Вывод списка назначений ролей Microsoft Entra

В этой статье описывается, как перечислить роли, назначенные в идентификаторе Microsoft Entra. В идентификаторе Microsoft Entra роли можно назначать в области всей организации или с одной областью приложения.

  • Назначения ролей в масштабе организации добавляются в и могут отображаться в списке назначений ролей для одного приложений.
  • Назначения ролей в области одного приложения не добавляются и не отображаются в списке назначений в масштабе организации.

Необходимые компоненты

  • Модуль Microsoft Graph PowerShell при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Кеңес

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В этой процедуре описывается, как вести список назначений ролей в масштабе организации.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к ролям удостоверений>и администраторам.>

  3. Выберите роль, чтобы открыть ее и просмотреть ее свойства.

  4. Чтобы вывести список назначений ролей, выберите Назначения.

    Вывод списка назначений ролей и разрешений при открытии роли из списка

Список моих назначений ролей

Вы также можете составить список собственных разрешений. Выберите Ваша роль на странице Роли и администраторы, чтобы увидеть роли, назначенные вам сейчас.

Список моих назначений ролей

Загрузка назначений ролей

Чтобы скачать все активные назначения ролей во всех ролях, включая встроенные и настраиваемые роли, выполните следующие действия (в настоящее время в предварительной версии):

  1. На странице Роли и администраторы выберите Все роли.

  2. Выберите Скачать назначения.

    Будет загружен CSV-файл, в котором перечислены назначения для всех областей этой роли.

    Снимок экрана: скачивание всех назначений ролей.

Чтобы скачать все назначения для определенной роли, выполните следующие действия.

  1. На странице Роли и администраторы выберите роль.

  2. Выберите Скачать назначения.

    Будет загружен CSV-файл, в котором перечисляются назначения для всех областей этой роли.

    Снимок экрана: скачивание всех назначений для определенной роли.

Составление списка назначений ролей в области одного приложения

В этом разделе описывается, как составить список назначений ролей в области одного приложения. Эта функция сейчас доступна в виде общедоступной предварительной версии.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к приложениям> удостоверений>Регистрация приложений.

  3. Выберите регистрацию приложения, чтобы просмотреть его свойства. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.

    Создание и изменение регистраций приложений на странице

  4. В окне регистрации приложения выберите Роли и администраторы, а затем выберите роль, чтобы просмотреть ее свойства.

    Составление списка назначений ролей регистрации приложения на странице

  5. Чтобы вывести список назначений ролей, выберите Назначения. Открытие страницы назначений из регистрации приложения показывает назначения ролей, которые относятся к этому ресурсу Microsoft Entra.

    Составление списка назначений ролей регистрации приложения из свойств регистрации приложения

PowerShell

В этом разделе описывается просмотр назначений роли в масштабе организации. В этой статье используется модуль Microsoft Graph PowerShell . Для просмотра области назначений с одним приложением с помощью PowerShell можно использовать командлеты в Назначение настраиваемых ролей в PowerShell.

Используйте команды Get-MgRoleManagementDirectoryRoleDefinition и Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей.

В следующем примере показано, как вывести список назначений ролей для роли Администратор групп.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

В следующем примере показано, как вывести список всех активных назначений ролей во всех ролях, включая встроенные и настраиваемые роли (в настоящее время в предварительной версии).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API Microsoft Graph

В этом разделе описывается, как составить список назначений ролей в масштабе организации. Чтобы составить список назначений ролей области одного приложения с помощью API Graph, можно использовать операции в Назначении настраиваемых ролей с API Graph.

Чтобы получить назначения роли для указанного определения роли, используйте API List unifiedRoleAssignments. В следующем примере показано, как получить список назначений ролей для конкретного определения роли с идентификатором 00000000-0000-0000-0000-000000000000.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Следующие шаги