使用 Azure 入口網站列出 Azure 角色指派

Microsoft.Authorization/roleAssignments/read 權限，例如讀者

若要快速查看指派給訂用帳戶中使用者或群組的角色，請使用 [Azure 角色指派] 窗格。

1. 從 Azure 入口網站中的 [Azure 入口網站] 功能表，選取 [所有服務]。

2. 選取 [Microsoft Entra ID]，然後選取 [使用者] 或 [群組]。

3. 按一下您想要為其列出角色指派的使用者或群組。

4. 按一下 [Azure 角色指派]。

   您會看到在不同範圍 (例如管理群組、訂用帳戶、資源群組或資源) 指派給所選使用者或群組的角色清單。 此清單包含您擁有讀取權限的所有角色指派。

   

5. 若要變更訂用帳戶，請按一下 [訂用帳戶] 清單。

已在訂用帳戶中獲指派擁有者角色的使用者，可以管理該訂用帳戶中的一切事宜。 請遵循下列步驟來列出訂用帳戶的擁有者。

1. 在 Azure 入口網站中，按一下 [所有服務]，然後按一下 [訂用帳戶]。

2. 按一下您想要列出擁有者的訂用帳戶。

3. 按一下 [存取控制 (IAM)]。

4. 按一下 [角色指派] 索引標籤以檢視此訂用帳戶的所有角色指派。

5. 捲動至 擁有者區段以查看已為此訂用帳戶指派擁有者角色的所有使用者。

   

在 [角色指派] 索引標籤上，您可以列出並查看目前範圍中特殊權限的系統管理員角色指派計數。 如需詳細資訊，請參閱特殊權限的系統管理員角色。

1. 在 Azure 入口網站中，按一下 [所有服務]，然後選取範圍。 例如，您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。

2. 按一下特定資源。

3. 按一下 [存取控制 (IAM)]。

4. 按一下 [角色指派] 索引標籤，然後按一下 [特殊權限] 索引標籤，列出此範圍中具有特殊權限的系統管理員角色指派。

   

5. 若要查看此範圍中特殊權限的系統管理員角色指派計數，請參閱 [特殊權限] 卡片。

6. 若要管理特殊權限的系統管理員角色指派，請參閱 [特殊權限] 卡片，然後按一下 [檢視指派]。

   在 [管理特殊權限的角色指派] 頁面上，您可以新增條件來限制特殊權限的角色指派或移除角色指派。 如需詳細資訊，請參閱將 Azure 角色指派管理委派給具有條件的其他人。

   

執行下列步驟:

1. 在 Azure 入口網站中，按一下 [所有服務]，然後選取範圍。 例如，您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。

2. 按一下特定資源。

3. 按一下 [存取控制 (IAM)]。

4. 按一下 [角色指派] 索引標籤，以檢視此範圍中的角色指派。

   如果您有 Microsoft Entra ID 免費或 Microsoft Entra ID P1 授權，則 [角色指派] 索引標籤類似於下列螢幕擷取畫面。

   

   如果您有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權，則 [角色指派] 索引標籤類似於管理群組、訂用帳戶和資源群組範圍的下列螢幕擷取畫面。 這項功能會分階段進行部署，因此您的租用戶中可能尚未提供此功能，或您的介面看起來可能不同。

   

   您會看到 [狀態] 資料行，其中包含下列其中一個狀態：

   State	描述
   永久作用中	使用者一律可以使用角色而不需執行任何動作的角色指派。
   有時限的作用中	使用者可以在開始和結束日期內使用角色而不需執行任何動作的角色指派。
   永久合格	使用者一律有資格啟用角色的角色指派。
   有時限的合格	使用者只能在開始和結束日期內有資格啟動角色的角色指派。

   未來可以設定開始日期。

   如果您要列出角色指派的開始時間和結束時間，請按一下 [編輯資料行]，然後選取 [開始時間] 和 [結束時間]。

   

   請注意，某些角色的範圍限於此資源，而有些角色則是來自 (繼承自) 另一個範圍。 存取權不是特別指派給此資源群組，就是繼承自父範圍的指派。

若要列出使用者、群組、服務主體或受控識別的存取權，您可以列出其角色指派。 請遵循下列步驟來列出特定範圍內單一使用者、群組、服務主體或受控識別的角色指派。

1. 在 Azure 入口網站中，按一下 [所有服務]，然後選取範圍。 例如，您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。

