Este artigo descreve como listar funções atribuídas na ID do Microsoft Entra usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.
As atribuições de função contêm informações que vinculam uma determinada entidade de segurança (um usuário, grupo ou entidade de serviço de aplicativo) a uma definição de função. Listar usuários, grupos e funções atribuídas são permissões de usuário padrão.
No Microsoft Entra ID, as funções podem ser atribuídas em escopos diferentes.
Listar minhas atribuições de função
Também é fácil listar suas próprias permissões. Na página Funções e administradores , selecione Sua Função para ver as funções que estão atualmente atribuídas a você.
Listar atribuições de função para um usuário
Siga estas etapas para listar as funções do Microsoft Entra para um usuário usando o centro de administração do Microsoft Entra. Sua experiência será diferente dependendo se você tiver o Microsoft Entra Privileged Identity Management (PIM) habilitado.
Entre no centro de administração do Microsoft Entra.
Navegue até Entra ID>Utilizadores.
Selecione o nome> de usuárioFunções atribuídas.
Você pode ver a lista de funções atribuídas ao usuário em diferentes escopos. Além disso, você pode ver se a função foi atribuída diretamente ou por meio de um grupo.
Se tiver uma licença Microsoft Entra ID P2, verás as funcionalidades do PIM, que incluem detalhes de atribuição de função elegíveis, ativos e expirados.
Listar atribuições de função para um grupo
Entre no centro de administração do Microsoft Entra.
Navegue até Entra ID>Grupos>Todos os grupos.
Selecione um grupo com atribuição de funções.
Para determinar se um grupo é atribuível a funções, pode ver as Propriedades para o grupo.
Selecione Funções atribuídas.
Agora você pode ver todas as funções do Microsoft Entra atribuídas a esse grupo. Se não vir a opção Funções atribuídas , o grupo não é um grupo atribuível a funções.
Baixar atribuições de função
Para baixar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas, siga estas etapas.
As operações em massa só podem ser executadas por até 1 hora e têm limitações em locatários grandes. Para obter mais informações, consulte Operações em massa e Criar usuários em massa no Microsoft Entra ID.
Na página Funções e administradores , selecione Todas as funções.
Selecione Descarregar tarefas.
Especifique um nome de arquivo e selecione Iniciar download.
Um arquivo CSV que lista atribuições em todos os escopos para todas as funções é baixado.
Para baixar atribuições de função para uma função específica, siga estas etapas.
Na página Funções e administradores , selecione uma função.
Selecione Descarregar tarefas.
Se você tiver uma licença do Microsoft Entra ID P2, verá a experiência do PIM. Selecione Exportar para baixar as atribuições de função.
Um arquivo CSV que lista atribuições em todos os escopos para essa função é baixado.
Listar atribuições de função no âmbito do inquilino
Este procedimento descreve como listar atribuições de função com âmbito do inquilino.
Entre no centro de administração do Microsoft Entra.
Navegue até Entra IDFunções & administradores.
Selecione um nome de função para abri-la. Não adicione uma marca de seleção ao lado da função.
Selecione Atribuições para listar as atribuições de função.
Na coluna Escopo, veja as atribuições de função com o escopo Diretório.
Listar atribuições de função com escopo de registo de aplicação
Esta seção descreve como listar atribuições de função com escopo de aplicativo único.
Entre no centro de administração do Microsoft Entra.
Navegue até Entra ID>Registros de aplicativos.
Selecione um registo de aplicação para a lista de atribuições de função que pretende visualizar.
Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.
Selecione Funções e administradores.
Selecione um nome de função para abri-la.
Selecione Atribuições para listar as atribuições de função.
Ao abrir a página de atribuições a partir do registo da aplicação, são exibidas as atribuições de funções associadas a este recurso do Microsoft Entra.
Na coluna Escopo, veja as atribuições de função no escopo de Este recurso.
Listar atribuições de função no âmbito da unidade administrativa
Você pode exibir todas as atribuições de função criadas com um escopo de unidade administrativa na seção Unidades administrativas do centro de administração do Microsoft Entra.
Entre no centro de administração do Microsoft Entra.
Navegue até Entra ID>Funções e administradores>Unidades administrativas.
Selecione uma unidade administrativa para a lista de atribuições de função que você deseja exibir.
Selecione Funções e administradores.
Selecione um nome de função para abri-la.
Selecione Atribuições para listar as atribuições de função.
Na coluna Escopo, veja as atribuições de função no escopo de Este recurso.
Esta seção descreve como visualizar atribuições de uma função com escopo de cliente. Esta seção usa o módulo Microsoft Graph PowerShell.
Configuração
Instale o módulo Microsoft Graph usando Install-Module.
Install-Module -name Microsoft.Graph
Use o comando Connect-MgGraph para entrar e usar cmdlets do Microsoft Graph PowerShell.
Connect-MgGraph
Listar atribuições de função no âmbito do inquilino
Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.
O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos .
# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas.
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
Listar atribuições de função para um principal
Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de papel para um principal.
# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
Listar atribuições de função diretas e transitivas para um principal
Utilize a API List transitiveRoleAssignments para obter funções atribuídas diretamente e transitivamente a um utilizador.
$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}
$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value
Listar atribuições de função para um grupo
Use o comando Get-MgGroup para obter um grupo.
Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"
Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de função para o grupo.
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'"
Listar atribuições de função no âmbito da unidade administrativa
Use o comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para listar atribuições de função com escopo de unidade administrativa.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Esta seção descreve como listar atribuições de função com escopo de inquilino. Utilize a API List unifiedRoleAssignments para obter as atribuições de função.
Listar atribuições de função para um principal
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'
Resposta
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
"directoryScopeId": "/"
}
]
}
Listar atribuições de função diretas e transitivas para um principal
Siga estas etapas para listar as funções do Microsoft Entra atribuídas a um usuário usando a API do Microsoft Graph no Graph Explorer.
Inicie sessão no Graph Explorer.
Utilize a API List transitiveRoleAssignments para obter funções atribuídas diretamente e transitivamente a um utilizador. Adicione a seguinte consulta ao URL.
GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
Navegue até a guia Solicitar cabeçalhos . Adicione ConsistencyLevel
como chave e Eventual
como seu valor.
Selecione Executar consulta.
Listar atribuições de função para um grupo
Utilize a API Obter grupo para obter um grupo.
GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'
Utilize a API List unifiedRoleAssignments para obter a atribuição de função.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq
Listar atribuições de função para uma definição de função
O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'
Resposta
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Listar uma atribuição de função por ID
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Resposta
HTTP/1.1 200 OK
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
}
Listar atribuições de função com escopo de registo de aplicação
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'
Resposta
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
}
]
}
Listar atribuições de função no âmbito da unidade administrativa
Use a API List scopedRoleMembers para listar atribuições de funções com escopo de unidade administrativa.
Pedido
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Corpo
{}