Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby określić, do jakich zasobów mają dostęp użytkownicy, grupy, jednostki usługi lub tożsamości zarządzane, należy wyświetlić listę ich przypisań ról. W tym artykule opisano sposób wyświetlania listy przypisań ról przy użyciu witryny Azure Portal.

Uwaga

Jeśli Twoja organizacja udostępnia funkcje zarządzania dostawcy usług, który korzysta z usługi Azure Lighthouse, przypisania ról autoryzowane przez tego dostawcę usług nie będą wyświetlane tutaj. Podobnie użytkownicy w dzierżawie dostawcy usług nie będą widzieć przypisań ról dla użytkowników w dzierżawie klienta, niezależnie od przypisanej roli.

Wymagania wstępne

Microsoft.Authorization/roleAssignments/read uprawnienia, takie jak Czytelnik

Wyświetlanie listy przypisań ról dla użytkownika lub grupy

Szybkim sposobem wyświetlenia ról przypisanych do użytkownika lub grupy w subskrypcji jest użycie okienka Przypisania ról platformy Azure.

  1. W witrynie Azure Portal wybierz pozycję Wszystkie usługi z menu witryny Azure Portal.

  2. Wybierz pozycję Microsoft Entra ID, a następnie wybierz opcję Użytkownicy lub Grupy.

  3. Kliknij użytkownika lub grupę, dla których chcesz wyświetlić listę przypisań ról.

  4. Kliknij opcję Przypisania ról platformy Azure.

    Zostanie wyświetlona lista ról przypisanych do wybranego użytkownika lub grupy w różnych zakresach, takich jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób. Ta lista będzie zawierała wszystkie przypisania ról, w przypadku których masz uprawnienia do odczytu.

    Zrzut ekranu przedstawiający przypisania ról dla użytkownika.

  5. Aby zmienić subskrypcję, kliknij listę Subskrypcje.

Wyświetlanie listy właścicieli subskrypcji

Użytkownicy, którym przypisano rolę Właściciel subskrypcji, mogą zarządzać wszystkimi elementami w subskrypcji. Wykonaj następujące kroki, aby wyświetlić listę właścicieli subskrypcji.

  1. W witrynie Azure Portal kliknij pozycję Wszystkie usługi, a następnie wybierz pozycję Subskrypcje.

  2. Kliknij subskrypcję, której chcesz wyświetlić listę właścicieli.

  3. Kliknij pozycję Kontrola dostępu (IAM).

  4. Kliknij kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról dla tej subskrypcji.

  5. Przewiń do sekcji Właściciele, aby wyświetlić wszystkich użytkowników, którym przypisano rolę Właściciel dla tej subskrypcji.

    Zrzut ekranu przedstawiający kartę Kontrola dostępu subskrypcji i Przypisania ról.

Wyświetlanie listy przypisań ról administratora uprzywilejowanego lub zarządzanie nimi

Na karcie Przypisania ról można wyświetlić listę i wyświetlić liczbę przypisań ról administratora uprzywilejowanego w bieżącym zakresie. Aby uzyskać więcej informacji, zobacz Role administratora uprzywilejowanego.

  1. W witrynie Azure Portal kliknij pozycję Wszystkie usługi , a następnie wybierz zakres. Możesz na przykład wybrać grupy zarządzania, subskrypcje, grupy zasobów lub zasób.

  2. Kliknij konkretny zasób.

  3. Kliknij pozycję Kontrola dostępu (IAM).

  4. Kliknij kartę Przypisania ról, a następnie kliknij kartę Uprzywilejowane , aby wyświetlić listę przypisań ról administratora uprzywilejowanego w tym zakresie.

    Zrzut ekranu przedstawiający stronę kontrola dostępu, kartę Przypisania ról i kartę Uprzywilejowane z przypisaniami ról uprzywilejowanych.

  5. Aby wyświetlić liczbę przypisań ról administratora uprzywilejowanego w tym zakresie, zobacz kartę Uprzywilejowane .

  6. Aby zarządzać przypisaniami ról uprzywilejowanych administratorów, zobacz kartę Uprzywilejowane i kliknij pozycję Wyświetl przypisania.

    Na stronie Zarządzanie przypisaniami ról uprzywilejowanych można dodać warunek, aby ograniczyć przypisanie roli uprzywilejowanej lub usunąć przypisanie roli. Aby uzyskać więcej informacji, zobacz Delegowanie zarządzania przypisaniem ról platformy Azure do innych osób z warunkami.

    Zrzut ekranu przedstawiający stronę Zarządzanie przypisaniami ról uprzywilejowanych pokazującą sposób dodawania warunków lub usuwania przypisań ról.

Wyświetlanie listy przypisań ról w zakresie

Wykonaj te kroki:

  1. W witrynie Azure Portal kliknij pozycję Wszystkie usługi , a następnie wybierz zakres. Możesz na przykład wybrać grupy zarządzania, subskrypcje, grupy zasobów lub zasób.

