Вывод списка назначений ролей Microsoft Entra
В этой статье описывается, как перечислить роли, назначенные в идентификаторе Microsoft Entra. В идентификаторе Microsoft Entra роли можно назначать в области всей организации или с одной областью приложения.
- Назначения ролей в масштабе организации добавляются в и могут отображаться в списке назначений ролей для одного приложений.
- Назначения ролей в области одного приложения не добавляются и не отображаются в списке назначений в масштабе организации.
- Модуль Microsoft Graph PowerShell при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Кеңес
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
В этой процедуре описывается, как вести список назначений ролей в масштабе организации.
Войдите в центр администрирования Microsoft Entra.
Перейдите к ролям удостоверений>и администраторам.>
Выберите роль, чтобы открыть ее и просмотреть ее свойства.
Чтобы вывести список назначений ролей, выберите Назначения.
Вы также можете составить список собственных разрешений. Выберите Ваша роль на странице Роли и администраторы, чтобы увидеть роли, назначенные вам сейчас.
Чтобы скачать все активные назначения ролей во всех ролях, включая встроенные и настраиваемые роли, выполните следующие действия (в настоящее время в предварительной версии):
На странице Роли и администраторы выберите Все роли.
Выберите Скачать назначения.
Будет загружен CSV-файл, в котором перечислены назначения для всех областей этой роли.
Чтобы скачать все назначения для определенной роли, выполните следующие действия.
На странице Роли и администраторы выберите роль.
Выберите Скачать назначения.
Будет загружен CSV-файл, в котором перечисляются назначения для всех областей этой роли.
В этом разделе описывается, как составить список назначений ролей в области одного приложения. Эта функция сейчас доступна в виде общедоступной предварительной версии.
Войдите в центр администрирования Microsoft Entra.
Перейдите к приложениям> удостоверений>Регистрация приложений.
Выберите регистрацию приложения, чтобы просмотреть его свойства. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.
В окне регистрации приложения выберите Роли и администраторы, а затем выберите роль, чтобы просмотреть ее свойства.
Чтобы вывести список назначений ролей, выберите Назначения. Открытие страницы назначений из регистрации приложения показывает назначения ролей, которые относятся к этому ресурсу Microsoft Entra.
В этом разделе описывается просмотр назначений роли в масштабе организации. В этой статье используется модуль Microsoft Graph PowerShell . Для просмотра области назначений с одним приложением с помощью PowerShell можно использовать командлеты в Назначение настраиваемых ролей в PowerShell.
Используйте команды Get-MgRoleManagementDirectoryRoleDefinition и Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей.
В следующем примере показано, как вывести список назначений ролей для роли Администратор групп.
# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition
# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
В следующем примере показано, как вывести список всех активных назначений ролей во всех ролях, включая встроенные и настраиваемые роли (в настоящее время в предварительной версии).
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
В этом разделе описывается, как составить список назначений ролей в масштабе организации. Чтобы составить список назначений ролей области одного приложения с помощью API Graph, можно использовать операции в Назначении настраиваемых ролей с API Graph.
Чтобы получить назначения роли для указанного определения роли, используйте API List unifiedRoleAssignments. В следующем примере показано, как получить список назначений ролей для конкретного определения роли с идентификатором 00000000-0000-0000-0000-000000000000
.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’
Response
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
- Вы можете поделиться с нами на форуме административных ролей Microsoft Entra.
- Дополнительные сведения о разрешениях ролей см. в статье о встроенных ролях Microsoft Entra.
- Сведения о разрешениях пользователей по умолчанию см. в разделе сравнение разрешений гостевых пользователей и пользователей-участников.