A Microsoft Entra szerepkör-hozzárendeléseinek felsorolása

Ez a cikk bemutatja, hogyan listázhatja a Microsoft Entra ID-ban hozzárendelt szerepköröket a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával.

A szerepkör-hozzárendelések olyan információkat tartalmaznak, amelyek egy adott biztonsági tagot (felhasználót, csoportot vagy alkalmazásszolgáltatásnevet) egy szerepkördefinícióhoz kapcsolnak. A felhasználók, csoportok és hozzárendelt szerepkörök listázása alapértelmezett felhasználói engedélyek.

Hatókörök

A Microsoft Entra ID rendszerben a szerepkörök különböző hatókörökben rendelhetők hozzá.

• Bérlői hatókörű szerepkör-hozzárendelések hozzáadásra kerülnek, és megjelennek az egyes alkalmazások szerepkör-hozzárendeléseinek listájában.
• Az egyetlen alkalmazás hatókörében lévő szerepkör-hozzárendelések nem lesznek hozzáadva, és nem láthatók a bérlői hatókörű hozzárendelések listájában.

Előfeltételek

• Microsoft Graph PowerShell-modul a PowerShell használatakor
• Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

A Microsoft Entra szerepkör-hozzárendeléseinek felsorolása

Felügyeleti központ

Szerepkör-hozzárendeléseim listázása

Saját engedélyeit is egyszerűen listázhatja. A Szerepkörök és rendszergazdák lapon válassza a Saját szerepkör lehetőséget az Önhöz jelenleg hozzárendelt szerepkörök megtekintéséhez.

Szerepkör-hozzárendelések listázása egy felhasználóhoz

Az alábbi lépéseket követve listázhatja egy felhasználó Microsoft Entra-szerepkörét a Microsoft Entra felügyeleti központ használatával. A felhasználói élmény attól függően eltérő lesz, hogy engedélyezve van-e a Microsoft Entra Privileged Identity Management (PIM).

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

2. Lépjen be az Entra ID> kezelőfelületre, majd válassza a Felhasználók lehetőséget.

3. Válassza ki felhasználónevet>hozzárendelt szerepköröket.

   A felhasználóhoz rendelt szerepkörök listája különböző hatókörökben jelenik meg. Emellett láthatja, hogy a szerepkör közvetlenül vagy csoporton keresztül lett-e hozzárendelve.

   

   Ha Microsoft Entra ID P2-licenccel rendelkezik, látni fogja a PIM-felületet, amely jogosult, aktív és lejárt szerepkör-hozzárendelési adatokkal rendelkezik.

   

Csoport szerepkör-hozzárendeléseinek listázása

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

2. Böngésszen az Entra ID>Összes csoport menüpontjába.

3. Válasszon ki egy szerepkörhöz hozzárendelhető csoportot.

   Annak megállapításához, hogy egy csoport szerepkörhöz rendelhető-e, megtekintheti a csoport tulajdonságait .

4. Válassza ki a hozzárendelt szerepköröket.

   Most már láthatja a csoporthoz rendelt összes Microsoft Entra-szerepkört. Ha nem látja a Hozzárendelt szerepkörök lehetőséget, a csoport nem szerepkörhöz rendelhető csoport.

   

Szerepkör-hozzárendelések letöltése

Ha az összes aktív szerepkör-hozzárendelést le szeretné tölteni az összes szerepkörre, beleértve a beépített és az egyéni szerepköröket is, kövesse az alábbi lépéseket.

A tömeges műveletek legfeljebb 1 óráig futtathatók, és nagy bérlők esetén korlátozások léphetnek fel. További információ: Tömeges műveletek és felhasználók tömeges létrehozása a Microsoft Entra-azonosítóban.

1. A Szerepkörök és rendszergazdák lapon válassza az Összes szerepkör lehetőséget.

2. Válassza a Letöltési feladatok lehetőséget.

   

3. Adjon meg egy fájlnevet, és válassza a Tömeges művelet indítása lehetőséget.

   A rendszer letölt egy CSV-fájlt, amely az összes szerepkör összes hatókörében felsorolja a hozzárendeléseket.

