列出 Microsoft Entra 角色指派
本文說明如何列出您在 Microsoft Entra ID 中指派的角色。 在 Microsoft Entra ID 中,您可以在整個組織的範圍或單一應用程式的範圍中指派角色。
- 在整個組織範圍中的角色指派會新增至單一應用程式角色指派清單,而且可以在其中看到。
- 在單一應用程式範圍中的角色指派不會新增至整個組織範圍的指派清單,而且不會在其中看到。
必要條件
- 使用 PowerShell 時的 Microsoft Graph PowerShell 模組
- 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
如需詳細資訊,請參閱使用 PowerShell 或 Graph 總管的必要條件。
Microsoft Entra 系統管理中心
提示
本文中的步驟可能略有不同,具體取決於您從哪個入口網站展開作業。
此程序說明如何列出具有整個組織範圍的角色指派。
瀏覽至 [身分識別]>[角色與系統管理員]>[角色與系統管理員]。
選取角色以開啟並檢視其屬性。
選取 [指派],列出其角色指派。
列出我的角色指派
您也可以輕鬆列出自己的權限。 在 [角色與系統管理員] 頁面中選取 [您的角色],即可查看目前已指派給您的角色。
下載角色指派
若要下載所有角色的所有作用中角色指派 (包括內建和自訂角色),請遵循下列步驟 (目前為預覽版)。
若要下載特定角色的所有指派,請遵循下列步驟。
列出具有單一應用程式範圍的角色指派
本節說明如何列出具有單一應用程式範圍的角色指派。 此功能目前處於公開預覽。
瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]。
選取應用程式註冊以檢視其屬性。 您可能必須選取 [所有應用程式],才能查看 Microsoft Entra 組織中應用程式註冊的完整清單。
在應用程式註冊中,選取 [角色和系統管理員],然後選取要檢視其屬性的角色。
選取 [指派],列出其角色指派。 應用程式註冊內會開啟指派頁面,顯示範圍設定為此 Microsoft Entra 資源的角色指派。
PowerShell
本節說明針對具有整個組織範圍的角色檢視其指派。 本文使用 Microsoft Graph PowerShell 模組。 若要使用 PowerShell 檢視單一應用程式範圍的指派,您可以利用使用 PowerShell 指派自訂角色 中的 Cmdlet。
使用 Get-MgRoleManagementDirectoryRoleDefinition 和 Get-MgRoleManagementDirectoryRoleAssignment 命令來列出角色指派。
下列範例顯示如何列出群組管理員角色的角色指派。
# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition
# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
下列範例顯示如何列出所有角色的所有作用中角色指派,包括內建和自訂角色 (目前為預覽版)。
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
Microsoft Graph API
本節說明如何列出具有整個組織範圍的角色指派。 若要使用圖形 API 列出單一應用程式範圍的角色指派,您可以利用使用圖形 API 指派自訂角色中的作業。
使用 List unifiedRoleAssignments API 來取得特定角色定義的角色指派。 下列範例顯示如何列出識別碼為 00000000-0000-0000-0000-000000000000
的特定角色定義的角色指派。
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’
回應
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
下一步
- 歡迎在 Microsoft Entra 系統管理角色論壇上與我們共用資訊。
- 如需有關角色權限的詳細資訊,請參閱 Microsoft Entra 內建角色。
- 如需預設使用者權限,請參閱預設來賓和成員使用者權限的比較。