Seznam přiřazení rolí Microsoft Entra

Tento článek popisuje, jak vypsat role, které jste přiřadili v Microsoft Entra ID pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.

Přiřazení rolí obsahují informace propojující daný objekt zabezpečení (uživatel, skupina nebo instanční objekt aplikace) s definicí role. Výpis uživatelů, skupin a přiřazených rolí jsou výchozí uživatelská oprávnění.

Oblasti

V MICROSOFT Entra ID lze role přiřadit v různých oborech.

• Přiřazení rolí v rámci tenanta jsou přidána a lze je zobrazit v seznamu přiřazení rolí pro jednotlivé aplikace.
• Přiřazení rolí v oboru jedné aplikace se nepřidají a v seznamu přiřazení s vymezeným tenantem se nezobrazují.

Požadavky

• modul Microsoft Graph PowerShell při použití PowerShellu
• Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Seznam přiřazení rolí Microsoft Entra

Centrum správy

Výpis přiřazení rolí

Seznam vlastních oprávnění je také snadný. Na stránce Role a správci vyberte Vaše role, abyste viděli role, které jsou vám aktuálně přiřazeny.

Zobrazení seznamu přiřazení rolí pro uživatele

Podle těchto kroků zobrazíte seznam rolí Microsoft Entra pro uživatele pomocí Centra pro správu Microsoft Entra. Vaše zkušenost se bude lišit v závislosti na tom, jestli máte povolené Microsoft Entra Privileged Identity Management (PIM).

1. Přihlaste se do Centra pro správu Microsoft Entra.

2. Přejděte na Identity>Uživatelé>Všichni uživatelé.

3. Vyberte uživatelské jméno>přiřazené role.

   Seznam rolí přiřazených uživateli můžete zobrazit v různých oborech. Kromě toho můžete zjistit, jestli byla role přiřazena přímo nebo prostřednictvím skupiny.

   

   Pokud máte licenci Microsoft Entra ID P2, zobrazí se prostředí PIM, které obsahuje oprávněné, aktivní a vypršené přiřazení rolí.

   

Výpis přiřazení rolí pro skupinu

1. Přihlaste se do Centra pro správu Microsoft Entra.

2. Přejděte na Identita>Skupiny>Všechny skupiny.

3. Vyberte skupinu s možností přiřazení role.

   Pokud chcete zjistit, jestli je skupina přiřaditelná role, můžete zobrazit vlastnosti této skupiny .

4. Vyberte Přiřazené role.

   Teď můžete zobrazit všechny role Microsoft Entra přiřazené této skupině. Pokud možnost Přiřazené role nevidíte, nejde o skupinu s přiřaditelnými rolemi.

   

Stažení přiřazení rolí

Pokud chcete stáhnout všechna aktivní přiřazení rolí napříč všemi rolemi, včetně předdefinovaných a vlastních rolí, postupujte takto.

Hromadné operace můžou běžet až 1 hodinu a mají omezení ve velkých tenantech. Další informace naleznete v tématu Hromadné operace a Hromadné vytváření uživatelů vMicrosoft Entra ID.

1. Na stránce Role a správci vyberte Všechny role.

2. Vyberte Stáhnout zadání.

   

3. Zadejte název souboru a vyberte Spustit stahování.

   Stáhne se soubor CSV se seznamem přiřazení ve všech oborech pro všechny role.

Pokud chcete stáhnout přiřazení rolí pro konkrétní roli, postupujte takto.

1. Na stránce Role a správci vyberte roli.

2. Vyberte Stáhnout zadání.

   Pokud máte licenci Microsoft Entra ID P2, uvidíte prostředí PIM. Pokud chcete stáhnout přiřazení rolí, vyberte Exportovat.

   Stáhne se soubor CSV se seznamem přiřazení ve všech oborech pro danou roli.

Výpis přiřazení rolí s oborem tenanta

Tento postup popisuje, jak vypsat přiřazení rolí s oborem tenanta.

1. Přihlaste se do Centra pro správu Microsoft Entra.

2. Přejděte k rolím identit>>

3. Výběrem názvu role otevřete roli. Nepřidávejte zaškrtávací políčko vedle role.

   

4. Výběrem přiřazení zobrazíte seznam přiřazení rolí.

   

5. Ve sloupci Obor se podívejte na přiřazení rolí s oborem Adresář.

Seznam přiřazení rolí v rozsahu registrace aplikace

Tato část popisuje, jak vypsat přiřazení rolí s oborem jedné aplikace.

1. Přihlaste se do Centra pro správu Microsoft Entra.

2. Přejděte k aplikacím>Registrace aplikací.

3. Vyberte registraci aplikace pro seznam přiřazení rolí, které chcete zobrazit.

   Možná budete muset vybrat Všechny aplikace , abyste viděli úplný seznam registrací aplikací ve vaší organizaci Microsoft Entra.

