Visa en lista över rolltilldelningar i Microsoft Entra

I den här artikeln beskrivs hur du listar roller som du har tilldelat i Microsoft Entra-ID med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API.

Rolltilldelningar innehåller information som länkar ett visst säkerhetsobjekt (en användare, grupp eller programtjänstens huvudnamn) till en rolldefinition. Att visa användare, grupper och tilldelade roller är standardanvändarbehörigheter.

Scope

I Microsoft Entra-ID kan roller tilldelas i olika omfång.

• Rolltilldelningar på klientomfattning läggs till och kan ses i listan över rolltilldelningar för enskilda program.
• Rolltilldelningar i det enskilda programomfånget läggs inte till i och kan inte visas i listan över tilldelningar med klientomfattningar.

Förutsättningar

• Microsoft Graph PowerShell-modul när du använder PowerShell
• Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Visa en lista över rolltilldelningar i Microsoft Entra

Administrationscenter

Visa en lista över mina rolltilldelningar

Det är enkelt att lista dina egna behörigheter också. På sidan Roller och administratörer väljer du Din roll för att se de roller som för närvarande är tilldelade till dig.

Lista rolltilldelningar för en användare

Följ de här stegen för att lista Microsoft Entra-roller för en användare med hjälp av administrationscentret för Microsoft Entra. Din upplevelse varierar beroende på om du har Aktiverat Microsoft Entra Privileged Identity Management (PIM).

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Entra ID>Användare.

3. Välj användarnamn>Tilldelade roller.

   Du kan se listan över roller som tilldelats användaren i olika omfång. Dessutom kan du se om rollen har tilldelats direkt eller via en grupp.

   

   Om du har en Microsoft Entra ID P2-licens visas PIM-upplevelse, som har information om berättigade, aktiva och utgångna rolltilldelningar.

   

Lista rolltilldelningar för en grupp

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Entra ID>Grupper>Alla grupper.

3. Välj en rolltilldelningsbar grupp.

   Om du vill ta reda på om en grupp är rolltilldelningsbar kan du visa egenskaperna för gruppen.

4. Välj Tilldelade roller.

   Nu kan du se alla Microsoft Entra-roller som tilldelats den här gruppen. Om du inte ser alternativet Tilldelade roller är gruppen inte en rolltilldelningsbar grupp.

   

Ladda ned rolltilldelningar

Följ dessa steg om du vill ladda ned alla aktiva rolltilldelningar för alla roller, inklusive inbyggda och anpassade roller.

Massåtgärder kan bara köras i upp till 1 timme och har begränsningar i stora hyresgäster. Mer information finns i Massåtgärder och Massskapa användare i Microsoft Entra-ID.

1. På sidan Roller och administratörer väljer du Alla roller.

2. Välj Ladda ned uppgifter.

   

3. Ange ett filnamn och välj Starta nedladdning.

   En CSV-fil som visar tilldelningar i alla omfång för alla roller laddas ned.

Följ dessa steg om du vill ladda ned rolltilldelningar för en viss roll.

1. På sidan Roller och administratörer väljer du en roll.

2. Välj Ladda ned uppgifter.

   Om du har en Microsoft Entra ID P2-licens visas PIM-upplevelsen. Välj Exportera för att ladda ned rolltilldelningarna.

   En CSV-fil som visar tilldelningar i alla omfång för rollen laddas ned.

Lista rolltilldelningar med tenantområde

Den här proceduren beskriver hur du listar rolltilldelningar med tenantområde.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Entra IDRoller & administratörer.

3. Välj ett rollnamn för att öppna rollen. Lägg inte till någon bock bredvid rollen.

   

4. Välj Tilldelningar för att visa en lista över rolltilldelningarna.

   

5. I kolumnen Omfång kan du se rolltilldelningarna med katalog som omfång.

Lista rolltilldelningar i kontext av appregistrering

I det här avsnittet beskrivs hur man listar rolltilldelningar med enskild applikationens omfång.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Entra ID>Appregistreringar.

3. Välj en appregistrering för listan över rolltilldelningar som du vill visa.

   Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i din Microsoft Entra-organisation.

4. Välj Roller och administratörer.

5. Välj ett rollnamn för att öppna rollen.

6. Välj Tilldelningar för att visa en lista över rolltilldelningarna.

   Om du öppnar sidan tilldelningar inifrån appregistreringen visas de rolltilldelningar som är begränsade till den här Microsoft Entra-resursen.

