Вывод списка назначений ролей Microsoft Entra

В этой статье описывается, как перечислить роли, назначенные в идентификаторе Microsoft Entra. В идентификаторе Microsoft Entra роли можно назначать в области всей организации или с одной областью приложения.

• Назначения ролей в масштабе организации добавляются в и могут отображаться в списке назначений ролей для одного приложений.
• Назначения ролей в области одного приложения не добавляются и не отображаются в списке назначений в масштабе организации.

Необходимые компоненты

• Модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В этой процедуре описывается, как вести список назначений ролей в масштабе организации.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к ролям удостоверений>и администраторам.>

3. Выберите роль, чтобы открыть ее и просмотреть ее свойства.

4. Чтобы вывести список назначений ролей, выберите Назначения.

   

Список моих назначений ролей

Вы также можете составить список собственных разрешений. Выберите Ваша роль на странице Роли и администраторы, чтобы увидеть роли, назначенные вам сейчас.

Загрузка назначений ролей

Чтобы скачать все активные назначения ролей во всех ролях, включая встроенные и настраиваемые роли, выполните следующие действия (в настоящее время в предварительной версии):

1. На странице Роли и администраторы выберите Все роли.

2. Выберите Скачать назначения.

   Будет загружен CSV-файл, в котором перечислены назначения для всех областей этой роли.

   

Чтобы скачать все назначения для определенной роли, выполните следующие действия.

1. На странице Роли и администраторы выберите роль.

2. Выберите Скачать назначения.

   Будет загружен CSV-файл, в котором перечисляются назначения для всех областей этой роли.

   

Составление списка назначений ролей в области одного приложения

В этом разделе описывается, как составить список назначений ролей в области одного приложения. Эта функция сейчас доступна в виде общедоступной предварительной версии.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к приложениям> удостоверений>Регистрация приложений.

3. Выберите регистрацию приложения, чтобы просмотреть его свойства. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.

   

4. В окне регистрации приложения выберите Роли и администраторы, а затем выберите роль, чтобы просмотреть ее свойства.

   

5. Чтобы вывести список назначений ролей, выберите Назначения. Открытие страницы назначений из регистрации приложения показывает назначения ролей, которые относятся к этому ресурсу Microsoft Entra.

   

PowerShell

В этом разделе описывается просмотр назначений роли в масштабе организации. В этой статье используется модуль Microsoft Graph PowerShell . Для просмотра области назначений с одним приложением с помощью PowerShell можно использовать командлеты в Назначение настраиваемых ролей в PowerShell.

Используйте команды Get-MgRoleManagementDirectoryRoleDefinition и Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей.

В следующем примере показано, как вывести список назначений ролей для роли Администратор групп.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

В следующем примере показано, как вывести список всех активных назначений ролей во всех ролях, включая встроенные и настраиваемые роли (в настоящее время в предварительной версии).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API Microsoft Graph

В этом разделе описывается, как составить список назначений ролей в масштабе организации. Чтобы составить список назначений ролей области одного приложения с помощью API Graph, можно использовать операции в Назначении настраиваемых ролей с API Graph.

Чтобы получить назначения роли для указанного определения роли, используйте API List unifiedRoleAssignments. В следующем примере показано, как получить список назначений ролей для конкретного определения роли с идентификатором 00000000-0000-0000-0000-000000000000.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Следующие шаги

• Вы можете поделиться с нами на форуме административных ролей Microsoft Entra.
• Дополнительные сведения о разрешениях ролей см. в статье о встроенных ролях Microsoft Entra.
• Сведения о разрешениях пользователей по умолчанию см. в разделе сравнение разрешений гостевых пользователей и пользователей-участников.