4. Vyberte Role a správce.

5. Výběrem názvu role otevřete roli.

6. Výběrem přiřazení zobrazíte seznam přiřazení rolí.

   Otevření stránky přiřazení v rámci registrace aplikace ukazuje přiřazení rolí, které jsou vymezeny na tento prostředek Microsoft Entra.

   

7. Ve sloupci Rozsah se podívejte na přiřazení rolí v rozsahu tohoto prostředku.

Výpis přiřazení rolí s oblastí administrativních jednotek

Všechna přiřazení rolí vytvořená s oborem jednotek pro správu můžete zobrazit v části jednotky pro správu v Centru pro správu Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra.

2. Přejděte na Identita>Role & správci>Admin jednotky.

3. Vyberte jednotku pro správu pro seznam přiřazení rolí, která chcete zobrazit.

4. Vyberte Role a správce.

5. Výběrem názvu role otevřete roli.

6. Výběrem přiřazení zobrazíte seznam přiřazení rolí.

   

7. Ve sloupci Rozsah se podívejte na přiřazení rolí v rozsahu tohoto prostředku.

PowerShell

Tato část popisuje zobrazení přiřazení role s oborem tenanta. Tato část používá modul Microsoft Graph PowerShellu.

Sestava

1. Nainstalujte modul Microsoft Graph pomocí Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Pomocí příkazu Connect-MgGraph se přihlaste a použijte rutiny Microsoft Graph PowerShellu.

   Connect-MgGraph
   

Výpis přiřazení rolí s oborem tenanta

K výpisu přiřazení rolí použijte příkazy Get-MgRoleManagementDirectoryRoleDefinition a Get-MgRoleManagementDirectoryRoleAssignment .

Následující příklad ukazuje, jak zobrazit seznam přiřazení rolí pro roli Správce skupin.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Následující příklad ukazuje, jak zobrazit seznam všech aktivních přiřazení rolí napříč všemi rolemi, včetně předdefinovaných a vlastních rolí.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Výpis přiřazení rolí pro principála

Pomocí příkazu Get-MgRoleManagementDirectoryRoleAssignment vypíšete přiřazení rolí pro hlavní objekt.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Výpis přímých a tranzitivních přiřazení rolí pro hlavní entitu

Pomocí List transitiveRoleAssignments API získejte role přiřazené přímo a tranzitivně uživateli.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Výpis přiřazení rolí pro skupinu

K získání skupiny použijte příkaz Get-MgGroup.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Pomocí příkazu Get-MgRoleManagementDirectoryRoleAssignment zobrazte seznam přiřazení rolí pro skupinu.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Výpis přiřazení rolí s oblastí administrativních jednotek

Pomocí příkazu Get-MgDirectoryAdministrativeUnitScopedRoleMember zobrazte seznam přiřazení rolí s rozsahem správní jednotky.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

rozhraní Graph API

Tato část popisuje, jak vypsat přiřazení rolí s oborem tenanta. Pro získání přiřazení rolí použijte API unifiedRoleAssignments.

Výpis přiřazení rolí pro principála

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Výpis přímých a tranzitivních přiřazení rolí pro hlavní entitu

Následujícím postupem zobrazíte seznam rolí Microsoft Entra přiřazených uživateli pomocí rozhraní Microsoft Graph API v Graph Exploreru.

1. Přihlaste se k Graph Exploreru.

2. Pomocí List transitiveRoleAssignments API získejte role přiřazené přímo a tranzitivně uživateli. Do adresy URL přidejte následující dotaz.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Přejděte na kartu Hlavičky požadavku. Přidejte ConsistencyLevel jako klíč a Eventual jako jeho hodnotu.

4. Vyberte Spustit dotaz.

Výpis přiřazení rolí pro skupinu

K získání skupiny použijte rozhraní Get group API.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

K získání přiřazení role použijte API List unifiedRoleAssignments.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Seznam přiřazení rolí pro definici role

Následující příklad ukazuje, jak zobrazit seznam přiřazení rolí pro konkrétní definici role.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Seznam přiřazení role podle ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Response

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Seznam přiřazení rolí v rozsahu registrace aplikace

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Výpis přiřazení rolí s oblastí administrativních jednotek

Pomocí rozhraní API List scopedRoleMembers vypisujte přiřazení rolí s oborem jednotky pro správu.

Prosba

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Tělo

{}

Další kroky

• Neváhejte se s námi podělit o fóru pro správu Microsoft Entra.
• Další informace o oprávněních rolí najdete v tématu Předdefinované role Microsoft Entra.
• Výchozí uživatelská oprávnění najdete v porovnání výchozích uživatelských oprávnění typu host a člen.