Enumeración de asignaciones de roles de Microsoft Entra
En este artículo se describe cómo enumerar los roles que ha asignado en Microsoft Entra ID. En Microsoft Entra ID, los roles se pueden asignar a nivel de toda la organización o con un ámbito de aplicación única.
- Las asignaciones de roles en el ámbito de toda la organización se agregan y pueden verse en la lista de asignaciones de roles de aplicación únicas.
- Las asignaciones de roles en el ámbito de aplicación única no se agregan y no se pueden ver en la lista de asignaciones con un ámbito de toda la organización.
Requisitos previos
- Módulo de Microsoft Graph PowerShell cuando se usa PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.
Centro de administración Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
En este procedimiento se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización.
Inicie sesión en el Centro de administración Microsoft Entra.
Vaya a Identidad>Roles y Administradores>Roles y Administradores.
Seleccione un role para abrirlo y ver sus propiedades.
Seleccione Asignaciones para enumerar las asignaciones de roles.
Enumeraciñon de mis asignaciones de roles
También es fácil enumerar sus propios permisos. Seleccione su rol en la página Roles y administradores para ver los roles que tiene asignados actualmente.
Descarga de asignaciones de rol
Para descargar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados, siga estos pasos (actualmente en versión preliminar).
En la página Roles y administradores, seleccione Todos los roles.
Seleccione Descargar asignaciones.
Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para todos los roles.
Para descargar todas las asignaciones de un rol específico, siga estos pasos.
En la página Roles y administradores, seleccione un rol.
Seleccione Descargar asignaciones.
Se descargará un archivo CSV en el que se enumeran las asignaciones en todos los ámbitos para ese rol.
Enumeración de las asignaciones de roles con ámbito de aplicación única
En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de aplicación única. Esta característica actualmente está en su versión preliminar pública.
Inicie sesión en el centro de administración de Microsoft Entra.
Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.
Seleccione el registro de aplicación para ver sus propiedades. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Microsoft Entra.
En el registro de la aplicación, seleccione Roles y administradores y después elija un rol para ver sus propiedades.
Seleccione Asignaciones para enumerar las asignaciones de roles. Al abrir la página de asignaciones desde el registro de la aplicación, se muestran las asignaciones de roles que se limitan a este recurso de Microsoft Entra.
PowerShell
En esta sección se describe cómo ver las asignaciones de un rol con ámbito de toda la organización. En este artículo se usa el módulo de PowerShell de Microsoft Graph. Para ver las asignaciones con un ámbito de aplicación única con PowerShell, puede usar los cmdlets de Asignación de roles personalizados con PowerShell.
Use los comandos Get-MgRoleManagementDirectoryRoleDefinition y Get-MgRoleManagementDirectoryRoleAssignment para enumerar las asignaciones de roles.
En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles para el rol de Administrador de grupos.
# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition
# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
En el ejemplo siguiente se muestra cómo enumerar todas las asignaciones de roles activas en todos los roles, incluidos los roles integrados y personalizados (actualmente en versión preliminar).
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
Microsoft Graph API
En esa sección se describe cómo enumerar las asignaciones de roles con ámbito de toda la organización. Para enumerar las asignaciones de roles con un ámbito de aplicación única mediante Graph API, puede usar las operaciones de Asignación de roles personalizados con Graph API.
Use la API List unifiedRoleAssignments para obtener la asignación de roles para una definición de roles específica. En el ejemplo siguiente se muestra cómo enumerar las asignaciones de roles de una definición de rol específica con el Id. 00000000-0000-0000-0000-000000000000
.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’
Response
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Pasos siguientes
- No dude en hacernos llegar sus comentarios en el foro de roles administrativos de Microsoft Entra.
- Para obtener más información sobre los permisos de rol, consulte Roles integrados de Microsoft Entra.
- Para conocer los permisos predeterminados de usuario, vea una comparación de los permisos predeterminados de usuario miembro e invitado.