Вывод списка назначений ролей Microsoft Entra

В этой статье описывается, как перечислить роли, назначенные в идентификаторе Microsoft Entra, с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph.

Назначения ролей содержат сведения, связывающие заданного субъекта безопасности (пользователя, группы или субъекта-службы приложений) с определением роли. Перечисление пользователей, групп и назначенных ролей — это разрешения пользователей по умолчанию.

Области

В идентификаторе Microsoft Entra роли можно назначать в разных областях.

• Назначения ролей на уровне арендатора добавляются и отображаются в списке назначений ролей одного приложения.
• Назначения ролей в контексте одной области приложения не добавляются и не отображаются в списке назначений с областью действия арендатора.

Необходимые компоненты

• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Вывод списка назначений ролей Microsoft Entra

Центр администрирования

Список моих назначений ролей

Вы также можете составить список собственных разрешений. На странице Роли и администраторы выберите вашу роль, чтобы просмотреть роли, назначенные вам в данный момент.

Вывод списка назначений ролей для пользователя

Выполните следующие действия, чтобы перечислить роли Microsoft Entra для пользователя с помощью Центра администрирования Microsoft Entra. Ваш интерфейс будет отличаться в зависимости от того, включено ли microsoft Entra Privileged Identity Management (PIM).

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите в Identity>Users>Все пользователи.

3. Выберите имя пользователя >Назначенные роли.

   Список ролей, назначенных пользователю, можно просмотреть на различных уровнях. Кроме того, вы можете увидеть, была ли роль назначена напрямую или через группу.

   

   Если у вас есть лицензия microsoft Entra ID P2, вы увидите интерфейс PIM, имеющий соответствующие, активные и просроченные сведения о назначении ролей.

   

Список назначений ролей для группы

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к идентичность>группы>Все группы.

3. Выберите группу, которой можно назначать роли.

   Чтобы определить, возможно ли назначение ролей для группы, можно просмотреть свойства для этой группы.

4. Выберите назначенные роли.

   Теперь вы увидите все роли Microsoft Entra, назначенные этой группе. Если вы не видите параметр назначенные роли, значит эта группа не предназначена для назначения ролей.

   

Загрузка назначений ролей

Чтобы загрузить все активные назначения по всем ролям, включая встроенные и настраиваемые роли, выполните следующие действия.

Массовые операции могут выполняться только в течение 1 часа и имеют ограничения в крупных арендаторах. Дополнительные сведения см. в разделе массовых операций и массовое создание пользователей видентификатора Microsoft Entra.

1. На странице Роли и администраторы выберите Все роли.

2. Выберите Скачать назначения.

   

3. Укажите имя файла и выберите Начать Загрузку.

   Будет загружен CSV-файл, в котором перечислены назначения для всех областей этой роли.

Чтобы загрузить назначения для конкретной роли, выполните следующие действия.

1. На странице Роли и администраторы выберите роль.

2. Выберите Скачать назначения.

   Если у вас есть лицензия Microsoft Entra ID P2, вы увидите интерфейс PIM. Выберите Экспорт для загрузки назначений ролей.

   Будет загружен CSV-файл, в котором перечисляются назначения для всех областей этой роли.

Список назначений ролей в области арендатора

В этой процедуре описывается, как перечислить назначения ролей в пределах арендатора.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к ролям удостоверений>и администраторам.>

3. Выберите имя роли, чтобы открыть роль. Не добавляйте флажок рядом с ролью.

   

4. Чтобы вывести список назначений ролей, выберите Назначения.

   

5. В столбце "Область" найдите назначения ролей с областью Directory.

Просмотр списка назначений ролей в области регистрации приложения

В этом разделе описывается, как составить список назначений ролей в области одного приложения.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к >

3. Выберите регистрацию приложения, чтобы увидеть список назначений ролей.

   Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.

4. Выберите роли и администраторов.

5. Выберите имя роли, чтобы открыть роль.

6. Чтобы вывести список назначений ролей, выберите Назначения.

