Azure 角色型存取控制 (Azure RBAC) 是您用來管理 Azure 資源存取權的授權系統。 若要判斷哪些資源使用者、群組、服務主體或受控識別可以存取,請列出其角色指派。 本文說明如何使用 Azure 入口網站列出角色指派。
注意
如果您的組織已將管理功能外包給使用 Azure Lighthouse 的服務提供者,則此處不會顯示由該服務提供者授權的角色指派。 同樣地,服務提供者租用戶中的使用者將不會看到客戶租用戶中使用者的角色指派,無論他們獲指派的角色為何。
使用 Azure 入口網站列出 Azure 角色指派
必要條件
Microsoft.Authorization/roleAssignments/read 權限,例如讀者
列出使用者或群組的角色指派
若要快速查看指派給訂用帳戶中使用者或群組的角色,請使用 [Azure 角色指派] 窗格。
從 Azure 入口網站中的 [Azure 入口網站] 功能表,選取 [所有服務]。
選取 [Microsoft Entra ID],然後選取 [使用者] 或 [群組]。
按一下您想要為其列出角色指派的使用者或群組。
按一下 [Azure 角色指派]。
您會看到在不同範圍 (例如管理群組、訂用帳戶、資源群組或資源) 指派給所選使用者或群組的角色清單。 此清單包含您擁有讀取權限的所有角色指派。
若要變更訂用帳戶,請按一下 [訂用帳戶] 清單。
列出訂用帳戶的擁有者
已在訂用帳戶中獲指派擁有者角色的使用者,可以管理該訂用帳戶中的一切事宜。 請遵循下列步驟來列出訂用帳戶的擁有者。
在 Azure 入口網站中,按一下 [所有服務],然後按一下 [訂用帳戶]。
按一下您想要列出擁有者的訂用帳戶。
按一下 [存取控制 (IAM)]。
按一下 [角色指派] 索引標籤以檢視此訂用帳戶的所有角色指派。
捲動至 擁有者區段以查看已為此訂用帳戶指派擁有者角色的所有使用者。
![訂用帳戶的 [存取控制] 和 [角色指派] 索引標籤螢幕擷取畫面。](media/role-assignments-list-portal/sub-access-control-role-assignments-owners.png)
列出或管理特殊權限的系統管理員角色指派
在 [角色指派] 索引標籤上,您可以列出並查看目前範圍中特殊權限的系統管理員角色指派計數。 如需詳細資訊,請參閱特殊權限的系統管理員角色。
在 Azure 入口網站中,按一下 [所有服務],然後選取範圍。 例如,您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。
按一下特定資源。
按一下 [存取控制 (IAM)]。
按一下 [角色指派] 索引標籤,然後按一下 [特殊權限] 索引標籤,列出此範圍中具有特殊權限的系統管理員角色指派。
![[存取控制] 頁面、[角色指派] 索引標籤和 [特殊權限] 索引標籤的螢幕擷取畫面,其中顯示特殊權限的角色指派。](media/role-assignments-list-portal/access-control-role-assignments-privileged.png)
若要查看此範圍中特殊權限的系統管理員角色指派計數,請參閱 [特殊權限] 卡片。
若要管理特殊權限的系統管理員角色指派,請參閱 [特殊權限] 卡片,然後按一下 [檢視指派]。
在 [管理特殊權限的角色指派] 頁面上,您可以新增條件來限制特殊權限的角色指派或移除角色指派。 如需詳細資訊,請參閱將 Azure 角色指派管理委派給具有條件的其他人。
![[管理特殊權限的角色指派] 頁面的螢幕擷取畫面,其中顯示如何新增條件或移除角色指派。](media/role-assignments-list-portal/access-control-role-assignments-privileged-manage.png)
![[存取控制] 頁面、[角色指派] 索引標籤和 [特殊權限] 索引標籤的螢幕擷取畫面,其中顯示特殊權限的角色指派。](media/role-assignments-list-portal/access-control-role-assignments-privileged.png#lightbox)
![[管理特殊權限的角色指派] 頁面的螢幕擷取畫面,其中顯示如何新增條件或移除角色指派。](media/role-assignments-list-portal/access-control-role-assignments-privileged-manage.png#lightbox)
