualmente.
Descarga de asignaciones de rol
Para descargar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados, siga estos pasos (actualmente en versión preliminar).
En la página Roles y administradores, seleccione Todos los roles.
Seleccione Descargar asignaciones.
Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para todos los roles.
Para descargar todas las asignaciones de un rol específico, siga estos pasos.
En la página Roles y administradores, seleccione un rol.
Seleccione Descargar asignaciones.
Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para ese rol.
Enumeración de las asignaciones de roles con ámbito de aplicación única
En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de aplicación única. Esta característica actualmente está en su versión preliminar pública.
Inicie sesión en Azure Portal.
Seleccione Azure Active Directory>Registros de aplicaciones y luego seleccione el registro de aplicación para ver sus propiedades. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Azure AD.
En el registro de la aplicación, seleccione Roles y administradores y después elija un rol para ver sus propiedades.
Seleccione Asignaciones para enumerar las asignaciones de roles. Al abrir la página de asignaciones desde el registro de la aplicación, se muestran las asignaciones de roles que se limitan a este recurso de Azure AD.
PowerShell
En esta sección se describe cómo ver las asignaciones de un rol con ámbito de toda la organización. Este artículo se usa el módulo Azure Active Directory PowerShell, versión 2. Para ver las asignaciones con un ámbito de aplicación única con PowerShell, puede usar los cmdlets de Asignación de roles personalizados con PowerShell.
Use los comandos Get-AzureADMSRoleDefinition y Get-AzureADMSRoleAssignment para enumerar las asignaciones de roles.
En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles para el rol de Administrador de grupos.
# Fetch list of all directory roles with template ID
Get-AzureADMSRoleDefinition
# Fetch a specific directory role by ID
$role = Get-AzureADMSRoleDefinition -Id "fdd7a751-b60b-444a-984c-02652fe8fa1c"
# Fetch membership for a role
Get-AzureADMSRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
RoleDefinitionId PrincipalId DirectoryScopeId
---------------- ----------- ----------------
fdd7a751-b60b-444a-984c-02652fe8fa1c 04f632c3-8065-4466-9e30-e71ec81b3c36 /administrativeUnits/3883b136-67f0-412c-9b...
En el ejemplo siguiente se muestra cómo enumerar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados (actualmente en versión preliminar).
$roles = Get-AzureADMSRoleDefinition
foreach ($role in $roles)
{
Get-AzureADMSRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
RoleDefinitionId PrincipalId DirectoryScopeId Id
---------------- ----------- ---------------- --
e8611ab8-c189-46e8-94e1-60213ab1f814 9f9fb383-3148-46a7-9cec-5bf93f8a879c / uB2o6InB6EaU4WAhOrH4FHwni...
e8611ab8-c189-46e8-94e1-60213ab1f814 027c8aba-2e94-49a8-974b-401e5838b2a0 / uB2o6InB6EaU4WAhOrH4FEqdn...
fdd7a751-b60b-444a-984c-02652fe8fa1c 04f632c3-8065-4466-9e30-e71ec81b3c36 /administrati... UafX_Qu2SkSYTAJlL-j6HL5Dr...
...
Microsoft Graph API
En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización. Para enumerar las asignaciones de roles con un ámbito de aplicación única mediante Graph API, puede usar las operaciones de Asignación de roles personalizados con Graph API.
Use la API List unifiedRoleAssignments para obtener la asignación de roles para una definición de roles específica. En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles de una definición de rol específica con el Id. 3671d40a-1aac-426c-a0c1-a3821ebd8218.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments&$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’
Response
HTTP/1.1 200 OK
{
"id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
"roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
"directoryScopeId": "/"
}
Pasos siguientes
- No dude en compartir con nosotros en el foro de roles administrativos de Azure AD.
- Para más información acerca de los permisos de roles, consulte Roles integrados en Azure AD.
- Para conocer los permisos predeterminados de usuario, vea una comparación de los permisos predeterminados de usuario miembro e invitado.