   Открытие страницы назначений из регистрации приложения показывает назначения ролей, которые относятся к этому ресурсу Microsoft Entra.

   

7. В столбце области см. назначения ролей с этой области ресурса.

Отображение списка назначений ролей с административной единицей в качестве области

Все назначения ролей, созданные в рамках административных единиц, можно просмотреть в разделе "Административные единицы " центра администрирования Microsoft Entra.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к Удостоверение>Роли & администраторы>Административные единицы.

3. Выберите административную единицу для списка назначений ролей, которые вы хотите просмотреть.

4. Выберите роли и администраторов.

5. Выберите имя роли, чтобы открыть роль.

6. Чтобы вывести список назначений ролей, выберите Назначения.

   

7. В столбце области см. назначения ролей с этой области ресурса.

PowerShell

В этом разделе описывается, как просматривать назначения роли с охватом арендатора. В этом разделе используется модуль Microsoft Graph PowerShell.

Настройка

1. Установите модуль Microsoft Graph с помощью install-Module.

   Install-Module -name Microsoft.Graph
   

2. Используйте команду Connect-MgGraph для входа и использования командлетов Microsoft Graph PowerShell.

   Connect-MgGraph
   

Список назначений ролей в области арендатора

Используйте команды Get-MgRoleManagementDirectoryRoleDefinition и Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей.

В следующем примере показано, как вывести список назначений ролей для роли Администратор групп.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

В следующем примере показано, как перечислить все активные назначения ролей во всех ролях, включая встроенные и настраиваемые роли.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Вывод списка назначений ролей для субъекта

Используйте команду Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей для пользователя.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Перечислить назначения прямых и транзитивных ролей для субъекта

Используйте API List transitiveRoleAssignments, чтобы получить роли, назначенные пользователю непосредственно и транзитивно.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Список назначений ролей для группы

Чтобы получить группу, используйте команду get-MgGroup .

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Используйте команду Get-MgRoleManagementDirectoryRoleAssignment для перечисления назначений ролей для группы.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Отображение списка назначений ролей с административной единицей в качестве области

Используйте команду Get-MgDirectoryAdministrativeUnitScopedRoleMember для отображения назначений ролей в пределах административной единицы.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Graph API

В этом разделе описывается, как перечислить назначения ролей с областью клиента. Чтобы получить назначения ролей, используйте API List unifiedRoleAssignments.

Вывод списка назначений ролей для субъекта

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Перечислить назначения прямых и транзитивных ролей для субъекта

Выполните следующие действия, чтобы перечислить роли Microsoft Entra, назначенные пользователю с помощью API Microsoft Graph в Graph Explorer.

1. Войдите в обозревателя графов.

2. Используйте API List transitiveRoleAssignments, чтобы получить роли, назначенные пользователю непосредственно и транзитивно. Добавьте следующий запрос к URL-адресу.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Перейдите на вкладку заголовки запросов. Добавьте ConsistencyLevel как ключ и Eventual как его значение.

4. Выберите Выполнить запрос.

Список назначений ролей для группы

Для получения группы используйте API получения группы.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Чтобы получить назначение роли, используйте API List unifiedRoleAssignments.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Вывод списка назначений ролей в соответствии с определением роли

В следующем примере показано, как вывести список назначений ролей для определенного определения роли.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Вывод списка назначения ролей по идентификатору

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Response

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Просмотр списка назначений ролей в области регистрации приложения

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Отображение списка назначений ролей с административной единицей в качестве области

Используйте API List scopedRoleMembers для перечисления назначений ролей в рамках административной единицы.

Просьба

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Тело

{}

Следующие шаги

• Вы можете поделиться с нами на форуме административных ролей Microsoft Entra.
• Дополнительные сведения о разрешениях ролей см. в статье о встроенных ролях Microsoft Entra.
• Сведения о разрешениях пользователей по умолчанию см. в разделе сравнение разрешений гостевых пользователей и пользователей-участников.