Visa en lista över rolltilldelningar i Microsoft Entra

I den här artikeln beskrivs hur du listar roller som du har tilldelat i Microsoft Entra-ID med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API.

Rolltilldelningar innehåller information som länkar ett visst säkerhetsobjekt (en användare, grupp eller programtjänstens huvudnamn) till en rolldefinition. Att visa användare, grupper och tilldelade roller är standardanvändarbehörigheter.

Scope

I Microsoft Entra-ID kan roller tilldelas i olika omfång.

• Rolltilldelningar på klientomfattning läggs till och kan ses i listan över rolltilldelningar för enskilda program.
• Rolltilldelningar i det enskilda programomfånget läggs inte till i och kan inte visas i listan över tilldelningar med klientomfattningar.

Förutsättningar

• Microsoft Graph PowerShell modul när du använder PowerShell
• Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Visa en lista över rolltilldelningar i Microsoft Entra

Admincenter

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Visa en lista över mina rolltilldelningar

Det är enkelt att lista dina egna behörigheter också. På sidan roller och administratörer väljer du Din roll för att se de roller som för närvarande är tilldelade till dig.

Lista rolltilldelningar för en användare

Följ de här stegen för att lista Microsoft Entra-roller för en användare med hjälp av administrationscentret för Microsoft Entra. Din upplevelse varierar beroende på om du har Microsoft Entra Privileged Identity Management (PIM) aktiverat.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Identitet>Användare>Alla användare.

3. Välj användarnamn>Tilldelade roller.

   Du kan se listan över roller som tilldelats användaren i olika omfång. Dessutom kan du se om rollen har tilldelats direkt eller via en grupp.

   

   Om du har en Microsoft Entra ID P2-licens visas PIM-upplevelse, som har information om berättigade, aktiva och utgångna rolltilldelningar.

   

Lista rolltilldelningar för en grupp

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Identity>Groups>Alla grupper.

3. Välj en rolltilldelningsbar grupp.

   Om du vill ta reda på om en grupp är rolltilldelningsbar kan du visa Egenskaper för gruppen.

4. Välj Tilldelade roller.

   Nu kan du se alla Microsoft Entra-roller som tilldelats den här gruppen. Om du inte ser alternativet Tilldelade roller är gruppen inte en rolltilldelningsbar grupp.

   

Ladda ned rolltilldelningar

Följ dessa steg om du vill ladda ned alla aktiva rolltilldelningar för alla roller, inklusive inbyggda och anpassade roller.

Massåtgärder kan bara köras i upp till 1 timme och har begränsningar i stora hyresgäster. Mer information finns i Massåtgärder och Massskapa användare i Microsoft Entra-ID.

1. På sidan Roller och administratörer väljer du Alla roller.

2. Välj Ladda ned tilldelningar.

   

3. Ange ett filnamn och välj Starta nedladdningen.

   En CSV-fil som visar tilldelningar i alla omfång för alla roller laddas ned.

Följ dessa steg om du vill ladda ned rolltilldelningar för en viss roll.

1. På sidan Roller och administratörer väljer du en roll.

2. Välj Ladda ned tilldelningar.

   Om du har en Microsoft Entra ID P2-licens visas PIM-upplevelsen. Välj Exportera för att ladda ned rolltilldelningarna.

   En CSV-fil som visar tilldelningar i alla omfång för rollen laddas ned.

Lista rolltilldelningar med tenantområde

Den här proceduren beskriver hur du listar rolltilldelningar med klientomfång.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till >>och administratörer.

3. Välj ett rollnamn för att öppna rollen. Lägg inte till någon bock bredvid rollen.

   

4. Välj Tilldelningar för att visa en lista över rolltilldelningarna.

   

5. I kolumnen Omfattning kan du se rolltilldelningarna med Directory omfattning.

Lista rolltilldelningar i kontext av appregistrering

I det här avsnittet beskrivs hur du listar rolltilldelningar med ett programomfång.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Identitetsprogram>> Appregistreringar.

3. Välj en appregistrering för listan över rolltilldelningar som du vill visa.

   Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i din Microsoft Entra-organisation.

