Partilhar via

Listar atribuições de função do Microsoft Entra

  • Artigo

Este artigo descreve como listar funções que você atribuiu no Microsoft Entra ID. No Microsoft Entra ID, as funções podem ser atribuídas em um escopo de toda a organização ou com um escopo de aplicativo único.

  • As atribuições de função no escopo de toda a organização são adicionadas e podem ser vistas na lista de atribuições de função de aplicativo único.
  • As atribuições de função no escopo de aplicativo único não são adicionadas e não podem ser vistas na lista de atribuições com escopo em toda a organização.

Pré-requisitos

  • Módulo do Microsoft Graph PowerShell ao usar o PowerShell
  • Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Este procedimento descreve como listar atribuições de função com escopo em toda a organização.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Identity>Roles & admins>Roles & admins.

  3. Selecione uma função para abri-la e exibir suas propriedades.

  4. Selecione Atribuições para listar as atribuições de função.

    Listar atribuições e permissões de função quando você abre uma função na lista

Listar minhas atribuições de função

Também é fácil listar suas próprias permissões. Selecione Sua Função na página Funções e administradores para ver as funções que estão atualmente atribuídas a você.

Listar minhas atribuições de função

Baixar atribuições de função

Para baixar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas, siga estas etapas (atualmente em Visualização).

  1. Na página Funções e administradores, selecione Todas as funções.

  2. Selecione Baixar atribuições.

    Um arquivo CSV que lista atribuições em todos os escopos para todas as funções é baixado.

    Captura de tela mostrando o download de todas as atribuições de função.

Para baixar todas as atribuições de uma função específica, siga estas etapas.

  1. Na página Funções e administradores, selecione uma função.

  2. Selecione Baixar atribuições.

    Um arquivo CSV que lista atribuições em todos os escopos para essa função é baixado.

    Captura de tela mostrando o download de todas as atribuições para uma função específica.

Listar atribuições de função com escopo de aplicativo único

Esta seção descreve como listar atribuições de função com escopo de aplicativo único. Esta funcionalidade está atualmente em pré-visualização pública.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Registros do aplicativo Identity>Applications>.

  3. Selecione o registro do aplicativo para exibir suas propriedades. Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.

    Criar ou editar registos de aplicações a partir da página Registos de aplicações

  4. No registo da aplicação, selecione Funções e administradores e, em seguida, selecione uma função para ver as respetivas propriedades.

    Listar atribuições de função de registro de aplicativo na página Registros de aplicativo

  5. Selecione Atribuições para listar as atribuições de função. Abrir a página de atribuições de dentro do registro do aplicativo mostra as atribuições de função que têm como escopo esse recurso do Microsoft Entra.

    Listar atribuições de função de registro de aplicativo das propriedades de um registro de aplicativo

PowerShell

Esta seção descreve a exibição de atribuições de uma função com escopo em toda a organização. Este artigo usa o módulo Microsoft Graph PowerShell . Para exibir atribuições de escopo de aplicativo único usando o PowerShell, você pode usar os cmdlets em Atribuir funções personalizadas com o PowerShell.

Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.

O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos .

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas (atualmente em Visualização).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Microsoft Graph API

Esta seção descreve como listar atribuições de função com escopo em toda a organização. Para listar atribuições de função de escopo de aplicativo único usando a Graph API, você pode usar as operações em Atribuir funções personalizadas com a Graph API.

Use a API List unifiedRoleAssignments para obter as atribuições de função para uma definição de função específica. O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica com a ID 00000000-0000-0000-0000-000000000000.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Próximos passos