In diesem Artikel wird beschrieben, wie Sie Rollen auflisten, die Sie in der Microsoft Entra-ID zugewiesen haben, mithilfe des Microsoft Entra Admin Centers, von Microsoft Graph PowerShell oder der Microsoft Graph-API.
Rollenzuweisungen enthalten Informationen, die einen bestimmten Sicherheitsprinzipal – sei es ein Benutzer, eine Gruppe oder ein Anwendungsdienstprinzipal – mit einer Rollendefinition verknüpfen. Das Auflisten von Benutzern, Gruppen und zugewiesenen Rollen ist eine Standardbenutzerberechtigung.
In Microsoft Entra ID können Rollen in unterschiedlichen Bereichen zugewiesen werden.
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Auflisten der eigenen Rollenzuweisungen
Sie können auch Ihre eigenen Berechtigungen ohne großen Aufwand auflisten. Wählen Sie auf der Seite Rollen und AdministratorenIhre Rolle aus, um die Rollen anzuzeigen, die Ihnen aktuell zugewiesen sind.
Liste von Rollenzuweisungen für einen Benutzer
Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen für einen Benutzer mithilfe des Microsoft Entra Admin Centers auflisten. Ihre Erfahrung wird unterschiedlich sein, abhängig davon, ob Sie Microsoft Entra Privileged Identity Management (PIM) aktiviert haben.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Identität>Benutzer>Alle Benutzer.
Wählen Sie Benutzername>Zugewiesene Rollen aus.
Sie können die Liste der Rollen anzeigen, die dem Benutzer in verschiedenen Bereichen zugewiesen sind. Darüber hinaus können Sie sehen, ob die Rolle direkt oder über eine Gruppe zugewiesen wurde.
Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, wird die PIM-Benutzeroberfläche angezeigt, die über Details zu berechtigten, aktiven und abgelaufenen Rollenzuweisungen verfügt.
Auflisten von Rollenzuweisungen für eine Gruppe
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Identitäts->Gruppen>Alle Gruppen.
Wählen Sie eine rollenzuweisungsfähige Gruppe aus.
Um festzustellen, ob eine Gruppe rollenzuweisen kann, können Sie die Eigenschaften für die Gruppe anzeigen.
Wählen Sie Zugewiesene Rollen aus.
Sie können jetzt alle Microsoft Entra-Rollen sehen, die dieser Gruppe zugewiesen sind. Wenn die Option Zugewiesenen Rollen nicht angezeigt wird, handelt es sich bei der Gruppe nicht um eine rollenzuweisungsfähige Gruppe.
Herunterladen von Rollenzuweisungen
Führen Sie die folgenden Schritte aus, um alle aktiven Rollenzuweisungen für alle Rollen herunterzuladen, einschließlich integrierter und benutzerdefinierter Rollen.
Massenvorgänge können maximal 1 Stunde ausgeführt werden und haben Einschränkungen bei großen Mandanten. Weitere Informationen finden Sie unter Massenoperationen und Massenerstellung von Benutzern in Microsoft Entra ID.
Wählen Sie auf der Seite Rollen und Administratoren die Option Alle Rollen aus.
Wählen Sie Zuweisungen herunterladen aus.
Geben Sie einen Dateinamen an, und wählen Sie Herunterladen startenaus.
Eine CSV-Datei wird heruntergeladen, die Zuweisungen in allen Bereichen für alle Rollen auflistet.
Führen Sie die folgenden Schritte aus, um Rollenzuweisungen für eine bestimmte Rolle herunterzuladen.
Wählen Sie auf der Seite Rollen und Administratoren eine Rolle aus.
Wählen Sie Zuweisungen herunterladen aus.
Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, wird das PIM-Erlebnis angezeigt. Wählen Sie Export aus, um die Rollenzuweisungen herunterzuladen.
Es wird eine CSV-Datei heruntergeladen, die Zuweisungen in allen Bereichen für diese Rolle auflistet.
Listen Sie Rollenzuweisungen im Mandantenkontext auf
Diese Prozedur beschreibt, wie Rollenzuweisungen mit Mandantenbereich aufgeführt werden.
Melden Sie sich beim Microsoft Entra Admin Center an.
Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen. Fügen Sie kein Häkchen neben der Rolle hinzu.
Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.
In der Spalte Geltungsbereich sehen Sie die Rollenzuweisungen mit dem Umfang Verzeichnis.
Auflisten von Rollenzuweisungen mit App-Registrierungsbereich
In diesem Abschnitt wird beschrieben, wie Rollenzuweisungen im Einzelanwendungsbereich aufgelistet werden.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.
Wählen Sie eine App-Registrierung für die Liste der Rollenzuweisungen aus, die Sie anzeigen möchten.
Möglicherweise müssen Sie die Option Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in Ihrer Microsoft Entra-Organisation anzuzeigen.
Wählen Sie Rollen und Administratoren aus.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen.
Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.
Wenn Sie die Seite „Zuweisungen“ in der App-Registrierung öffnen, werden die Rollenzuweisungen angezeigt, die auf diese Microsoft Entra-Ressource beschränkt sind.