   

7. I kolumnen Omfång ser du rolltilldelningarna med det här resursomfånget .

Lista rolltilldelningar inom administrativ enhet

Du kan visa alla rolltilldelningar som skapats med ett administrativt enhetsomfång i avsnittet Administrationsenheter i administrationscentret för Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Entra ID>Roller & administratörer>Administrationenheter.

3. Välj en administrativ enhet för listan över rolltilldelningar som du vill visa.

4. Välj Roller och administratörer.

5. Välj ett rollnamn för att öppna rollen.

6. Välj Tilldelningar för att visa en lista över rolltilldelningarna.

   

7. I kolumnen Omfång ser du rolltilldelningarna med det här resursomfånget .

PowerShell

Detta avsnitt beskriver hur du visar tilldelningar av en roll med hyresvärdssammanhang. I det här avsnittet används Microsoft Graph PowerShell-modulen .

Konfiguration

1. Installera Microsoft Graph-modulen med install-module.

   Install-Module -name Microsoft.Graph
   

2. Använd kommandot Connect-MgGraph för att logga in på och använda Microsoft Graph PowerShell-cmdletar.

   Connect-MgGraph
   

Lista rolltilldelningar med tenantområde

Använd kommandona Get-MgRoleManagementDirectoryRoleDefinition och Get-MgRoleManagementDirectoryRoleAssignment för att visa rolltilldelningar.

I följande exempel visas hur du listar rolltilldelningarna för rollen Gruppadministratör .

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

I följande exempel visas hur du listar alla aktiva rolltilldelningar över alla roller, inklusive inbyggda och anpassade roller.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Lista rolltilldelningar för en huvudenhet

Använd kommandot Get-MgRoleManagementDirectoryRoleAssignment för att lista rolltilldelningarna för ett huvudobjekt.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Lista de direkta och transitiva rolltilldelningar för en huvudansvarig

Använd API:et List transitiveRoleAssignments för att hämta roller som tilldelats direkt och transitivt till en användare.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Lista rolltilldelningar för en grupp

Använd kommandot Get-MgGroup för att hämta en grupp.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Använd kommandot Get-MgRoleManagementDirectoryRoleAssignment för att lista rolltilldelningarna för gruppen.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Lista rolltilldelningar inom administrativ enhet

Använd kommandot Get-MgDirectoryAdministrativeUnitScopedRoleMember för att lista rolltilldelningar med administrativ enhetsomfattning.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Graph API

Detta avsnitt beskriver hur du listar rolltilldelningar med hyresgästomfång. Använd API:et List unifiedRoleAssignments för att hämta rolltilldelningarna.

Lista rolltilldelningar för en huvudenhet

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Svar

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Lista de direkta och transitiva rolltilldelningar för en huvudansvarig

Följ de här stegen för att lista Microsoft Entra-roller som tilldelats en användare med hjälp av Microsoft Graph API i Graph Explorer.

1. Logga in på Graph Explorer.

2. Använd API:et List transitiveRoleAssignments för att hämta roller som tilldelats direkt och transitivt till en användare. Lägg till följande fråga i URL:en.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Gå till fliken Begärandehuvuden . Lägg till ConsistencyLevel som nyckel och Eventual som dess värde.

4. Välj Kör fråga.

Lista rolltilldelningar för en grupp

Använd API:et Hämta grupp för att hämta en grupp.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Använd API:et List unifiedRoleAssignments för att hämta rolltilldelningen.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Lista rolltilldelningar för en rolldefinition

I följande exempel visas hur du listar rolltilldelningarna för en specifik rolldefinition.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Svar

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Lista en rolltilldelning efter ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Svar

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Lista rolltilldelningar i kontext av appregistrering

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Svar

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Lista rolltilldelningar inom administrativ enhet

Använd API:et List scopedRoleMembers för att visa rolltilldelningar inom omfånget av administrativ enhet.

Begäran

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Kropp

{}

Nästa steg

• Dela gärna med oss på forumet för administrativa roller i Microsoft Entra.
• Mer information om rollbehörigheter finns i Inbyggda Microsoft Entra-roller.
• För standardanvändarbehörigheter, se en jämförelse av standardbehörigheter för gäst- och medlemsanvändare.