Partager via


Get-AzRoleAssignment

Répertorie les attributions de rôles RBAC Azure au niveau de l’étendue spécifiée. Par défaut, il répertorie toutes les attributions de rôles dans l’abonnement Azure sélectionné. Utilisez les paramètres respectifs pour répertorier les affectations à un utilisateur spécifique ou pour répertorier les affectations sur un groupe de ressources ou une ressource spécifique.

L’applet de commande peut appeler sous l’API Microsoft Graph en fonction des paramètres d’entrée :

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Notez que cette applet de commande marque comme ObjectType Unknown dans la sortie si l’objet de l’attribution de rôle est introuvable ou que le compte actuel dispose de privilèges insuffisants pour obtenir le type d’objet.

Syntaxe

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Utilisez la commande Get-AzRoleAssignment pour répertorier toutes les attributions de rôles effectives sur une étendue. Sans paramètres, cette commande renvoie toutes les affectations de rôle effectuées dans l’abonnement. Cette liste peut être filtrée à l’aide de paramètres de filtrage pour le principal, le rôle et l’étendue. L’objet de l’affectation doit être spécifié. Pour spécifier un utilisateur, utilisez les paramètres SignInName ou Microsoft Entra ObjectId. Pour spécifier un groupe de sécurité, utilisez le paramètre Microsoft Entra ObjectId. Pour spécifier une application Microsoft Entra, utilisez les paramètres ServicePrincipalName ou ObjectId. Le rôle affecté doit être spécifié à l’aide du paramètre RoleDefinitionName. L’étendue à laquelle l’accès est accordé peut être spécifié. Il est défini par défaut sur l’abonnement sélectionné. L’étendue de l’affectation peut être spécifiée à l’aide de l’une des combinaisons de paramètres suivantes. Étendue : il s’agit de l’étendue complète commençant par /subscriptions/<subscriptionId>. Cela filtre les affectations qui sont effectives à cette étendue particulière, c’est-à-dire toutes les affectations à cette étendue et ci-dessus. b. ResourceGroupName : nom d’un groupe de ressources sous l’abonnement. Cela filtre les affectations effectives au groupe de ressources c spécifié. ResourceName, ResourceType, ResourceGroupName et (éventuellement) ParentResource : identifie une ressource particulière sous l’abonnement et filtre les affectations effectives à cette étendue de ressource. Pour déterminer l’accès d’un utilisateur particulier dans l’abonnement, utilisez le commutateur ExpandPrincipalGroups. Cela répertorie tous les rôles attribués à l’utilisateur et aux groupes dont l’utilisateur est membre. Utilisez le commutateur IncludeClassicAdministrators pour afficher également les administrateurs d’abonnement et les coadministrateurs.

Exemples

Exemple 1

Get-AzRoleAssignment

Répertorier toutes les attributions de rôles dans l’abonnement

Exemple 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Obtient toutes les attributions de rôles effectuées à l’utilisateur john.doe@contoso.com, ainsi que les groupes dont il est membre, au niveau de l’étendue testRG ou ultérieure.

Exemple 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Obtient toutes les attributions de rôle du principal de service spécifié

Exemple 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Obtient les attributions de rôles dans l’étendue du site web « site1 ».

Paramètres

-DefaultProfile

Informations d’identification, compte, locataire et abonnement utilisés pour la communication avec Azure

Type:IAzureContextContainer
Alias:AzContext, AzureRmContext, AzureCredential
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-ExpandPrincipalGroups

S’il est spécifié, retourne des rôles directement affectés à l’utilisateur et aux groupes dont l’utilisateur est membre (transitivement). Pris en charge uniquement pour un principal d’utilisateur.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-IncludeClassicAdministrators

S’il est spécifié, répertorie également les attributions de rôles d’administrateurs classiques d’abonnement (coadministrateurs, administrateurs de service, etc.).

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-ObjectId

Microsoft Entra ObjectId de l’utilisateur, du groupe ou du principal du service. Filtre toutes les affectations effectuées au principal spécifié.

Type:String
Alias:Id, PrincipalId
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ParentResource

Ressource parente dans la hiérarchie de la ressource spécifiée à l’aide du paramètre ResourceName. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceType et ResourceName.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ResourceGroupName

Nom du groupe de ressources. Répertorie les attributions de rôles qui sont effectives au niveau du groupe de ressources spécifié. Lorsqu’elle est utilisée conjointement avec les paramètres ResourceName, ResourceType et ParentResource, la commande répertorie les affectations effectives dans les ressources du groupe de ressources.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ResourceName

Nom de la ressource. Par exemple, storageaccountprod. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceType et (éventuellement)ParentResource.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ResourceType

Type de ressource. Par exemple, Microsoft.Network/virtualNetworks. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceName et (éventuellement)ParentResource.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-RoleDefinitionId

ID du rôle affecté au principal.

Type:Guid
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-RoleDefinitionName

Rôle affecté au principal, c’est-à-dire Lecteur, Contributeur, Réseau virtuel Administrateur, etc.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-Scope

Étendue de l’attribution de rôle. Au format de l’URI relatif. Par exemple, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Il doit commencer par « /subscriptions/{id} ». La commande filtre toutes les affectations qui sont effectives à cette étendue.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ServicePrincipalName

ServicePrincipalName du principal de service. Filtre toutes les affectations effectuées à l’application Microsoft Entra spécifiée.

Type:String
Alias:SPN
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-SignInName

Adresse e-mail ou nom d’utilisateur principal de l’utilisateur. Filtre toutes les affectations effectuées à l’utilisateur spécifié.

Type:String
Alias:Email, UserPrincipalName
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-SkipClientSideScopeValidation

Si elle est spécifiée, ignorez la validation de l’étendue côté client.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

Entrées

String

Guid

Sorties

PSRoleAssignment

Notes

Mots clés : azure, azurerm, arm, resource, management, manager, resource, group, template, deployment