4. Välj roller och administratörer.

5. Välj ett rollnamn för att öppna rollen.

6. Välj Tilldelningar för att visa en lista över rolltilldelningarna.

   Om du öppnar sidan tilldelningar inifrån appregistreringen visas de rolltilldelningar som är begränsade till den här Microsoft Entra-resursen.

   

7. I kolumnen Omfång, se rolltilldelningarna för Den här resursens omfång.

Lista rolltilldelningar med omfång för administrativ enhet

Du kan visa alla rolltilldelningar som skapats med ett administrativt enhetsomfång i avsnittet Admin-enheter i administrationscentret för Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Identity>Roles & admins>Admin units.

3. Välj en administrativ enhet för listan över rolltilldelningar som du vill visa.

4. Välj roller och administratörer.

5. Välj ett rollnamn för att öppna rollen.

6. Välj Tilldelningar för att visa en lista över rolltilldelningarna.

   

7. I kolumnen Omfång ser du rolltilldelningarna med omfånget Den här resursen.

PowerShell

Detta avsnitt beskriver hur du visar tilldelningar av en roll med hyresvärdssammanhang. I det här avsnittet används modulen Microsoft Graph PowerShell.

Installationen

1. Installera Microsoft Graph-modulen med Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Använd kommandot Connect-MgGraph för att logga in på och använda Microsoft Graph PowerShell-cmdletar.

   Connect-MgGraph
   

Lista rolltilldelningar med kundiomfång

Använd kommandona Get-MgRoleManagementDirectoryRoleDefinition och Get-MgRoleManagementDirectoryRoleAssignment för att visa rolltilldelningar.

I följande exempel visas hur du listar rolltilldelningarna för rollen Gruppadministratör .

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

I följande exempel visas hur du listar alla aktiva rolltilldelningar över alla roller, inklusive inbyggda och anpassade roller.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Lista rolltilldelningar för ett huvudnamn

Använd kommandot Get-MgRoleManagementDirectoryRoleAssignment för att lista rolltilldelningarna för en principal.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Lista de direkta och transitiva rolltilldelningar för en huvudansvarig

Använd List transitiveRoleAssignments API för att hämta roller som är direkt och transitivt tilldelade en användare.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Lista rolltilldelningar för en grupp

Använd kommandot Get-MgGroup för att hämta en grupp.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Använd kommandot Get-MgRoleManagementDirectoryRoleAssignment för att lista rolltilldelningarna för gruppen.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Lista rolltilldelningar med administrativ enhetsomfattning

Använd kommandot Get-MgDirectoryAdministrativeUnitScopedRoleMember för att visa rolltilldelningar med administrativt enhetsomfång.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Graph API

Detta avsnitt beskriver hur du listar rolltilldelningar med hyresgästomfång. Använd List unifiedRoleAssignments API för att hämta rolltilldelningarna.

Lista rolltilldelningar för en huvudman

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Lista direkta och transitiva rolltilldelningar för ett huvudnamn

Följ de här stegen för att visa Microsoft Entra-roller som tilldelats en användare med hjälp av Microsoft Graph API i Graph Explorer.

1. Logga in på Graph Explorer.

2. Använd API:t List transitiveRoleAssignments för att hämta roller som är direkt och transitivt tilldelade till en användare. Lägg till följande fråga i URL:en.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Gå till fliken Begärandehuvuden. Lägg till ConsistencyLevel som nyckel och Eventual som dess värde.

4. Välj Kör fråga.

Lista rolltilldelningar för en grupp

Använd api:et Hämta grupp för att hämta en grupp.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Använd List unifiedRoleAssignments API för att hämta rolltilldelningen.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Lista rolltilldelningar för en rolldefinition

I följande exempel visas hur du listar rolltilldelningarna för en specifik rolldefinition.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Lista en rolltilldelning efter ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Response

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Lista rolltilldelningar med appregistreringsomfång

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Lista rolltilldelningar med omfång för administrativ enhet

Använd List scopedRoleMembers API för att lista rolltilldelningar med administrativ enhetsomfattning.

Begäran

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Kropp

{}

Nästa steg

• Dela gärna med oss på forumet för administrativa roller i Microsoft Entra.
• Mer information om rollbehörigheter finns i Inbyggda Microsoft Entra-roller.
• För standardanvändarbehörigheter, se en jämförelse av standardbehörigheter för gäst- och medlemsanvändare.