Microsoft Entra-roltoewijzingen vermelden

In dit artikel wordt beschreven hoe u rollen vermeldt die u hebt toegewezen in Microsoft Entra-id met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API.

Roltoewijzingen bevatten informatie die een bepaalde beveiligingsprincipaal (een gebruiker, groep of toepassingsservice-principal) koppelt aan een roldefinitie. Het vermelden van gebruikers, groepen en toegewezen rollen zijn standaardgebruikersmachtigingen.

Omvang

In Microsoft Entra ID kunnen rollen op verschillende niveaus worden toegewezen.

• Roltoewijzingen op tenantbereik worden toegevoegd aan en weergegeven in de lijst met roltoewijzingen voor een enkele toepassing.
• Roltoewijzingen binnen het bereik van één toepassing worden niet toegevoegd en kunnen niet worden weergegeven in de lijst met toewijzingen met tenantbereik.

Vereisten

• Microsoft Graph PowerShell-module bij het gebruik van PowerShell
• U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-roltoewijzingen vermelden

beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Mijn roltoewijzingen weergeven

Het is ook eenvoudig uw eigen machtigingen weer te geven. Selecteer op de pagina Rollen en beheerdersUw rol om de rollen te zien die momenteel aan u zijn toegewezen.

Roltoewijzingen voor een gebruiker weergeven

Volg deze stappen om Microsoft Entra-rollen voor een gebruiker weer te geven met behulp van het Microsoft Entra-beheercentrum. Uw ervaring is afhankelijk van of u Microsoft Entra Privileged Identity Management (PIM) ingeschakeld.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identity>Users>Alle gebruikers.

3. Selecteer gebruikersnaam>Toegewezen rollen.

   U kunt de lijst met rollen zien die aan de gebruiker zijn toegewezen op verschillende niveaus. Daarnaast kunt u zien of de rol rechtstreeks of via een groep is toegewezen.

   

   Als u een Microsoft Entra ID P2-licentie hebt, krijgt u de PIM-ervaring te zien, met details over in aanmerking komende, actieve en verlopen roltoewijzingen.

   

Roltoewijzingen voor een groep weergeven

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteit>Groepen>Alle groepen.

3. Selecteer een groep waaraan rollen kunnen worden toegewezen.

   Als u wilt bepalen of een groep een rol kan krijgen toegewezen, kunt u de eigenschappen voor de groep bekijken.

4. Selecteer Toegewezen rollen.

   U kunt nu alle Microsoft Entra-rollen zien die aan deze groep zijn toegewezen. Als u de optie Toegewezen rollen niet ziet, is de groep geen groep die kan worden toegewezen aan rollen.

   

Roltoewijzingen downloaden

Als u alle actieve roltoewijzingen voor alle rollen wilt downloaden, inclusief ingebouwde en aangepaste rollen, volgt u deze stappen.

Bulkbewerkingen kunnen maximaal 1 uur worden uitgevoerd en hebben beperkingen in grote tenants. Zie Bulkbewerkingen en Gebruikers in bulk maken in Microsoft Entra IDvoor meer informatie.

1. Selecteer de pagina Alle rollen op de pagina Rollen en beheerders.

2. Selecteer Toewijzingen downloaden.

   

3. Geef een bestandsnaam op en selecteer Download starten.

   Er wordt een CSV-bestand gedownload met de toewijzingen voor alle bereiken voor alle rollen.

Volg deze stappen om roltoewijzingen voor een specifieke rol te downloaden.

1. Selecteer een rol op de pagina Rollen en beheerders.

2. Selecteer Toewijzingen downloaden.

   Als u een Microsoft Entra ID P2-licentie hebt, ziet u de PIM-ervaring. Selecteer Exporteren om de roltoewijzingen te downloaden.

   Er wordt een CSV-bestand gedownload met de toewijzingen voor alle bereiken voor alle rollen.

Roltoewijzingen weergeven met tenantbereik

In deze procedure wordt beschreven hoe u roltoewijzingen op tenantniveau weergeeft.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

3. Selecteer een rolnaam om de rol te openen. Voeg geen vinkje toe naast de rol.

   

4. Selecteer Toewijzingen om de roltoewijzingen weer te geven.

   

5. Zie in de kolom Scope de roltoewijzingen in Directory scope.

Roltoewijzingen tonen binnen het toepassingsregistratiebereik

In deze sectie wordt beschreven hoe u roltoewijzingen met één toepassingsbereik weergeeft.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar > App-registraties.

3. Selecteer een app-registratie voor de lijst met roltoewijzingen die u wilt weergeven.

   Mogelijk moet u alle toepassingen selecteren om de volledige lijst met app-registraties in uw Microsoft Entra-organisatie weer te geven.

