Wyświetlanie listy przypisań ról w usłudze Microsoft Entra

W tym artykule opisano sposób wyświetlania listy ról przypisanych w usłudze Microsoft Entra ID. W usłudze Microsoft Entra ID role można przypisywać w zakresie całej organizacji lub z zakresem pojedynczej aplikacji.

• Przypisania ról w zakresie całej organizacji są dodawane do i można je zobaczyć na liście przypisań ról pojedynczej aplikacji.
• Przypisania ról w zakresie pojedynczej aplikacji nie są dodawane do i nie można ich zobaczyć na liście przypisań obejmujących całą organizację.

Wymagania wstępne

• Moduł programu PowerShell programu Microsoft Graph podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

W tej procedurze opisano sposób wyświetlania listy przypisań ról z zakresem całej organizacji.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

3. Wybierz rolę, aby ją otworzyć i wyświetlić jej właściwości.

4. Wybierz pozycję Przypisania , aby wyświetlić listę przypisań ról.

   

Wyświetlanie listy przypisań ról

Można również łatwo wyświetlić własne uprawnienia. Wybierz swoją rolę na stronie Role i administratorzy , aby wyświetlić role, które są aktualnie przypisane do Ciebie.

Pobieranie przypisań ról

Aby pobrać wszystkie aktywne przypisania ról we wszystkich rolach, w tym wbudowane i niestandardowe role, wykonaj następujące kroki (obecnie w wersji zapoznawczej).

1. Na stronie Role i administratorzy wybierz pozycję Wszystkie role.

2. Wybierz pozycję Pobierz przypisania.

   Pobierany jest plik CSV, który zawiera listę przypisań we wszystkich zakresach dla wszystkich ról.

   

Aby pobrać wszystkie przypisania dla określonej roli, wykonaj następujące kroki.

1. Na stronie Role i administratorzy wybierz rolę.

2. Wybierz pozycję Pobierz przypisania.

   Plik CSV, który zawiera listę przypisań we wszystkich zakresach dla tej roli, jest pobierany.

   

Wyświetlanie listy przypisań ról z zakresem pojedynczej aplikacji

W tej sekcji opisano sposób wyświetlania listy przypisań ról z zakresem pojedynczej aplikacji. Ta funkcja jest obecnie w publicznej wersji zapoznawczej.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

3. Wybierz rejestrację aplikacji, aby wyświetlić jej właściwości. Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji firmy Microsoft Entra.

   

4. W rejestracji aplikacji wybierz pozycję Role i administratorzy, a następnie wybierz rolę, aby wyświetlić jej właściwości.

   

5. Wybierz pozycję Przypisania , aby wyświetlić listę przypisań ról. Otwarcie strony przypisania z poziomu rejestracji aplikacji pokazuje przypisania ról, które są ograniczone do tego zasobu Firmy Microsoft Entra.

   

PowerShell

W tej sekcji opisano wyświetlanie przypisań roli z zakresem całej organizacji. W tym artykule jest używany moduł Programu PowerShell programu Microsoft Graph. Aby wyświetlić przypisania zakresu pojedynczej aplikacji przy użyciu programu PowerShell, możesz użyć poleceń cmdlet w temacie Przypisywanie ról niestandardowych za pomocą programu PowerShell.

Użyj poleceń Get-MgRoleManagementDirectoryRoleDefinition i Get-MgRoleManagementDirectoryRoleAssignment, aby wyświetlić listę przypisań ról.

W poniższym przykładzie pokazano, jak wyświetlić listę przypisań ról dla roli Administracja istrator grupy.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

W poniższym przykładzie pokazano, jak wyświetlić listę wszystkich aktywnych przypisań ról we wszystkich rolach, w tym wbudowanych i niestandardowych (obecnie w wersji zapoznawczej).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Interfejsu API programu Microsoft Graph

W tej sekcji opisano sposób wyświetlania listy przypisań ról z zakresem całej organizacji. Aby wyświetlić listę przypisań ról w zakresie pojedynczej aplikacji przy użyciu interfejsu API programu Graph, możesz użyć operacji w temacie Przypisywanie ról niestandardowych za pomocą interfejsu API programu Graph.

Użyj interfejsu API List unifiedRoleAssignments , aby uzyskać przypisania ról dla określonej definicji roli. W poniższym przykładzie pokazano, jak wyświetlić listę przypisań ról dla określonej definicji roli o identyfikatorze 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Następne kroki

• Możesz się z nami podzielić na forum ról administracyjnych firmy Microsoft Entra.
• Aby uzyskać więcej informacji na temat uprawnień ról, zobacz Wbudowane role firmy Microsoft.
• Aby uzyskać domyślne uprawnienia użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.