Listar atribuições de função do Microsoft Entra

  • Artigo

Este artigo descreve como listar funções atribuídas no Microsoft Entra ID. No Microsoft Entra, as funções podem ser atribuídas no escopo de toda a organização ou de um aplicativo individual.

  • As atribuições de função no escopo de toda a organização são adicionadas e podem ser vistas na lista de atribuições de função de aplicativo único.
  • As atribuições de função no escopo de aplicativo único não são adicionadas e não podem ser vistas na lista de atribuições no escopo de toda a organização.

Pré-requisitos

  • Módulo Microsoft Graph PowerShell ao usar o PowerShell
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Este procedimento descreve como listar as atribuições de função com escopo de toda a organização.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Identidade>Funções e administradores>Funções e administradores.

  3. Selecione uma função para abri-la e exibir suas propriedades.

  4. Selecione Atribuições para listar as atribuições de função.

    List role assignments and permissions when you open a role from the list

Listar minhas atribuições de função

É fácil listar suas próprias permissões também. Selecione Sua função na página Funções e administradores para ver as funções atribuídas atualmente a você.

List my role assignments

Baixar as atribuições de função

Para baixar todas as atribuições de função ativas em todas as funções, incluindo as funções internas e personalizadas, siga estas etapas (atualmente em versão prévia).

  1. Na página Funções e administradores, selecione Todas as funções.

  2. Selecione Baixar atribuições.

    Um arquivo CSV que lista as atribuições em todos os escopos para todas as funções é baixado.

    Screenshot showing download all role assignments.

Para baixar todas as atribuições de uma função específica, siga estas etapas.

  1. Na página Funções e administradores, selecione uma função.

  2. Selecione Baixar atribuições.

    Um arquivo CSV que lista as atribuições em todos os escopos para essa função será baixado.

    Screenshot showing download all assignments for a specific role.

Listar atribuições de função com escopo de aplicativo único

Esta seção descreve como listar atribuições de função com escopo de aplicativo único. Esse recurso está atualmente em visualização pública.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Identidade>Aplicativos>Registros do aplicativo.

  3. Selecione o registro do aplicativo para exibir suas propriedades. Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.

    Create or edit app registrations from the App registrations page

  4. No registro do aplicativo, selecione Funções e administradores e, em seguida, selecione uma função para exibir suas propriedades.

    List app registration role assignments from the App registrations page

  5. Selecione Atribuições para listar as atribuições de função. Ao abrir a página de atribuições dentro do registro de aplicativo serão exibidas as atribuições de função com escopo deste recurso do Microsoft Entra.

    List app registration role assignments from the properties of an app registration

PowerShell

Esta seção descreve a exibição de atribuições de uma função com escopo de toda a organização. Esse artigo usa o módulo PowerShell do Microsoft Graph. Para exibir atribuições de escopo de aplicativo único usando o PowerShell, você pode usar os cmdlets em Atribuir funções personalizadas com o PowerShell.

Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.

O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo as funções internas e personalizadas (atualmente em versão prévia).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API do Microsoft Graph

Esta seção descreve como listar as atribuições de função com escopo de toda a organização. Para listar atribuições de função com escopo de aplicativo único usando a API do Graph, use as operações em Atribuir funções personalizadas com a API do Graph.

Use a API Listar unifiedRoleAssignments para obter as atribuições de função para uma definição de função específica. O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica com a ID 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Resposta

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Próximas etapas