列出某範圍的角色指派
重要
Azure 角色指派與 Privileged Identity Management 的整合目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
執行下列步驟:
在 Azure 入口網站中,按一下 [所有服務],然後選取範圍。 例如,您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。
按一下特定資源。
按一下 [存取控制 (IAM)]。
按一下 [角色指派] 索引標籤,以檢視此範圍中的角色指派。
如果您有 Microsoft Entra ID 免費或 Microsoft Entra ID P1 授權,則 [角色指派] 索引標籤類似於下列螢幕擷取畫面。
![[存取控制] 和 [角色指派] 索引標籤的螢幕擷取畫面。](media/role-assignments-list-portal/rg-access-control-role-assignments.png)
如果您有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權,則 [角色指派] 索引標籤類似於管理群組、訂用帳戶和資源群組範圍的下列螢幕擷取畫面。 這項功能會分階段進行部署,因此您的租用戶中可能尚未提供此功能,或您的介面看起來可能不同。
![[存取控制] 及 [作用中指派] 和 [合格指派] 索引標籤的螢幕擷取畫面。](media/role-assignments-list-portal/sub-access-control-role-assignments-eligible.png)
您會看到 [狀態] 資料行,其中包含下列其中一個狀態:
State 描述 永久作用中 使用者一律可以使用角色而不需執行任何動作的角色指派。 有時限的作用中 使用者可以在開始和結束日期內使用角色而不需執行任何動作的角色指派。 永久合格 使用者一律有資格啟用角色的角色指派。 有時限的合格 使用者只能在開始和結束日期內有資格啟動角色的角色指派。 未來可以設定開始日期。
如果您要列出角色指派的開始時間和結束時間,請按一下 [編輯資料行],然後選取 [開始時間] 和 [結束時間]。
![[資料行] 窗格的螢幕擷取畫面,其中顯示 [開始時間] 和 [結束時間] 核取方塊。](media/role-assignments-list-portal/role-assignments-list-edit-columns.png)
請注意,某些角色的範圍限於此資源,而有些角色則是來自 (繼承自) 另一個範圍。 存取權不是特別指派給此資源群組,就是繼承自父範圍的指派。
![[存取控制] 和 [角色指派] 索引標籤的螢幕擷取畫面。](media/role-assignments-list-portal/rg-access-control-role-assignments.png#lightbox)
![[存取控制] 及 [作用中指派] 和 [合格指派] 索引標籤的螢幕擷取畫面。](media/role-assignments-list-portal/sub-access-control-role-assignments-eligible.png#lightbox)
![[資料行] 窗格的螢幕擷取畫面,其中顯示 [開始時間] 和 [結束時間] 核取方塊。](media/role-assignments-list-portal/role-assignments-list-edit-columns.png#lightbox)
列出特定範圍的使用者角色指派
若要列出使用者、群組、服務主體或受控識別的存取權,您可以列出其角色指派。 請遵循下列步驟來列出特定範圍內單一使用者、群組、服務主體或受控識別的角色指派。
在 Azure 入口網站中,按一下 [所有服務],然後選取範圍。 例如,您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。
按一下特定資源。
按一下 [存取控制 (IAM)]。
![資源群組存取控制和 [檢查存取] 索引標籤的螢幕擷取畫面。](media/shared/rg-access-control.png)
