Azure-roltoewijzingen weergeven met behulp van Azure PowerShell
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem om de toegang tot Azure-resources te beheren. Als u wilt bepalen tot welke resources gebruikers, groepen, service-principals of beheerde identiteiten toegang hebben, vermeldt u hun roltoewijzingen. In dit artikel wordt beschreven hoe u roltoewijzingen weergeeft met behulp van Azure PowerShell.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Notitie
Als uw organisatie beheerfuncties heeft uitbesteed aan een serviceprovider die gebruikmaakt van Azure Lighthouse, worden roltoewijzingen die zijn geautoriseerd door die serviceprovider, hier niet weergegeven. Op dezelfde manier zien gebruikers in de tenant van de serviceprovider geen roltoewijzingen voor gebruikers in de tenant van een klant, ongeacht de rol waaraan ze zijn toegewezen.
Vereisten
Roltoewijzingen weergeven voor het huidige abonnement
De eenvoudigste manier om een lijst op te halen met alle roltoewijzingen in het huidige abonnement (inclusief overgenomen roltoewijzingen van hoofd- en beheergroepen) is door Get-AzRoleAssignment zonder parameters te gebruiken.
Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : Alain
SignInName : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Marketing
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : Group
CanDelegate : False
...
Roltoewijzingen weergeven voor een abonnement
Als u alle roltoewijzingen in een abonnementsbereik wilt weergeven, gebruikt u Get-AzRoleAssignment. Als u de abonnements-id wilt ophalen, vindt u deze op de blade Abonnementen in Azure Portal of kunt u Get-AzSubscription gebruiken.
Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>
PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000
Roltoewijzingen voor een gebruiker weergeven
Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname>
PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker en de rollen die zijn toegewezen aan de groepen waartoe de gebruiker behoort, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups
Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope
Roltoewijzingen voor een resourcegroep opvragen
Als u alle roltoewijzingen in een resourcegroepbereik wilt weergeven, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Alain Charon
RoleDefinitionName : Backup Operator
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Roltoewijzingen voor een beheergroep weergeven
Als u alle roltoewijzingen in een beheergroepbereik wilt weergeven, gebruikt u Get-AzRoleAssignment. Als u de beheergroep-id wilt ophalen, vindt u deze op de blade Beheergroepen in Azure Portal of kunt u Get-AzManagementGroup gebruiken.
Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>
PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group
Roltoewijzingen voor een resource weergeven
Als u roltoewijzingen voor een specifieke resource wilt weergeven, gebruikt u Get-AzRoleAssignment en de -Scope
parameter. Het bereik is afhankelijk van de resource. Als u het bereik wilt ophalen, kunt u zonder parameters uitvoeren Get-AzRoleAssignment
om alle roltoewijzingen weer te geven en vervolgens het bereik te vinden dat u wilt weergeven.
Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>
In dit volgende voorbeeld ziet u hoe u de roltoewijzingen voor een opslagaccount weergeeft. Houd er rekening mee dat deze opdracht ook roltoewijzingen vermeldt op hogere bereiken, zoals resourcegroepen en abonnementen, die van toepassing zijn op dit opslagaccount.
PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"
Als u alleen roltoewijzingen wilt weergeven die rechtstreeks aan een resource zijn toegewezen, kunt u de opdracht Where-Object gebruiken om de lijst te filteren.
PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}
Roltoewijzingen weergeven voor klassieke servicebeheerder en medebeheerders
Als u roltoewijzingen wilt weergeven voor de klassieke abonnementsbeheerder en medebeheerders, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -IncludeClassicAdministrators
Roltoewijzingen weergeven voor een beheerde identiteit
Haal de object-id op van de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit.
Als u de object-id van een door de gebruiker toegewezen beheerde identiteit wilt ophalen, kunt u Get-AzADServicePrincipal gebruiken.
Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"
Gebruik Get-AzRoleAssignment om de roltoewijzingen weer te geven.
Get-AzRoleAssignment -ObjectId <objectid>