In der Spalte Geltungsbereich sehen Sie die Rollenzuordnungen für den Geltungsbereich dieser Ressource.
Liste von Rollenzuweisungen mit Verwaltungseinheitsbereich
Sie können alle Rollenzuweisungen anzeigen, die mit einem Verwaltungseinheitsbereich erstellt wurden, im Abschnitt Admin-Einheiten Abschnitt des Microsoft Entra Admin Centers.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Identität>Rollen & Administratoren>Administratoreinheiten.
Wählen Sie eine administrative Einheit für die Liste der Rollenzuweisungen aus, die Sie anzeigen möchten.
Wählen Sie Rollen und Administratoren aus.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen.
Wählen Sie Zuweisungen aus, um die Rollenzuweisungen aufzulisten.
In der Spalte Geltungsbereich sehen Sie die Rollenzuordnungen für den Geltungsbereich dieser Ressource.
In diesem Abschnitt wird beschrieben, wie Zuweisungen einer Rolle mit Mandantenbereich angezeigt werden. In diesem Abschnitt wird das Microsoft Graph PowerShell Modul verwendet.
Einrichten
Installieren Sie das Microsoft Graph-Modul mit Install-Module.
Install-Module -name Microsoft.Graph
Verwenden Sie den Befehl Connect-MgGraph, um sich anzumelden und die Microsoft Graph PowerShell-Cmdlets zu verwenden.
Connect-MgGraph
Listen Sie Rollenzuweisungen im Mandantenkontext auf
Verwenden Sie die Befehle Get-MgRoleManagementDirectoryRoleDefinition und Get-MgRoleManagementDirectoryRoleAssignment zum Auflisten von Rollenzuweisungen.
Im folgenden Beispiel wird gezeigt, wie die Rollenzuweisungen für die Rolle Gruppenadministrator aufgelistet werden.
# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
Das folgende Beispiel zeigt, wie alle aktiven Rollenzuweisungen in allen Rollen aufgeführt werden, einschließlich integrierter und benutzerdefinierter Rollen.
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
Auflisten von Rollenzuweisungen für einen Prinzipal
Verwenden Sie den Befehl Get-MgRoleManagementDirectoryRoleAssignment, um die Rollenzuweisungen für einen Prinzipal aufzulisten.
# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
Auflisten von direkten und transitiven Rollenzuweisungen für einen Prinzipal
Verwenden Sie die API List transitiveRoleAssignments, um die einem Benutzer direkt und transitiv zugewiesenen Rollen abzurufen.
$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}
$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value
Rollenzuweisungen für eine Gruppe auflisten
Verwenden Sie den Befehl Get-MgGroup, um eine Gruppe abzurufen.
Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"
Verwenden Sie den Befehl Get-MgRoleManagementDirectoryRoleAssignment, um die Rollenzuweisungen für die Gruppe aufzulisten.
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'"
Liste von Rollenzuweisungen mit Verwaltungseinheitsbereich
Verwenden Sie den Befehl Get-MgDirectoryAdministrativeUnitScopedRoleMember, um Rollenzuweisungen mit Verwaltungseinheitsbereich aufzulisten.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
In diesem Abschnitt wird beschrieben, wie Rollenzuweisungen mit Mandantenbereich aufgelistet werden. Verwenden Sie die List unifiedRoleAssignments API, um die Rollenzuweisungen abzurufen.
Auflisten von Rollenzuweisungen für einen Prinzipal
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'
Antwort
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
"directoryScopeId": "/"
}
]
}
Auflisten von direkten und transitiven Rollenzuweisungen für einen Prinzipal
Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen auflisten, die einem Benutzer mithilfe der Microsoft Graph-API in Graph-Explorerzugewiesen sind.
Melden Sie sich bei Graph-Explorer an.
Verwenden Sie die API List transitiveRoleAssignments, um Rollen zu ermitteln, die einem Benutzer direkt und transitiv zugewiesen wurden. Fügen Sie der URL die folgende Abfrage hinzu.
GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
Navigieren Sie zur Registerkarte Anforderungsheader. Fügen Sie ConsistencyLevel als Schlüssel und Eventual als dessen Wert hinzu.
Wählen Sie Abfrage ausführen aus.
Auflisten von Rollenzuweisungen für eine Gruppe
Verwenden Sie die API Get group, um eine Gruppe abzurufen.
GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'
Verwenden Sie die API List unifiedRoleAssignments, um die Rollenzuweisung abzurufen.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq
Auflisten der Rollenzuweisungen für eine Rollendefinition
Das folgende Beispiel zeigt, wie sie die Rollenzuweisungen für eine bestimmte Rollendefinition auflisten.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'
Antwort
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Auflisten einer Rollenzuweisung anhand der ID
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Antwort
HTTP/1.1 200 OK
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
}
Auflisten von Rollenzuweisungen mit App-Registrierungsbereich
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'
Antwort
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
}
]
}
Liste von Rollenzuweisungen mit Verwaltungseinheitsbereich
Verwenden Sie die API List scopedRoleMembers, um Rollenzuweisungen im Bereich einer Verwaltungseinheit aufzulisten.
Anfrage
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Körper
{}
