Get-AzRoleAssignment

指定したスコープでの Azure RBAC ロールの割り当てを一覧表示します。 既定では、選択した Azure サブスクリプションのすべてのロールの割り当てが一覧表示されます。 特定のユーザーへの割り当てを一覧表示したり、特定のリソース グループまたはリソースの割り当てを一覧表示したりするには、それぞれのパラメーターを使用します。

コマンドレットは、入力パラメーターに従って Microsoft Graph API以下を呼び出す場合があります。

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

ロールの割り当てのオブジェクトが見つからない場合、または現在のアカウントにオブジェクトの種類を取得するための十分な権限がない場合、このコマンドレットは出力としてUnknownマークObjectTypeされることに注意してください。

構文

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

説明

Get-AzRoleAssignment コマンドを使用して、スコープで有効なすべてのロールの割り当てを一覧表示します。 このコマンドにパラメーターを指定しなかった場合、対象サブスクリプションで行われたすべてのロールの割り当てが返されます。 この一覧は、プリンシパル、ロール、スコープのフィルター 処理パラメーターを使用してフィルター処理できます。 割り当ての件名を指定する必要があります。 ユーザーを指定するには、SignInName パラメーターまたは Azure AD ObjectId パラメーターを使用します。 セキュリティ グループを指定するには、Azure AD ObjectId パラメーターを使用します。 また、Azure AD アプリケーションを指定するには、ServicePrincipalName または ObjectId パラメーターを使用します。 割り当てられているロールは、RoleDefinitionName パラメーターを使用して指定する必要があります。 アクセスを許可するスコープを指定できます。 既定では、選択したサブスクリプションが使用されます。 割り当てのスコープは、次のいずれかのパラメーターの組み合わせを使用して指定できます。 スコープ - /subscriptions/<subscriptionId> で始まる完全修飾スコープです。 これにより、その特定のスコープで有効な割り当て (つまり、そのスコープ以上のすべての割り当て) がフィルター処理されます。 b. ResourceGroupName - サブスクリプションの下にある任意のリソース グループの名前。 これにより、指定したリソース グループ c で有効な割り当てがフィルター処理されます。 ResourceName、ResourceType、ResourceGroupName、および (オプションで) ParentResource - サブスクリプションの特定のリソースを識別し、そのリソース スコープで有効な割り当てをフィルター処理します。 サブスクリプション内の特定のユーザーが持つアクセス権を確認するには、ExpandPrincipalGroups スイッチを使用します。 これにより、ユーザーに割り当てられているすべてのロールと、ユーザーがメンバーになっているグループが一覧表示されます。 IncludeClassicAdministrators スイッチを使用して、サブスクリプション管理者と共同管理者も表示します。

例 1

Get-AzRoleAssignment

サブスクリプション内のすべてのロールの割り当てを一覧表示する

例 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

ユーザーに対して行われたすべてのロールの割り当てと、そのユーザー john.doe@contoso.comがメンバーであるグループを testRG スコープ以上で取得します。

例 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

指定したサービス プリンシパルのすべてのロールの割り当てを取得します

例 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

"site1" Web サイトスコープでロールの割り当てを取得します。

パラメーター

-DefaultProfile

Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ExpandPrincipalGroups

指定した場合、ユーザーに直接割り当てられたロールと、ユーザーがメンバーであるグループ (推移的) を返します。 ユーザー プリンシパルでのみサポートされます。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-IncludeClassicAdministrators

指定した場合は、サブスクリプションクラシック管理者 (共同管理者、サービス管理者など) ロールの割り当ても一覧表示されます。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ObjectId

ユーザー、グループ、またはサービス プリンシパルの Azure AD ObjectId。 指定したプリンシパルに対して行われたすべての割り当てをフィルター処理します。

Type:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ParentResource

ResourceName パラメーターを使用して指定されたリソースの階層内の親リソース。 ResourceGroupName、ResourceType、および ResourceName パラメーターと組み合わせて使用する必要があります。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceGroupName

リソース グループ名。 指定したリソース グループで有効なロールの割り当てを一覧表示します。 ResourceName、ResourceType、ParentResource パラメーターと組み合わせて使用すると、リソース グループ内のリソースで有効な割り当てが一覧表示されます。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceName

リソースの名前。 例: storageaccountprod。 ResourceGroupName、ResourceType、および (オプションで) ParentResource パラメーターと組み合わせて使用する必要があります。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceType

リソースの種類。 たとえば、Microsoft.Network/virtualNetworks などです。 ResourceGroupName、ResourceName、および (オプションで) ParentResource パラメーターと組み合わせて使用する必要があります。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionId

プリンシパルに割り当てられているロールの ID。

Type:Guid
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionName

プリンシパルに割り当てられるロール (閲覧者、共同作成者、Virtual Network管理者など)。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-Scope

ロールの割り当てのスコープ。 相対 URI の形式。 /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG などの場合。 "/subscriptions/{id}" で始まる必要があります。 このコマンドは、そのスコープで有効なすべての割り当てをフィルター処理します。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ServicePrincipalName

サービス プリンシパルの ServicePrincipalName。 指定した Azure AD アプリケーションに対して行われたすべての割り当てをフィルター処理します。

Type:String
Aliases:SPN
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-SignInName

ユーザーの電子メール アドレスまたはユーザー プリンシパル名。 指定したユーザーに対して行われたすべての割り当てをフィルター処理します。

Type:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

入力

String

Guid

出力

PSRoleAssignment

メモ

キーワード: azure, azurerm, arm, リソース, 管理, マネージャー, リソース, グループ, テンプレート, デプロイ