Azure-roltoewijzingen weergeven met behulp van Azure PowerShell

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem om de toegang tot Azure-resources te beheren. Als u wilt bepalen tot welke resources gebruikers, groepen, service-principals of beheerde identiteiten toegang hebben, vermeldt u hun roltoewijzingen. In dit artikel wordt beschreven hoe u roltoewijzingen weergeeft met behulp van Azure PowerShell.

Notitie

U wordt aangeraden de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Notitie

Als uw organisatie beheerfuncties heeft uitbesteed aan een serviceprovider die gebruikmaakt van Azure Lighthouse, worden roltoewijzingen die zijn geautoriseerd door die serviceprovider, hier niet weergegeven.

Vereisten

Roltoewijzingen weergeven voor het huidige abonnement

De eenvoudigste manier om een lijst op te halen met alle roltoewijzingen in het huidige abonnement (inclusief overgenomen roltoewijzingen van hoofd- en beheergroepen) is get-AzRoleAssignment te gebruiken zonder parameters.

Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Alain
SignInName         : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId           : 44444444-4444-4444-4444-444444444444
ObjectType         : User
CanDelegate        : False

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName        : Marketing
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : Group
CanDelegate        : False

...

Roltoewijzingen weergeven voor een abonnement

Gebruik Get-AzRoleAssignment om alle roltoewijzingen in een abonnementsbereik weer te geven. Als u de abonnements-id wilt ophalen, kunt u deze vinden op de blade Abonnementen in de Azure Portal of u kunt Get-AzSubscription gebruiken.

Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>
PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000

Roltoewijzingen voor een gebruiker weergeven

Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname>
PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope

DisplayName        : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker en de rollen die zijn toegewezen aan de groepen waartoe de gebruiker behoort, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups
Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope

Roltoewijzingen voor een resourcegroep opvragen

Als u alle roltoewijzingen in het bereik van een resourcegroep wilt weergeven, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope

DisplayName        : Alain Charon
RoleDefinitionName : Backup Operator
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName        : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName        : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Roltoewijzingen voor een beheergroep weergeven

Gebruik Get-AzRoleAssignment om alle roltoewijzingen in het bereik van een beheergroep weer te geven. Als u de beheergroep-id wilt ophalen, kunt u deze vinden op de blade Beheergroepen in de Azure Portal of u kunt Get-AzManagementGroup gebruiken.

Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>
PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group

Roltoewijzingen voor een resource weergeven

Als u roltoewijzingen voor een specifieke resource wilt weergeven, gebruikt u Get-AzRoleAssignment en de -Scope parameter . Het bereik verschilt, afhankelijk van de resource. Als u het bereik wilt ophalen, kunt u uitvoeren Get-AzRoleAssignment zonder parameters om alle roltoewijzingen weer te geven en vervolgens het bereik te vinden dat u wilt weergeven.

Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>

In dit volgende voorbeeld ziet u hoe u de roltoewijzingen voor een opslagaccount weergeeft. Houd er rekening mee dat met deze opdracht ook roltoewijzingen worden vermeld in hogere bereiken, zoals resourcegroepen en abonnementen, die van toepassing zijn op dit opslagaccount.

PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"

Als u alleen roltoewijzingen wilt weergeven die rechtstreeks aan een resource zijn toegewezen, kunt u de opdracht Where-Object gebruiken om de lijst te filteren.

PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}

Roltoewijzingen weergeven voor klassieke servicebeheerders en co-beheerders

Gebruik Get-AzRoleAssignment om roltoewijzingen voor de klassieke abonnementsbeheerder en medebeheerders weer te geven.

Get-AzRoleAssignment -IncludeClassicAdministrators

Roltoewijzingen voor een beheerde identiteit weergeven

  1. Haal de object-id op van de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit.

    Als u de object-id van een door de gebruiker toegewezen beheerde identiteit wilt ophalen, kunt u Get-AzADServicePrincipal gebruiken.

    Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"
    
  2. Gebruik Get-AzRoleAssignment om de roltoewijzingen weer te geven.

    Get-AzRoleAssignment -ObjectId <objectid>
    

Volgende stappen