4. Selecteer rollen en beheerders.

5. Selecteer een rolnaam om de rol te openen.

6. Selecteer Toewijzingen om de roltoewijzingen weer te geven.

   Wanneer u de pagina toewijzingen opent vanuit de app-registratie, ziet u de roltoewijzingen die zijn gericht op deze Microsoft Entra-resource.

   

7. Zie in de kolom Bereik de roltoewijzingen met het bereik van deze resource .

Roltoewijzingen weergeven binnen de context van beheereenheden

U kunt alle roltoewijzingen bekijken die zijn gemaakt met een beheereenheidbereik in de sectie Beheereenheden van het Microsoft Entra-beheercentrum.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar identiteits->rollen & beheerders>beheereenheden.

3. Selecteer een beheereenheid voor de lijst met roltoewijzingen die u wilt weergeven.

4. Selecteer rollen en beheerders.

5. Selecteer een rolnaam om de rol te openen.

6. Selecteer Toewijzingen om de roltoewijzingen weer te geven.

   

7. Zie in de kolom Bereik de roltoewijzingen binnen het bereik van deze resource.

PowerShell

In deze sectie worden de weergavetoewijzingen van een rol met tenantbereik beschreven. In deze sectie wordt de module Microsoft Graph PowerShell gebruikt.

Installatie

1. Installeer de Microsoft Graph-module met Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Gebruik de opdracht Connect-MgGraph om u aan te melden en Microsoft Graph PowerShell-cmdlets te gebruiken.

   Connect-MgGraph
   

Roltoewijzingen weergeven met tenantbereik

Gebruik de opdrachten Get-MgRoleManagementDirectoryRoleDefinition en Get-MgRoleManagementDirectoryRoleAssignment om roltoewijzingen weer te geven.

Het volgende voorbeeld toont aan hoe u de roltoewijzingen kunt weergeven voor de rol Groepsbeheerder.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

In het volgende voorbeeld ziet u hoe u alle actieve roltoewijzingen voor alle rollen weergeeft, inclusief ingebouwde en aangepaste rollen.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Roltoewijzingen voor een principal weergeven

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleAssignment om de roltoewijzingen voor een principal weer te geven.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Directe en transitieve roltoewijzingen voor een principal vermelden

Gebruik de List transitiveRoleAssignments API om rollen rechtstreeks en transitief aan een gebruiker toe te wijzen.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Roltoewijzingen voor een groep weergeven

Gebruik de opdracht Get-MgGroup om een groep op te halen.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleAssignment om de roltoewijzingen voor de groep weer te geven.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Roltoewijzingen weergeven met het bereik van beheereenheden

Gebruik de opdracht Get-MgDirectoryAdministrativeUnitScopedRoleMember om roltoewijzingen weer te geven voor beheereenheidsscope.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Graph API-

In deze sectie wordt beschreven hoe u roltoewijzingen binnen de scope van een tenant weergeeft. Gebruik de List unifiedRoleAssignments API om de roltoewijzingen op te halen.

Roltoewijzingen voor een principal weergeven

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Respons

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Directe en transitieve roltoewijzingen voor een principal vermelden

Volg deze stappen om Microsoft Entra-rollen weer te geven die zijn toegewezen aan een gebruiker met behulp van de Microsoft Graph API in Graph Explorer.

1. Meld u aan bij de Graph Explorer-.

2. Gebruik de List transitiveRoleAssignments API om rollen rechtstreeks en transitief aan een gebruiker toe te wijzen. Voeg de volgende query toe aan de URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Ga naar het tabblad Verzoekheaders. Voeg ConsistencyLevel toe als sleutel en Eventual als waarde.

4. Kies Voer query uit.

Roltoewijzingen voor een groep weergeven

Gebruik de Groep ophalen-API om een groep op te halen.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Gebruik de List unifiedRoleAssignments API om de roltoewijzing op te halen.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Roltoewijzingen weergeven voor een roldefinitie

In het volgende voorbeeld ziet u hoe u de roltoewijzingen voor een specifieke roldefinitie kunt weergeven.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Respons

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Een roltoewijzing per id weergeven

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Respons

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Roltoewijzingen weergeven met app-registratiebereik

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Respons

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Roltoewijzingen met de scope van beheereenheden opsommen

Gebruik de List scopedRoleMembers API om roltoewijzingen met beheereenheidbereik weer te geven.

Verzoek

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Lichaam

{}

Volgende stappen

• U kunt dit delen met ons op het Microsoft Entra-beheerrollenforum.
• Zie ingebouwde rollen van Microsoft Entra voor meer informatie over rolmachtigingen.
• Raadpleeg vergelijking van standaardmachtigingen voor gasten en ledenvoor meer informatie over de standaard gebruikersmachtigingen.