Microsoft Entra ロールの割り当てを一覧表示する

  • [アーティクル]

この記事では、割り当てたロールを Microsoft Entra ID で一覧表示する方法について説明します。 Microsoft Entra ID では、ロールは、組織全体のスコープまたは単一アプリケーションのスコープで割り当てることができます。

  • 組織全体のスコープでのロールの割り当ては、単一アプリケーションのロールの割り当ての一覧に追加され、そこで確認することができます。
  • 単一アプリケーションのスコープでのロールの割り当ては、組織全体のスコープでの割り当ての一覧に追加されることはなく、そこで確認することもできません。

前提条件

  • Powershell を使用する際の Microsoft Graph PowerShell モジュール
  • Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

この手順では、組織全体のスコープでロールの割り当てを一覧表示する方法について説明します。

  1. Microsoft Entra 管理センターにサインインします。

  2. [ID]>[役割と管理者]>[役割と管理者] の順に移動します。

  3. ロールを選択して開き、そのプロパティを表示します。

  4. ロールの割り当てを一覧表示するには、 [割り当て] を選択します。

    一覧からロールを開いたときに、ロールの割り当てとアクセス許可を一覧表示する

自分のロールの割り当てを一覧表示する

自分のアクセス許可も簡単に一覧表示することができます。 [ロールと管理者] ページの [ロール] を選択すると、現在自分に割り当てられているロールが表示されます。

自分のロールの割り当てを一覧表示する

ロールの割り当てのダウンロード

組み込みとカスタムのロールを含むすべてのロールでアクティブなロールの割り当てをダウンロードするには、次の手順に従います (現在はプレビュー段階)。

  1. [ロールと管理者] ページで、[すべてのロール] を選択します。

  2. [Download assignments] (割り当てのダウンロード) を選択します。

    すべてのロールのすべてのスコープでの割り当ての一覧を含む CSV ファイルがダウンロードされます。

特定のロールのすべての割り当てをダウンロードするには、次の手順に従います。

  1. [ロールと管理者] ページでロールを選択します。

  2. [Download assignments] (割り当てのダウンロード) を選択します。

    そのロールのすべてのスコープでの割り当てを一覧表示する CSV ファイルがダウンロードされます。

    特定のロールに対する

単一アプリケーションのスコープでロールの割り当てを一覧表示する

このセクションでは、単一アプリケーションのスコープでロールの割り当てを一覧表示する方法について説明します。 現在、この機能はパブリック プレビュー段階にあります。

  1. Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[アプリの登録] を参照します。

  3. アプリの登録を選択して、そのプロパティを表示します。 Microsoft Entra 組織内のアプリ登録の完全な一覧を表示するには、[すべてのアプリケーション] を選ぶ必要がある場合があります。

    [アプリの登録] ページからアプリの登録を作成または編集する

  4. アプリの登録で、[ロールと管理者] を選択し、次にロールを選択してそのプロパティを表示します。

    [アプリの登録] ページから、アプリの登録のロールの割り当てを一覧表示する

  5. ロールの割り当てを一覧表示するには、 [割り当て] を選択します。 アプリの登録内から [割り当て] ページを開くと、この Microsoft Entra リソースをスコープとしたロールの割り当てが表示されます。

    アプリの登録のプロパティから、アプリの登録のロールの割り当てを一覧表示する

PowerShell

このセクションでは、組織全体のスコープを使用してロールの割り当てを表示する方法について説明します。 この記事では、Microsoft Graph PowerShell モジュールを使用します。 PowerShell を使用して単一アプリケーションのスコープを表示するには、PowerShell を使用したカスタム ロールの割り当てに関するページのコマンドレットを使用できます。

Get-MgRoleManagementDirectoryRoleDefinition および Get-MgRoleManagementDirectoryRoleAssignment コマンドを使用して、ロールの割り当てをリストします。

次の例は、グループ管理者ロールに対するロールの割り当てを一覧表示する方法を示しています。

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

次の例は、組み込みとカスタムのロールを含む、すべてのロールのすべてのアクティブなロールの割り当てを一覧表示する方法 (現在はプレビュー段階) を示しています。

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Microsoft Graph API

このセクションでは、組織全体のスコープでロールの割り当てを一覧表示する方法について説明します。 Graph API を使用して単一アプリケーションのスコープのロールの割り当てを一覧表示するには、Graph API を使用したカスタム ロールの割り当てに関するページの操作を使用できます。

特定のロールの定義に対するロールの割り当てを取得するには、List unifiedRoleAssignments API を使用します。 次の例は、ID が 00000000-0000-0000-0000-000000000000 である特定のロール定義に対するロールの割り当てを一覧表示する方法を示しています。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

次のステップ