Azure-roltoewijzingen weergeven met behulp van Azure PowerShell

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem om de toegang tot Azure-resources te beheren. Als u wilt bepalen tot welke resources gebruikers, groepen, service-principals of beheerde identiteiten toegang hebben, vermeldt u hun roltoewijzingen. In dit artikel wordt beschreven hoe u roltoewijzingen weergeeft met behulp van Azure PowerShell.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Notitie

Als uw organisatie beheerfuncties heeft uitbesteed aan een serviceprovider die gebruikmaakt van Azure Lighthouse, worden roltoewijzingen die zijn geautoriseerd door die serviceprovider, hier niet weergegeven. Op dezelfde manier zien gebruikers in de tenant van de serviceprovider geen roltoewijzingen voor gebruikers in de tenant van een klant, ongeacht de rol waaraan ze zijn toegewezen.

Vereisten

Roltoewijzingen weergeven voor het huidige abonnement

De eenvoudigste manier om een lijst op te halen met alle roltoewijzingen in het huidige abonnement (inclusief overgenomen roltoewijzingen van hoofd- en beheergroepen) is door Get-AzRoleAssignment zonder parameters te gebruiken.

Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Alain
SignInName         : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId           : 44444444-4444-4444-4444-444444444444
ObjectType         : User
CanDelegate        : False

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName        : Marketing
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : Group
CanDelegate        : False

...

Roltoewijzingen weergeven voor een abonnement

Als u alle roltoewijzingen in een abonnementsbereik wilt weergeven, gebruikt u Get-AzRoleAssignment. Als u de abonnements-id wilt ophalen, vindt u deze op de blade Abonnementen in Azure Portal of kunt u Get-AzSubscription gebruiken.

Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>
PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000

Roltoewijzingen voor een gebruiker weergeven

Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname>
PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope

DisplayName        : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker en de rollen die zijn toegewezen aan de groepen waartoe de gebruiker behoort, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups
Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope

Roltoewijzingen voor een resourcegroep opvragen

Als u alle roltoewijzingen in een resourcegroepbereik wilt weergeven, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope

DisplayName        : Alain Charon
RoleDefinitionName : Backup Operator
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName        : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName        : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Roltoewijzingen voor een beheergroep weergeven

Als u alle roltoewijzingen in een beheergroepbereik wilt weergeven, gebruikt u Get-AzRoleAssignment. Als u de beheergroep-id wilt ophalen, vindt u deze op de blade Beheergroepen in Azure Portal of kunt u Get-AzManagementGroup gebruiken.

Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>
PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group

Roltoewijzingen voor een resource weergeven

Als u roltoewijzingen voor een specifieke resource wilt weergeven, gebruikt u Get-AzRoleAssignment en de -Scope parameter. Het bereik is afhankelijk van de resource. Als u het bereik wilt ophalen, kunt u zonder parameters uitvoeren Get-AzRoleAssignment om alle roltoewijzingen weer te geven en vervolgens het bereik te vinden dat u wilt weergeven.

Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>

In dit volgende voorbeeld ziet u hoe u de roltoewijzingen voor een opslagaccount weergeeft. Houd er rekening mee dat deze opdracht ook roltoewijzingen vermeldt op hogere bereiken, zoals resourcegroepen en abonnementen, die van toepassing zijn op dit opslagaccount.

PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"

Als u alleen roltoewijzingen wilt weergeven die rechtstreeks aan een resource zijn toegewezen, kunt u de opdracht Where-Object gebruiken om de lijst te filteren.

PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}

Roltoewijzingen weergeven voor klassieke servicebeheerder en medebeheerders

Als u roltoewijzingen wilt weergeven voor de klassieke abonnementsbeheerder en medebeheerders, gebruikt u Get-AzRoleAssignment.

Get-AzRoleAssignment -IncludeClassicAdministrators

Roltoewijzingen weergeven voor een beheerde identiteit

  1. Haal de object-id op van de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit.

    Als u de object-id van een door de gebruiker toegewezen beheerde identiteit wilt ophalen, kunt u Get-AzADServicePrincipal gebruiken.

    Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"
    
  2. Gebruik Get-AzRoleAssignment om de roltoewijzingen weer te geven.

    Get-AzRoleAssignment -ObjectId <objectid>
    

Volgende stappen