Listar atribuições de função do Microsoft Entra

Este artigo descreve como listar funções atribuídas na ID do Microsoft Entra usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.

As atribuições de função contêm informações que vinculam uma determinada entidade de segurança (um usuário, grupo ou entidade de serviço de aplicativo) a uma definição de função. Listar usuários, grupos e funções atribuídas são permissões de usuário padrão.

Âmbitos de aplicação

No Microsoft Entra ID, as funções podem ser atribuídas em escopos diferentes.

• As atribuições de função no âmbito do locatário são adicionadas e visualizadas na lista de atribuições de função para um único aplicativo.
• As atribuições de função no escopo de aplicação única não são adicionadas e não podem ser vistas na lista de atribuições com escopo de locatário.

Pré-requisitos

• Módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao utilizar o Graph Explorer da API do Microsoft Graph

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Listar atribuições de função do Microsoft Entra

Centro de administração

Listar minhas atribuições de função

Também é fácil listar suas próprias permissões. Na página Funções e administradores , selecione Sua Função para ver as funções que estão atualmente atribuídas a você.

Listar atribuições de função para um usuário

Siga estas etapas para listar as funções do Microsoft Entra para um usuário usando o centro de administração do Microsoft Entra. Sua experiência será diferente dependendo se você tiver o Microsoft Entra Privileged Identity Management (PIM) habilitado.

1. Entre no centro de administração do Microsoft Entra.

2. Navegue até Entra ID>Utilizadores.

3. Selecione o nome> de usuárioFunções atribuídas.

   Você pode ver a lista de funções atribuídas ao usuário em diferentes escopos. Além disso, você pode ver se a função foi atribuída diretamente ou por meio de um grupo.

   

   Se tiver uma licença Microsoft Entra ID P2, verás as funcionalidades do PIM, que incluem detalhes de atribuição de função elegíveis, ativos e expirados.

   

Listar atribuições de função para um grupo

1. Entre no centro de administração do Microsoft Entra.

2. Navegue até Entra ID>Grupos>Todos os grupos.

3. Selecione um grupo com atribuição de funções.

   Para determinar se um grupo é atribuível a funções, pode ver as Propriedades para o grupo.

4. Selecione Funções atribuídas.

   Agora você pode ver todas as funções do Microsoft Entra atribuídas a esse grupo. Se não vir a opção Funções atribuídas , o grupo não é um grupo atribuível a funções.

   

Baixar atribuições de função

Para baixar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas, siga estas etapas.

As operações em massa só podem ser executadas por até 1 hora e têm limitações em locatários grandes. Para obter mais informações, consulte Operações em massa e Criar usuários em massa no Microsoft Entra ID.

1. Na página Funções e administradores , selecione Todas as funções.

2. Selecione Descarregar tarefas.

   

3. Especifique um nome de arquivo e selecione Iniciar download.

   Um arquivo CSV que lista atribuições em todos os escopos para todas as funções é baixado.

Para baixar atribuições de função para uma função específica, siga estas etapas.

1. Na página Funções e administradores , selecione uma função.

2. Selecione Descarregar tarefas.

   Se você tiver uma licença do Microsoft Entra ID P2, verá a experiência do PIM. Selecione Exportar para baixar as atribuições de função.

   Um arquivo CSV que lista atribuições em todos os escopos para essa função é baixado.

Listar atribuições de função no âmbito do inquilino

Este procedimento descreve como listar atribuições de função com âmbito do inquilino.

1. Entre no centro de administração do Microsoft Entra.

2. Navegue até Entra IDFunções & administradores.

3. Selecione um nome de função para abri-la. Não adicione uma marca de seleção ao lado da função.

   

4. Selecione Atribuições para listar as atribuições de função.

   

5. Na coluna Escopo, veja as atribuições de função com o escopo Diretório.

Listar atribuições de função com escopo de registo de aplicação

Esta seção descreve como listar atribuições de função com escopo de aplicativo único.

1. Entre no centro de administração do Microsoft Entra.

2. Navegue até Entra ID>Registros de aplicativos.

3. Selecione um registo de aplicação para a lista de atribuições de função que pretende visualizar.

   Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.

4. Selecione Funções e administradores.

5. Selecione um nome de função para abri-la.

6. Selecione Atribuições para listar as atribuições de função.

   Ao abrir a página de atribuições a partir do registo da aplicação, são exibidas as atribuições de funções associadas a este recurso do Microsoft Entra.

   

7. Na coluna Escopo, veja as atribuições de função no escopo de Este recurso.

Listar atribuições de função no âmbito da unidade administrativa

Você pode exibir todas as atribuições de função criadas com um escopo de unidade administrativa na seção Unidades administrativas do centro de administração do Microsoft Entra.

1. Entre no centro de administração do Microsoft Entra.

2. Navegue até Entra ID>Funções e administradores>Unidades administrativas.

3. Selecione uma unidade administrativa para a lista de atribuições de função que você deseja exibir.

4. Selecione Funções e administradores.

5. Selecione um nome de função para abri-la.

6. Selecione Atribuições para listar as atribuições de função.

   

7. Na coluna Escopo, veja as atribuições de função no escopo de Este recurso.

PowerShell

Esta seção descreve como visualizar atribuições de uma função com escopo de cliente. Esta seção usa o módulo Microsoft Graph PowerShell.

Configuração

1. Instale o módulo Microsoft Graph usando Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Use o comando Connect-MgGraph para entrar e usar cmdlets do Microsoft Graph PowerShell.

   Connect-MgGraph
   

Listar atribuições de função no âmbito do inquilino

Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.

O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos .

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Listar atribuições de função para um principal

Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de papel para um principal.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Listar atribuições de função diretas e transitivas para um principal

Utilize a API List transitiveRoleAssignments para obter funções atribuídas diretamente e transitivamente a um utilizador.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Listar atribuições de função para um grupo

Use o comando Get-MgGroup para obter um grupo.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de função para o grupo.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Listar atribuições de função no âmbito da unidade administrativa

Use o comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para listar atribuições de função com escopo de unidade administrativa.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

API de gráfico

Esta seção descreve como listar atribuições de função com escopo de inquilino. Utilize a API List unifiedRoleAssignments para obter as atribuições de função.

Listar atribuições de função para um principal

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Resposta

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Listar atribuições de função diretas e transitivas para um principal

Siga estas etapas para listar as funções do Microsoft Entra atribuídas a um usuário usando a API do Microsoft Graph no Graph Explorer.

1. Inicie sessão no Graph Explorer.

2. Utilize a API List transitiveRoleAssignments para obter funções atribuídas diretamente e transitivamente a um utilizador. Adicione a seguinte consulta ao URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Navegue até a guia Solicitar cabeçalhos . Adicione ConsistencyLevel como chave e Eventual como seu valor.

4. Selecione Executar consulta.

Listar atribuições de função para um grupo

Utilize a API Obter grupo para obter um grupo.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Utilize a API List unifiedRoleAssignments para obter a atribuição de função.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Listar atribuições de função para uma definição de função

O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Resposta

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Listar uma atribuição de função por ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Resposta

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Listar atribuições de função com escopo de registo de aplicação

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Resposta

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Listar atribuições de função no âmbito da unidade administrativa

Use a API List scopedRoleMembers para listar atribuições de funções com escopo de unidade administrativa.

Pedido

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corpo

{}

Próximos passos

• Sinta-se à vontade para compartilhar conosco no fórum de funções administrativas do Microsoft Entra.
• Para obter mais informações sobre permissões de função, consulte Funções internas do Microsoft Entra.
• Para permissões de usuário padrão, consulte uma comparação das permissões de usuário convidado e membro padrão.