Egy adott szerepkör szerepkör-hozzárendeléseinek letöltéséhez kövesse az alábbi lépéseket.

1. A Szerepkörök és rendszergazdák lapon válasszon ki egy szerepkört.

2. Válassza a Letöltési feladatok lehetőséget.

   Ha Microsoft Entra ID P2-licenccel rendelkezik, a PIM-élményt fogja látni. Válassza az Exportálás lehetőséget a szerepkör-hozzárendelések letöltéséhez.

   A rendszer letölt egy CSV-fájlt, amely az adott szerepkör összes hatókörében felsorolja a hozzárendeléseket.

Szerepkör-hozzárendelések listázása bérlői szinten

Ez az eljárás azt ismerteti, hogyan listázhatja a bérlői hatókörrel rendelkező szerepkör-hozzárendeléseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

2. Tallózással keresse meg az Entra-azonosító>szerepköreit és rendszergazdáit.

3. Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne jelölje meg pipával a szerepkört.

   

4. Válassza a Hozzárendelések lehetőséget a szerepkör-hozzárendelések listázásához.

   

5. A Hatókör oszlopban tekintse meg a Címtár hatókörrel rendelkező szerepkör-hozzárendeléseket.

Szerepkör-hozzárendelések listázása alkalmazásregisztrációs hatókörrel

Ez a szakasz azt ismerteti, hogyan listázhatja az egyalkalmazásos hatókörrel rendelkező szerepkör-hozzárendeléseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

2. Keresse meg az Entra-azonosítós>alkalmazásregisztrációkat.

3. Válasszon alkalmazásregisztrációt a megtekinteni kívánt szerepkör-hozzárendelések listájához.

   Előfordulhat, hogy a Microsoft Entra-szervezet alkalmazásregisztrációinak teljes listájának megtekintéséhez ki kell választania a Minden alkalmazást .

4. Válassza a Szerepkörök és rendszergazdák lehetőséget.

5. Válassza ki a szerepkör nevét a szerepkör megnyitásához.

6. Válassza a Hozzárendelések lehetőséget a szerepkör-hozzárendelések listázásához.

   Ha megnyitja a hozzárendelések lapját az alkalmazásregisztráción belül, megjeleníti azokat a szerepkör-hozzárendeléseket, amelyek erre a Microsoft Entra-erőforrásra terjednek ki.

   

7. A Hatókör oszlopban tekintse meg az Ezzel az erőforrás-hatókörrel rendelkező szerepkör-hozzárendeléseket.

Szerepkör-hozzárendelések listája felügyeleti egység hatókörében

A felügyeleti egység hatókörével létrehozott szerepkör-hozzárendeléseket a Microsoft Entra felügyeleti központ Felügyeleti egységek szakaszában tekintheti meg.

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

2. Keresse meg az Entra-azonosító>Szerepkörök és rendszergazdák>Admin egységek.

3. Válasszon egy felügyeleti egységet a megtekinteni kívánt szerepkör-hozzárendelések listájához.

4. Válassza a Szerepkörök és rendszergazdák lehetőséget.

5. Válassza ki a szerepkör nevét a szerepkör megnyitásához.

6. Válassza a Hozzárendelések lehetőséget a szerepkör-hozzárendelések listázásához.

   

7. A Hatókör oszlopban tekintse meg az Ezzel az erőforrás-hatókörrel rendelkező szerepkör-hozzárendeléseket.

PowerShell

Ez a szakasz ismerteti, hogyan tekinthetők meg egy bérlői hatókörű szerepkör hozzárendelései. Ez a szakasz a Microsoft Graph PowerShell-modult használja.

