Listar atribuições de função do Microsoft Entra
Este artigo descreve como listar funções atribuídas no Microsoft Entra ID. No Microsoft Entra, as funções podem ser atribuídas no escopo de toda a organização ou de um aplicativo individual.
- As atribuições de função no escopo de toda a organização são adicionadas e podem ser vistas na lista de atribuições de função de aplicativo único.
- As atribuições de função no escopo de aplicativo único não são adicionadas e não podem ser vistas na lista de atribuições no escopo de toda a organização.
Pré-requisitos
- Módulo Microsoft Graph PowerShell ao usar o PowerShell
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Este procedimento descreve como listar as atribuições de função com escopo de toda a organização.
Navegue até Identidade>Funções e administradores>Funções e administradores.
Selecione uma função para abri-la e exibir suas propriedades.
Selecione Atribuições para listar as atribuições de função.
Listar minhas atribuições de função
É fácil listar suas próprias permissões também. Selecione Sua função na página Funções e administradores para ver as funções atribuídas atualmente a você.
Baixar as atribuições de função
Para baixar todas as atribuições de função ativas em todas as funções, incluindo as funções internas e personalizadas, siga estas etapas (atualmente em versão prévia).
Na página Funções e administradores, selecione Todas as funções.
Selecione Baixar atribuições.
Um arquivo CSV que lista as atribuições em todos os escopos para todas as funções é baixado.
Para baixar todas as atribuições de uma função específica, siga estas etapas.
Na página Funções e administradores, selecione uma função.
Selecione Baixar atribuições.
Um arquivo CSV que lista as atribuições em todos os escopos para essa função será baixado.
Listar atribuições de função com escopo de aplicativo único
Esta seção descreve como listar atribuições de função com escopo de aplicativo único. Esse recurso está atualmente em visualização pública.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione o registro do aplicativo para exibir suas propriedades. Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.
No registro do aplicativo, selecione Funções e administradores e, em seguida, selecione uma função para exibir suas propriedades.
Selecione Atribuições para listar as atribuições de função. Ao abrir a página de atribuições dentro do registro de aplicativo serão exibidas as atribuições de função com escopo deste recurso do Microsoft Entra.
PowerShell
Esta seção descreve a exibição de atribuições de uma função com escopo de toda a organização. Esse artigo usa o módulo PowerShell do Microsoft Graph. Para exibir atribuições de escopo de aplicativo único usando o PowerShell, você pode usar os cmdlets em Atribuir funções personalizadas com o PowerShell.
Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.
O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos.
# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition
# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo as funções internas e personalizadas (atualmente em versão prévia).
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
API do Microsoft Graph
Esta seção descreve como listar as atribuições de função com escopo de toda a organização. Para listar atribuições de função com escopo de aplicativo único usando a API do Graph, use as operações em Atribuir funções personalizadas com a API do Graph.
Use a API Listar unifiedRoleAssignments para obter as atribuições de função para uma definição de função específica. O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica com a ID 00000000-0000-0000-0000-000000000000
.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’
Resposta
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Próximas etapas
- Sinta-se à vontade para compartilhar conosco no fórum de funções administrativas do Microsoft Entra.
- Para obter mais informações sobre permissões de função, consulte Funções internas do Microsoft Entra.
- Para obter as permissões de usuário padrão, confira uma comparação entre as permissões de usuário membro e convidado padrão.