  2. Kliknij konkretny zasób.

  3. Kliknij pozycję Kontrola dostępu (IAM).

  4. Kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

    Jeśli masz licencję Microsoft Entra ID Free lub Microsoft Entra ID P1, karta Przypisania ról jest podobna do poniższego zrzutu ekranu.

    Zrzut ekranu przedstawiający kartę Kontrola dostępu i Przypisania ról.

    Jeśli masz licencję microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra, karta Przypisania ról jest podobna do poniższego zrzutu ekranu dla zakresów grupy zarządzania, subskrypcji i grupy zasobów. Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w dzierżawie lub interfejs może wyglądać inaczej.

    Zrzut ekranu przedstawiający kartę Kontrola dostępu i Aktywne przypisania i Kwalifikujące się przypisania.

    Zostanie wyświetlona kolumna State z jednym z następujących stanów:

    Stan opis
    Aktywna stała Przypisanie roli, w którym użytkownik zawsze może używać roli bez wykonywania żadnych akcji.
    Aktywna granica czasowa Przypisanie roli, w którym użytkownik może używać roli bez wykonywania żadnych akcji tylko w datach rozpoczęcia i zakończenia.
    Kwalifikujące się stałe Przypisanie roli, w którym użytkownik jest zawsze zakwalifikowany do aktywowania roli.
    Kwalifikowana granica czasowa Przypisanie roli, w którym użytkownik kwalifikuje się do aktywowania roli tylko w datach rozpoczęcia i zakończenia.

    Można ustawić datę rozpoczęcia w przyszłości.

    Jeśli chcesz wyświetlić listę godzin rozpoczęcia i czasu zakończenia przypisań ról, kliknij pozycję Edytuj kolumny , a następnie wybierz pozycję Godzina rozpoczęcia i Godzina zakończenia.

    Zrzut ekranu przedstawiający okienko Kolumny z polami wyboru Godzina rozpoczęcia i Godzina zakończenia.

    Należy zauważyć, że niektóre role należą do zakresu tego zasobu, a inne są dziedziczone z innego zakresu. Dostęp jest przypisany specjalnie do tego zasobu lub dziedziczony z przypisania do zakresu nadrzędnego.

Wyświetlanie listy przypisań ról dla użytkownika w zakresie

Aby wyświetlić listę dostępu dla użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, należy wyświetlić listę przypisań ról. Wykonaj następujące kroki, aby wyświetlić listę przypisań ról dla pojedynczego użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej w określonym zakresie.

  1. W witrynie Azure Portal kliknij pozycję Wszystkie usługi , a następnie wybierz zakres. Możesz na przykład wybrać grupy zarządzania, subskrypcje, grupy zasobów lub zasób.

  2. Kliknij konkretny zasób.

  3. Kliknij pozycję Kontrola dostępu (IAM).

    Zrzut ekranu przedstawiający kartę Kontrola dostępu do grupy zasobów i Sprawdzanie dostępu.

  4. Na karcie Sprawdź dostęp kliknij przycisk Sprawdź dostęp.

  5. W okienku Sprawdzanie dostępu kliknij pozycję Użytkownik, grupa lub jednostka usługi lub tożsamość zarządzana.

  6. W polu wyszukiwania wprowadź ciąg, aby wyszukać w katalogu nazwy wyświetlane, adresy e-mail lub identyfikatory obiektów.

    Zrzut ekranu przedstawiający pozycję Sprawdź dostęp z listy wyboru.

  7. Kliknij podmiot zabezpieczeń, aby otworzyć okienko przypisania.

    W tym okienku można zobaczyć dostęp dla wybranego podmiotu zabezpieczeń w tym zakresie i dziedziczony do tego zakresu. Przypisania w zakresach podrzędnych nie są wymienione. Zobaczysz następujące przypisania:

    • Przypisania ról dodane za pomocą kontroli dostępu opartej na rolach platformy Azure.
    • Odmów przypisań dodanych przy użyciu usługi Azure Blueprints lub zarządzanych aplikacji platformy Azure.

    Zrzut ekranu przedstawiający okienko przypisania.

Wyświetlanie listy przypisań ról dla tożsamości zarządzanej

Możesz wyświetlić listę przypisań ról dla tożsamości zarządzanych przypisanych przez system i przypisanych przez użytkownika w określonym zakresie przy użyciu bloku Kontrola dostępu (IAM), zgodnie z wcześniejszym opisem. W tej sekcji opisano sposób wyświetlania listy przypisań ról tylko dla tożsamości zarządzanej.

Tożsamość zarządzana przypisana przez system

  1. W witrynie Azure Portal otwórz tożsamość zarządzaną przypisaną przez system.

  2. W menu po lewej stronie kliknij pozycję Tożsamość.

    Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez system.