在 [檢查存取權] 索引標籤上,按一下 [檢查存取權] 按鈕。
在 [檢查存取權] 窗格中,按一下 [使用者、群組或服務主體] 或 [受控識別]。
在搜尋方塊中,輸入字串以在目錄中搜尋顯示名稱、電子郵件地址或物件識別碼。
![[檢查存取權] 選取清單螢幕擷取畫面。](media/shared/rg-check-access-select.png)
按一下安全性主體以開啟 [指派] 窗格。
在此窗格中,您可以看到此範圍內或繼承至此範圍的所選安全性主體有何存取權。 子系範圍上的指派不會列出。 您會看到下列指派:
- 使用 Azure RBAC 新增的角色指派。
- 使用 Azure 藍圖或 Azure 受控應用程式新增的否定性指派。
- 傳統部署的傳統服務管理員或共同管理員指派。
列出受控識別的角色指派
您可以如之前所述使用 [存取控制 (IAM)] 刀鋒視窗,列出特定範圍中系統指派和使用者指派受控識別的角色指派。 本節說明如何只列出受控識別的角色指派。
系統指派的受控識別
在 Azure 入口網站中,開啟系統指派的受控識別。
在左側功能表中,按一下 [身分識別]。
在 [權限] 下,按下 [Azure 角色指派]。
您會看到指派給各種範圍 (例如管理群組、訂用帳戶、資源群組或資源) 中選定系統指派受控識別的角色清單。 此清單包含您擁有讀取權限的所有角色指派。
若要變更訂用帳戶,請按一下 [訂用帳戶] 清單。
使用者指派的受控識別
在 Azure 入口網站中,開啟使用者指派的受控識別。
按一下 [Azure 角色指派]。
您會看到指派給各種範圍 (例如管理群組、訂用帳戶、資源群組或資源) 中選定使用者指派受控識別的角色清單。 此清單包含您擁有讀取權限的所有角色指派。
若要變更訂用帳戶,請按一下 [訂用帳戶] 清單。
列出角色指派的數目
您在每個訂用帳戶中可以有最多 4000 個角色指派。 此限制包括訂用帳戶、資源群組和資源範圍的角色指派。 合格的角色指派以及排定在未來的角色指派不計入此限制。 為了協助您追蹤此限制,[角色指派] 索引標籤中的圖表會列出目前訂用帳戶的角色指派數目。
![[存取控制] 和角色指派數目圖表的螢幕擷取畫面。](media/role-assignments-list-portal/access-control-role-assignments-chart.png)
如果指派的數目即將達到上限,而您還在嘗試新增更多角色指派,則會在 [新增角色指派] 窗格中看到警告。 如需如何減少角色指派數目的相關資訊,請參閱針對 Azure RBAC 限制進行疑難排解。
![[存取控制] 和 [新增角色指派] 警告的螢幕擷取畫面。](media/role-assignments-list-portal/add-role-assignment-warning.png)
下載角色指派
您可以使用 CSV 或 JSON 格式下載特定範圍的角色指派。 如果您需要以試算表檢查清單,或在移轉訂用帳戶時進行清查,則此功能會很有幫助。
當您下載角色指派時,您應記住下列準則:
- 如果您沒有讀取目錄的權限,例如目錄讀取者角色,則 DisplayName、SignInName 和 ObjectType 資料行將會留白。
- 安全性主體已遭刪除的角色指派不在下載範圍內。
- 授與傳統系統管理員的存取權不在下載範圍內。
請遵循下列步驟,下載特定範圍的角色指派。
在 Azure 入口網站中,按一下 [所有服務],然後選取您要下載角色指派的範圍。 例如,您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。
按一下特定資源。
按一下 [存取控制 (IAM)]。
按一下 [下載角色指派] 以開啟 [下載角色指派] 窗格。
![[存取控制] 和 [下載角色指派] 的螢幕擷取畫面。](media/role-assignments-list-portal/download-role-assignments.png)
使用核取方塊來選取您要納入下載檔案的角色指派。
- 已繼承 - 包含目前範圍中已繼承的指派。
- 目前範圍 - 包含目前範圍的角色指派。
- 子系 - 包含目前範圍以下各層級的角色指派。 管理群組範圍的這個核取方塊已停用。
選取檔案格式,可以是逗號分隔值 (CSV) 或 JavaScript 物件標記法 (JSON)。
指定檔案名稱。
按一下 [開始],開始下載。
以下是每個檔案格式的輸出範例。
