Este artigo descreve como listar as funções atribuídas na ID do Microsoft Entra usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.
As atribuições de função contêm informações que vinculam uma determinada entidade de segurança (um usuário, um grupo ou uma entidade de serviço de aplicativo) a uma definição de função. Listar usuários, grupos e funções atribuídas são permissões de usuário padrão.
Na ID do Microsoft Entra, as funções podem ser atribuídas em escopos diferentes.
Listar minhas atribuições de função
É fácil listar suas próprias permissões também. Na página Funções e administradores, selecione Sua Função para ver as funções que estão atualmente atribuídas a você.
Listar atribuições de função para um usuário
Siga estas etapas para listar as funções do Microsoft Entra para um usuário usando o Centro de administração do Microsoft Entra. Sua experiência será diferente se você já tiver o PIM (Privileged Identity Management) do Microsoft Entra habilitado.
Entre no Centro de administração do Microsoft Entra.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione nome de usuário>Funções atribuídas.
Você pode ver a lista de funções atribuídas ao usuário em escopos diferentes. Além disso, você pode ver se a função foi atribuída diretamente ou por meio de um grupo.
Se você tiver uma licença do Microsoft Entra ID P2, verá a experiência do PIM, que tem detalhes de atribuição de função qualificados, ativos e expirados.
Listar atribuições de função para um grupo
Entre no Centro de administração do Microsoft Entra.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione um grupo atribuível à função.
Para determinar se um grupo é atribuível a função, você pode exibir as propriedades do grupo.
Selecione Funções atribuídas.
Agora você pode ver todas as funções do Microsoft Entra atribuídas a esse grupo. Se você não vê a opção Funções atribuídas, o grupo não é um grupo que permite atribuição de funções.
Baixar as atribuições de função
Para baixar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas, siga estas etapas.
As operações em massa só podem ser executadas por até uma hora e têm limitações em locatários grandes. Para obter mais informações, confira Operações em massa e Criar usuários em massa no Microsoft Entra ID.
Na página Funções e administradores, selecione Todas as funções.
Selecione Baixar atribuições.
Especifique um nome de arquivo e selecione Iniciar o download.
Um arquivo CSV que lista as atribuições em todos os escopos para todas as funções é baixado.
Para baixar atribuições de função para uma função específica, siga estas etapas.
Na página Funções e administradores, selecione uma função.
Selecione Baixar atribuições.
Se você tiver uma licença do Microsoft Entra ID P2, verá a experiência do PIM. Selecione Exportar para baixar as atribuições de função.
Um arquivo CSV que lista as atribuições em todos os escopos para essa função será baixado.
Listar atribuições de função com escopo de locatário
Este procedimento descreve como listar atribuições de função com escopo de locatário.
Entre no Centro de administração do Microsoft Entra.
Navegue até Identidade>Funções e administradores>Funções e administradores.
Selecione um nome de função para abrir a função. Não adicione uma marca de seleção ao lado da função.
Selecione Atribuições para listar as atribuições de função.
Na coluna Escopo, confira as atribuições de função com o escopo Diretório.
Listar atribuições de função com o escopo de registro do aplicativo
Esta seção descreve como listar atribuições de função com escopo de aplicativo único.
Entre no Centro de administração do Microsoft Entra.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione um registro de aplicativo para a lista de atribuições de função que você deseja exibir.
Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.
Selecione Funções e administradores.
Selecione um nome de função para abrir a função.
Selecione Atribuições para listar as atribuições de função.
Ao abrir a página de atribuições dentro do registro de aplicativo serão exibidas as atribuições de função com escopo deste recurso do Microsoft Entra.
Na coluna Escopo, confira as atribuições de função com o escopo Esse recurso.
Listar atribuições de função com escopo de unidade administrativa
Você pode exibir todas as atribuições de função criadas com um escopo de unidade administrativa na seção Unidades administrativas do Centro de administração do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra.
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione uma unidade administrativa para a lista de atribuições de função que você deseja exibir.
Selecione Funções e administradores.
Selecione um nome de função para abrir a função.
Selecione Atribuições para listar as atribuições de função.
Na coluna Escopo, confira as atribuições de função com o escopo Esse recurso.
Esta seção descreve a visualização de atribuições de uma função com escopo de locatário. Esta seção usa o módulo do Microsoft Graph PowerShell.
Configuração
Instale o módulo Microsoft Graph usando o comando Install-Module .
Install-Module -name Microsoft.Graph
Use o comando Connect-MgGraph para entrar e usar cmdlets do Microsoft Graph PowerShell.
Connect-MgGraph
Listar atribuições de função com escopo de locatário
Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.
O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos.
# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas.
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
Listar atribuições de função para um principal
Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de função de uma entidade de segurança.
# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
Listar atribuições de função diretas e transitivas para um principal
Use a API Listar transitiveRoleAssignments para obter as funções atribuídas diretamente e transitoriamente a um usuário.
$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}
$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value
Listar atribuições de função para um grupo
Use o comando Get-MgGroup para obter um grupo.
Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"
Use o comando Get-MgRoleManagementDirectoryRoleAssignment para listar as atribuições de função para o grupo.
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'"
Listar atribuições de função com escopo de unidade administrativa
Utilize o comando Get-MgDirectoryAdministrativeUnitScopedRoleMember para listar atribuições de função com o escopo de unidade administrativa.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Esta seção descreve como listar atribuições de função com escopo de locatário. Use a API Listar unifiedRoleAssignments para obter a atribuição de função.
Listar atribuições de função para um principal
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'
Resposta
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
"directoryScopeId": "/"
}
]
}
Listar atribuições de função diretas e transitivas para um principal
Siga estas etapas para listar as funções do Microsoft Entra atribuídas a um usuário usando a API do Microsoft Graph no Explorador do Graph.
Faça login no Graph Explorer .
Use a API Listar transitiveRoleAssignments para obter as funções atribuídas diretamente e transitoriamente a um usuário. Adicione a consulta a seguir à URL.
GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
Navegue até a guia Cabeçalhos de solicitação. Adicione ConsistencyLevel como chave e Eventual como o valor.
Selecione Executar consulta.
Listar atribuições de função para um grupo
Use a API Obter grupo para obter um grupo.
GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'
Use a API List unifiedRoleAssignments para obter a atribuição de função.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq
Listar atribuições de função para uma definição de função
O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'
Resposta
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Listar uma atribuição de função por ID
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1
Resposta
HTTP/1.1 200 OK
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/"
}
Listar atribuições de função com o escopo de registro do aplicativo
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'
Resposta
HTTP/1.1 200 OK
{
"value":[
{
"id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
} ,
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
}
]
}
Listar atribuições de função com escopo de unidade administrativa
Use a API Listar scopedRoleMembers para listar as atribuições de função com escopo de unidade administrativa.
Solicitação
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Corpo
{}