Beállítás

1. Telepítse a Microsoft Graph modult az Install-Module használatával.

   Install-Module -name Microsoft.Graph
   

2. A Connect-MgGraph paranccsal jelentkezzen be és használja a Microsoft Graph PowerShell-parancsmagokat.

   Connect-MgGraph
   

Szerepkör-hozzárendelések listázása bérlői szinten

A Get-MgRoleManagementDirectoryRoleDefinition és a Get-MgRoleManagementDirectoryRoleAssignment parancsokkal listázhatja a szerepkör-hozzárendeléseket.

Az alábbi példa bemutatja, hogyan listázhatja a csoportok rendszergazdai szerepköréhez tartozó szerepkör-hozzárendeléseket.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Az alábbi példa bemutatja, hogyan listázhatja az összes aktív szerepkör-hozzárendelést az összes szerepkörben, beleértve a beépített és az egyéni szerepköröket is.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Szerepkörök hozzárendeléseinek listázása egy adott személyhez

A Get-MgRoleManagementDirectoryRoleAssignment paranccsal listázhatja egy felhasználóhoz vagy más objektumhoz tartozó szerepkör-hozzárendeléseket.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Közvetlen és tranzitív szerepkör-hozzárendelések listázása egy tag számára

A List transitiveRoleAssignments API használatával közvetlenül és tranzitív módon rendelhet hozzá szerepköröket egy felhasználóhoz.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Csoport szerepkör-hozzárendeléseinek listázása

Csoport lekéréséhez használja a Get-MgGroup parancsot.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

A Get-MgRoleManagementDirectoryRoleAssignment paranccsal listázhatja a csoport szerepkör-hozzárendeléseit.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Szerepkör-hozzárendelések listája felügyeleti egység hatókörében

A Get-MgDirectoryAdministrativeUnitScopedRoleMember paranccsal listázhatja a szerepkör-hozzárendeléseket a felügyeleti egység hatókörével.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Graph API

Ez a szakasz azt ismerteti, hogyan listázhatja a bérlői hatókörrel rendelkező szerepkör-hozzárendeléseket. A szerepkör-hozzárendelések lekéréséhez használja a List unifiedRoleAssignments API-t.

Szerepkörök hozzárendeléseinek listázása egy adott személyhez

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Válasz

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Közvetlen és tranzitív szerepkör-hozzárendelések listázása egy tag számára

Az alábbi lépéseket követve listázhatja a felhasználóhoz hozzárendelt Microsoft Entra-szerepköröket a Microsoft Graph API-val a Graph Explorerben.

1. Jelentkezzen be a Graph Explorerbe.

2. A List transitiveRoleAssignments API használatával közvetlenül és tranzitív módon rendelhet hozzá szerepköröket egy felhasználóhoz. Adja hozzá a következő lekérdezést az URL-címhez.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Lépjen a Kérelem fejlécek lapra. Adja hozzá ConsistencyLevel kulcsként és Eventual értékként.

4. Válassza a Lekérdezés futtatása lehetőséget.

Csoport szerepkör-hozzárendeléseinek listázása

A Get group API használatával szerezzen meg egy csoportot.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

A szerepkör-hozzárendelés lekéréséhez használja a List unifiedRoleAssignments API-t.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Szerepkör-hozzárendelések listázása szerepkördefiníciókhoz

Az alábbi példa bemutatja, hogyan listázhatja egy adott szerepkördefiníció szerepkör-hozzárendeléseit.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Válasz

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Szerepkör hozzárendelés listázása azonosító alapján

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Válasz

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Szerepkör-hozzárendelések listázása alkalmazásregisztrációs hatókörrel

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Válasz

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Szerepkör-hozzárendelések listája felügyeleti egység hatókörében

A List scopedRoleMembers API használatával listázhatja a szerepkör-hozzárendeléseket a felügyeleti egység hatókörével.

Kérés

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Test

{}

Következő lépések

• Nyugodtan ossza meg velünk a Microsoft Entra felügyeleti szerepkörök fórumán.
• A szerepkör-engedélyekről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
• Az alapértelmezett felhasználói engedélyekért tekintse meg az alapértelmezett vendég- és tagfelhasználói engedélyek összehasonlítását.