  3. W obszarze Uprawnienia kliknij pozycję Przypisania ról platformy Azure.

    Zostanie wyświetlona lista ról przypisanych do wybranej tożsamości zarządzanej przypisanej przez system w różnych zakresach, takich jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób. Ta lista będzie zawierała wszystkie przypisania ról, w przypadku których masz uprawnienia do odczytu.

    Zrzut ekranu przedstawiający przypisania ról dla tożsamości zarządzanej przypisanej przez system.

  4. Aby zmienić subskrypcję, kliknij listę Subskrypcja.

    Tożsamość zarządzana przypisana przez użytkownika

    1. W witrynie Azure Portal otwórz tożsamość zarządzaną przypisaną przez użytkownika.

    2. Kliknij opcję Przypisania ról platformy Azure.

      Zostanie wyświetlona lista ról przypisanych do wybranej tożsamości zarządzanej przypisanej przez użytkownika w różnych zakresach, takich jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób. Ta lista będzie zawierała wszystkie przypisania ról, w przypadku których masz uprawnienia do odczytu.

      Zrzut ekranu przedstawiający przypisania ról dla tożsamości zarządzanej przypisanej przez użytkownika.

    3. Aby zmienić subskrypcję, kliknij listę Subskrypcja.

Wyświetlanie listy przypisań ról

W każdej subskrypcji może być maksymalnie 4000 przypisań ról. Ten limit obejmuje przypisania ról w ramach subskrypcji, grupy zasobów i zakresów zasobów. Kwalifikujące się przypisania ról i przypisania ról zaplanowane w przyszłości nie są liczone do tego limitu. Aby ułatwić śledzenie tego limitu, karta Przypisania ról zawiera wykres zawierający liczbę przypisań ról dla bieżącej subskrypcji.

Zrzut ekranu przedstawiający wykres Kontrola dostępu i liczba przypisań ról.

Jeśli zbliżasz się do maksymalnej liczby i próbujesz dodać więcej przypisań ról, w okienku Dodawanie przypisania roli zostanie wyświetlone ostrzeżenie. Aby uzyskać informacje na temat sposobów zmniejszenia liczby przypisań ról, zobacz Rozwiązywanie problemów z limitami kontroli dostępu opartej na rolach platformy Azure.

Zrzut ekranu przedstawiający ostrzeżenie Kontrola dostępu i Dodawanie przypisania roli.

Pobieranie przypisań ról

Przypisania ról można pobrać w zakresie w formatach CSV lub JSON. Może to być przydatne, jeśli musisz sprawdzić listę w arkuszu kalkulacyjnym lub utworzyć spis podczas migracji subskrypcji.

Podczas pobierania przypisań ról należy pamiętać o następujących kryteriach:

  • Jeśli nie masz uprawnień do odczytu katalogu, takiego jak rola Czytelnicy katalogu, kolumny DisplayName, SignInName i ObjectType będą puste.
  • Przypisania ról, których podmiot zabezpieczeń został usunięty, nie są uwzględniane.
  • Dostęp udzielony administratorom klasycznym nie jest uwzględniony.

Wykonaj następujące kroki, aby pobrać przypisania ról w zakresie.

  1. W witrynie Azure Portal kliknij pozycję Wszystkie usługi , a następnie wybierz zakres, w którym chcesz pobrać przypisania ról. Możesz na przykład wybrać grupy zarządzania, subskrypcje, grupy zasobów lub zasób.

  2. Kliknij konkretny zasób.

  3. Kliknij pozycję Kontrola dostępu (IAM).

  4. Kliknij pozycję Pobierz przypisania ról, aby otworzyć okienko Pobieranie przypisań ról.

    Zrzut ekranu przedstawiający pozycję Kontrola dostępu i Pobieranie przypisań ról.

  5. Użyj pól wyboru, aby wybrać przypisania ról, które mają zostać uwzględnione w pobranym pliku.

    • Dziedziczone — uwzględnia dziedziczone przypisania ról dla bieżącego zakresu.
    • W bieżącym zakresie — uwzględnij przypisania ról dla bieżącego zakresu.
    • Elementy podrzędne — uwzględnij przypisania ról na poziomach poniżej bieżącego zakresu. To pole wyboru jest wyłączone dla zakresu grupy zarządzania.
  6. Wybierz format pliku, który może być wartościami rozdzielanymi przecinkami (CSV) lub JavaScript Object Notation (JSON).

  7. Określ nazwę pliku.

  8. Kliknij przycisk Start , aby rozpocząć pobieranie.

    Poniżej przedstawiono przykłady danych wyjściowych dla każdego formatu pliku.

    Zrzut ekranu przedstawiający pobieranie przypisań ról jako csv.

    Zrzut ekranu przedstawiający pobrane przypisania ról w formacie JSON.