2. 按一下特定資源。

3. 按一下 [存取控制 (IAM)]。

   

4. 在 [檢查存取權] 索引標籤上，按一下 [檢查存取權] 按鈕。

5. 在 [檢查存取權] 窗格中，按一下 [使用者、群組或服務主體] 或 [受控識別]。

6. 在搜尋方塊中，輸入字串以在目錄中搜尋顯示名稱、電子郵件地址或物件識別碼。

   

7. 按一下安全性主體以開啟 [指派] 窗格。

   在此窗格中，您可以看到此範圍內或繼承至此範圍的所選安全性主體有何存取權。 子系範圍上的指派不會列出。 您會看到下列指派：

   • 使用 Azure RBAC 新增的角色指派。
   • 使用 Azure 藍圖或 Azure 受控應用程式新增的否定性指派。
   • 傳統部署的傳統服務管理員或共同管理員指派。

   

您可以如之前所述使用 [存取控制 (IAM)] 刀鋒視窗，列出特定範圍中系統指派和使用者指派受控識別的角色指派。 本節說明如何只列出受控識別的角色指派。

系統指派的受控識別

1. 在 Azure 入口網站中，開啟系統指派的受控識別。

2. 在左側功能表中，按一下 [身分識別]。

   

3. 在 [權限] 下，按下 [Azure 角色指派]。

   您會看到指派給各種範圍 (例如管理群組、訂用帳戶、資源群組或資源) 中選定系統指派受控識別的角色清單。 此清單包含您擁有讀取權限的所有角色指派。

   

4. 若要變更訂用帳戶，請按一下 [訂用帳戶] 清單。

   使用者指派的受控識別

   1. 在 Azure 入口網站中，開啟使用者指派的受控識別。

   2. 按一下 [Azure 角色指派]。

      您會看到指派給各種範圍 (例如管理群組、訂用帳戶、資源群組或資源) 中選定使用者指派受控識別的角色清單。 此清單包含您擁有讀取權限的所有角色指派。

      

   3. 若要變更訂用帳戶，請按一下 [訂用帳戶] 清單。

您在每個訂用帳戶中可以有最多 4000 個角色指派。 此限制包括訂用帳戶、資源群組和資源範圍的角色指派。 合格的角色指派以及排定在未來的角色指派不計入此限制。 為了協助您追蹤此限制，[角色指派] 索引標籤中的圖表會列出目前訂用帳戶的角色指派數目。

如果指派的數目即將達到上限，而您還在嘗試新增更多角色指派，則會在 [新增角色指派] 窗格中看到警告。 如需如何減少角色指派數目的相關資訊，請參閱針對 Azure RBAC 限制進行疑難排解。

下載角色指派

您可以使用 CSV 或 JSON 格式下載特定範圍的角色指派。 如果您需要以試算表檢查清單，或在移轉訂用帳戶時進行清查，則此功能會很有幫助。

當您下載角色指派時，您應記住下列準則：

• 如果您沒有讀取目錄的權限，例如目錄讀取者角色，則 DisplayName、SignInName 和 ObjectType 資料行將會留白。
• 安全性主體已遭刪除的角色指派不在下載範圍內。
• 授與傳統系統管理員的存取權不在下載範圍內。

請遵循下列步驟，下載特定範圍的角色指派。

1. 在 Azure 入口網站中，按一下 [所有服務]，然後選取您要下載角色指派的範圍。 例如，您可以選取 [管理群組]、[訂用帳戶]、[資源群組]或資源。

2. 按一下特定資源。

3. 按一下 [存取控制 (IAM)]。

4. 按一下 [下載角色指派] 以開啟 [下載角色指派] 窗格。

   

5. 使用核取方塊來選取您要納入下載檔案的角色指派。

   • 已繼承 - 包含目前範圍中已繼承的指派。
   • 目前範圍 - 包含目前範圍的角色指派。
   • 子系 - 包含目前範圍以下各層級的角色指派。 管理群組範圍的這個核取方塊已停用。

6. 選取檔案格式，可以是逗號分隔值 (CSV) 或 JavaScript 物件標記法 (JSON)。

7. 指定檔案名稱。

8. 按一下 [開始]，開始下載。

   以下是每個檔案格式的輸出範例。