Microsoft Entra-roltoewijzingen vermelden

In dit artikel wordt beschreven hoe u rollen vermeldt die u hebt toegewezen in Microsoft Entra-id met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API.

Roltoewijzingen bevatten informatie die een bepaalde beveiligingsprincipaal (een gebruiker, groep of toepassingsservice-principal) koppelt aan een roldefinitie. Het vermelden van gebruikers, groepen en toegewezen rollen zijn standaardgebruikersmachtigingen.

Omvang

In Microsoft Entra ID kunnen rollen op verschillende niveaus worden toegewezen.

• Roltoewijzingen op tenantbereik worden toegevoegd aan en weergegeven in de lijst met roltoewijzingen voor een enkele toepassing.
• Roltoewijzingen binnen het bereik van één toepassing worden niet toegevoegd en kunnen niet worden weergegeven in de lijst met toewijzingen met tenantbereik.

Vereisten

• Microsoft Graph PowerShell-module bij het gebruik van PowerShell
• U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Zie Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-roltoewijzingen vermelden

Beheercentrum

Mijn roltoewijzingen weergeven

Het is ook eenvoudig uw eigen machtigingen weer te geven. Selecteer uw rol op de pagina Rollen en beheerders om de rollen te zien die momenteel aan u zijn toegewezen.

Roltoewijzingen voor een gebruiker weergeven

Volg deze stappen om Microsoft Entra-rollen voor een gebruiker weer te geven met behulp van het Microsoft Entra-beheercentrum. Uw ervaring verschilt, afhankelijk van of Microsoft Entra Privileged Identity Management (PIM) is ingeschakeld.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Entra ID>Gebruikers.

3. Selecteer gebruikersnaam>toegewezen rollen.

   U kunt de lijst met rollen zien die aan de gebruiker zijn toegewezen op verschillende niveaus. Daarnaast kunt u zien of de rol rechtstreeks of via een groep is toegewezen.

   

   Als u een Microsoft Entra ID P2-licentie hebt, krijgt u de PIM-ervaring te zien, met details over in aanmerking komende, actieve en verlopen roltoewijzingen.

   

Roltoewijzingen voor een groep weergeven

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Entra-id-groepen>>Alle groepen.

3. Selecteer een groep waaraan rollen kunnen worden toegewezen.

   Als u wilt bepalen of een groep roltoewijsbaar is, kunt u de eigenschappen voor de groep bekijken.

4. Selecteer Toegewezen rollen.

   U kunt nu alle Microsoft Entra-rollen zien die aan deze groep zijn toegewezen. Als u de optie Toegewezen rollen niet ziet, is de groep geen roltoewijzingsgroep.

   

Roltoewijzingen downloaden

Als u alle actieve roltoewijzingen voor alle rollen wilt downloaden, inclusief ingebouwde en aangepaste rollen, volgt u deze stappen.

Bulkbewerkingen kunnen tot maximaal 1 uur worden uitgevoerd en hebben beperkingen bij grote huurders. Voor meer informatie, zie Bulkbewerkingen en Bulkgebruikers maken in Microsoft Entra ID.

1. Selecteer Alle rollen op de pagina Rollen en beheerders.

2. Selecteer Opdrachten downloaden.

   

3. Geef een bestandsnaam op en selecteer Downloaden starten.

   Er wordt een CSV-bestand gedownload met de toewijzingen op alle niveaus voor alle rollen.

Volg deze stappen om roltoewijzingen voor een specifieke rol te downloaden.

1. Selecteer een rol op de pagina Rollen en beheerders .

2. Selecteer Opdrachten downloaden.

   Als u een Microsoft Entra ID P2-licentie hebt, ziet u de PIM-ervaring. Selecteer Exporteren om de roltoewijzingen te downloaden.

   Er wordt een CSV-bestand gedownload met de toewijzingen voor alle bereiken voor die rol.

Roltoewijzingen weergeven met tenantbereik

In deze procedure wordt beschreven hoe u roltoewijzingen op tenantniveau weergeeft.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Entra IDRollen & beheerders.

3. Selecteer een rolnaam om de rol te openen. Voeg geen vinkje toe naast de rol.

   

4. Selecteer Toewijzingen om de roltoewijzingen weer te geven.

   

5. Zie in de kolom Bereik de roltoewijzingen met het Directorybereik.

Roltoewijzingen tonen binnen het toepassingsregistratiebereik

In deze sectie wordt beschreven hoe u roltoewijzingen met één toepassingsbereik weergeeft.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Entra ID>app-registraties.

3. Selecteer een app-registratie voor de lijst met roltoewijzingen die u wilt weergeven.

   Mogelijk moet u alle toepassingen selecteren om de volledige lijst met app-registraties in uw Microsoft Entra-organisatie weer te geven.

