次の方法で共有


Get-AzRoleAssignment

指定したスコープでの Azure RBAC ロールの割り当てを一覧表示します。 既定では、選択した Azure サブスクリプション内のすべてのロールの割り当てが一覧表示されます。 特定のユーザーへの割り当てを一覧表示したり、特定のリソース グループまたはリソースに対する割り当てを一覧表示したりするには、それぞれのパラメーターを使用します。

このコマンドレットは、入力パラメーターに従って、以下の Microsoft Graph API を呼び出す場合があります。

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

このコマンドレットは、ロールの割り当てのオブジェクトが見つからない場合、または現在のアカウントにオブジェクトの種類を取得するための十分な権限がない場合、 ObjectType を出力に Unknown としてマークします。

構文

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

説明

Get-AzRoleAssignment コマンドを使用して、スコープで有効なすべてのロールの割り当てを一覧表示します。 このコマンドにパラメーターを指定しなかった場合、対象サブスクリプションで行われたすべてのロールの割り当てが返されます。 この一覧は、プリンシパル、ロール、スコープのフィルター 処理パラメーターを使用してフィルター処理できます。 割り当ての件名を指定する必要があります。 ユーザーを指定するには、SignInName パラメーターまたは Microsoft Entra ObjectId パラメーターを使用します。 セキュリティ グループを指定するには、Microsoft Entra ObjectId パラメーターを使用します。 Microsoft Entra アプリケーションを指定するには、ServicePrincipalName または ObjectId パラメーターを使用します。 割り当てられているロールは、RoleDefinitionName パラメーターを使用して指定する必要があります。 アクセスを許可するスコープを指定できます。 既定では、選択したサブスクリプションが使用されます。 割り当てのスコープは、次のいずれかのパラメーターの組み合わせを使用して指定できます。 スコープ - /subscriptions/<subscriptionId> で始まる完全修飾スコープです。 これにより、その特定のスコープで有効な割り当て (つまり、そのスコープ以上のすべての割り当て) がフィルター処理されます。 b. ResourceGroupName - サブスクリプションの下にある任意のリソース グループの名前。 これにより、指定されたリソース グループ c で有効な割り当てがフィルター処理されます。 ResourceName、ResourceType、ResourceGroupName、および (必要に応じて) ParentResource - サブスクリプションの特定のリソースを識別し、そのリソース スコープで有効な割り当てをフィルター処理します。 サブスクリプション内の特定のユーザーが持つアクセス権を確認するには、ExpandPrincipalGroups スイッチを使用します。 これにより、ユーザーとユーザーがメンバーになっているグループに割り当てられているすべてのロールが一覧表示されます。 IncludeClassicAdministrators スイッチを使用して、サブスクリプション管理者と共同管理者も表示します。

例 1

Get-AzRoleAssignment

サブスクリプション内のすべてのロールの割り当てを一覧表示する

例 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

testRG スコープ以上で、ユーザー john.doe@contoso.comに対して行われたすべてのロールの割り当てと、メンバーであるグループを取得します。

例 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

指定したサービス プリンシパルのすべてのロールの割り当てを取得します

例 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

'site1' Web サイト スコープでのロールの割り当てを取得します。

パラメーター

-DefaultProfile

Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション

型:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ExpandPrincipalGroups

指定した場合、ユーザーとユーザーがメンバーであるグループに直接割り当てられたロールを返します (推移的)。 ユーザー プリンシパルに対してのみサポートされます。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-IncludeClassicAdministrators

指定した場合は、サブスクリプション クラシック管理者 (共同管理者、サービス管理者など) ロールの割り当ても一覧表示されます。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ObjectId

ユーザー、グループ、またはサービス プリンシパルの Microsoft Entra ObjectId。 指定したプリンシパルに対して行われたすべての割り当てをフィルター処理します。

型:String
Aliases:Id, PrincipalId
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ParentResource

ResourceName パラメーターを使用して指定されたリソースの階層内の親リソース。 ResourceGroupName、ResourceType、および ResourceName パラメーターと組み合わせて使用する必要があります。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ResourceGroupName

リソース グループ名。 指定したリソース グループで有効なロールの割り当てを一覧表示します。 ResourceName、ResourceType、ParentResource の各パラメーターと組み合わせて使用すると、リソース グループ内のリソースで有効な割り当てが一覧表示されます。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ResourceName

リソースの名前。 例: storageaccountprod。 ResourceGroupName、ResourceType、および (オプションで) ParentResource パラメーターと組み合わせて使用する必要があります。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ResourceType

リソースの種類。 たとえば、Microsoft.Network/virtualNetworks などです。 ResourceGroupName、ResourceName、および (オプションで) ParentResource パラメーターと組み合わせて使用する必要があります。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-RoleDefinitionId

プリンシパルに割り当てられているロールの ID。

型:Guid
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-RoleDefinitionName

プリンシパル (閲覧者、共同作成者、仮想ネットワーク管理者など) に割り当てられるロール。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Scope

ロールの割り当てのスコープ。 相対 URI の形式。 例: /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG。 "/subscriptions/{id}" で始まる必要があります。 このコマンドは、そのスコープで有効なすべての割り当てをフィルター処理します。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ServicePrincipalName

サービス プリンシパルの ServicePrincipalName。 指定した Microsoft Entra アプリケーションに対して行われたすべての割り当てをフィルター処理します。

型:String
Aliases:SPN
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-SignInName

ユーザーの電子メール アドレスまたはユーザー プリンシパル名。 指定したユーザーに対して行われたすべての割り当てをフィルター処理します。

型:String
Aliases:Email, UserPrincipalName
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-SkipClientSideScopeValidation

指定した場合は、クライアント側のスコープの検証をスキップします。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

String

Guid

出力

PSRoleAssignment

メモ

キーワード: azure, azurerm, arm, リソース, 管理, マネージャー, リソース, グループ, テンプレート, デプロイ