4. Selecteer Rollen en beheerders.

5. Selecteer een rolnaam om de rol te openen.

6. Selecteer Toewijzingen om de roltoewijzingen weer te geven.

   Wanneer u de pagina toewijzingen opent vanuit de app-registratie, ziet u de roltoewijzingen die zijn gericht op deze Microsoft Entra-resource.

   

7. Zie in de kolom Bereik de roltoewijzingen met deze resource.

Roltoewijzingen weergeven binnen de context van beheereenheden

U kunt alle roltoewijzingen weergeven die zijn gemaakt met een beheereenheidbereik in de sectie Beheereenheden van het Microsoft Entra-beheercentrum.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Entra IDRollen & adminsBeheerdersunits.

3. Selecteer een beheereenheid voor de lijst met roltoewijzingen die u wilt weergeven.

4. Selecteer Rollen en beheerders.

5. Selecteer een rolnaam om de rol te openen.

6. Selecteer Toewijzingen om de roltoewijzingen weer te geven.

   

7. Zie in de kolom Bereik de roltoewijzingen met deze resource.

PowerShell

In deze sectie worden de weergavetoewijzingen van een rol met tenantbereik beschreven. In deze sectie wordt de Microsoft Graph PowerShell-module gebruikt.

Installatie

1. Installeer de Microsoft Graph-module met behulp van Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Gebruik de opdracht Connect-MgGraph om u aan te melden en microsoft Graph PowerShell-cmdlets te gebruiken.

   Connect-MgGraph
   

Roltoewijzingen weergeven met tenantbereik

Gebruik de opdrachten Get-MgRoleManagementDirectoryRoleDefinition en Get-MgRoleManagementDirectoryRoleAssignment om roltoewijzingen weer te geven.

In het volgende voorbeeld ziet u hoe u de roltoewijzingen voor de rol Groepsbeheerder weergeeft.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

In het volgende voorbeeld ziet u hoe u alle actieve roltoewijzingen voor alle rollen weergeeft, inclusief ingebouwde en aangepaste rollen.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Roltoewijzingen voor een principal weergeven

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleAssignment om de roltoewijzingen voor een principal weer te geven.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Directe en transitieve roltoewijzingen voor een principal vermelden

Gebruik de List transitiveRoleAssignments-API om rollen rechtstreeks en transitief aan een gebruiker toe te wijzen.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Roltoewijzingen voor een groep weergeven

Gebruik de opdracht Get-MgGroup om een groep op te halen.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleAssignment om de roltoewijzingen voor de groep weer te geven.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Roltoewijzingen weergeven binnen de context van beheereenheden

Gebruik de opdracht Get-MgDirectoryAdministrativeUnitScopedRoleMember om roltoewijzingen weer te geven binnen de scope van een beheereenheid.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Grafiek-API

In deze sectie wordt beschreven hoe u roltoewijzingen binnen de scope van een tenant weergeeft. Gebruik de List unifiedRoleAssignments-API om de roltoewijzingen op te halen.

Roltoewijzingen voor een principal weergeven

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Respons

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Directe en transitieve roltoewijzingen voor een principal vermelden

Volg deze stappen om Microsoft Entra-rollen weer te geven die zijn toegewezen aan een gebruiker met behulp van de Microsoft Graph API in Graph Explorer.

1. Meld u aan bij Graph Explorer.

2. Gebruik de List transitiveRoleAssignments-API om rollen rechtstreeks en transitief aan een gebruiker toe te wijzen. Voeg de volgende query toe aan de URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Ga naar het tabblad Aanvraagheaders . Voeg ConsistencyLevel als sleutel en Eventual als waarde toe.

4. Selecteer Query uitvoeren.

Roltoewijzingen voor een groep weergeven

Gebruik de API Groep ophalen om een groep op te halen.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Gebruik de List unifiedRoleAssignments-API om de roltoewijzing op te halen.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Roltoewijzingen weergeven voor een roldefinitie

In het volgende voorbeeld ziet u hoe u de roltoewijzingen voor een specifieke roldefinitie kunt weergeven.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Respons

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Een roltoewijzing per id weergeven

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Respons

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Roltoewijzingen tonen binnen het toepassingsregistratiebereik

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Respons

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Roltoewijzingen weergeven binnen de context van beheereenheden

Gebruik de API List scopedRoleMembers om roltoewijzingen weer te geven met de reikwijdte van een beheereenheid.

Verzoek

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Lichaam

{}

Volgende stappen

• U kunt dit delen met ons op het Microsoft Entra-beheerrollenforum.
• Zie ingebouwde rollen van Microsoft Entra voor meer informatie over rolmachtigingen.
• Zie een vergelijking van de standaardmachtigingen voor gast- en lidgebruikers.