Elencare le assegnazioni di ruolo di Microsoft Entra

Elencare le assegnazioni di ruolo

È facile elencare anche le proprie autorizzazioni. Nella pagina Ruoli e amministratori selezionare Ruolo per visualizzare i ruoli attualmente assegnati all'utente.

Elencare le assegnazioni di ruolo per un utente

Seguire questa procedura per elencare i ruoli di Microsoft Entra per un utente usando l'interfaccia di amministrazione di Microsoft Entra. L'esperienza sarà diversa a seconda che sia abilitato Microsoft Entra Privileged Identity Management (PIM).

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Utenti.

3. Selezionare Nome> utenteRuoli assegnati.

   È possibile visualizzare l'elenco dei ruoli assegnati all'utente in ambiti diversi. Inoltre, è possibile verificare se il ruolo è stato assegnato direttamente o tramite un gruppo.

   

   Se si dispone di una licenza Microsoft Entra ID P2, verrà visualizzata l'esperienza PIM, che include i dettagli delle assegnazioni di ruolo idonee, attive e scadute.

   

Elencare le assegnazioni di ruolo per un gruppo

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Gruppi>Tutti i gruppi.

3. Selezionare un gruppo a cui possono essere assegnati ruoli.

   Per determinare se un gruppo è assegnabile ai ruoli, è possibile visualizzare le proprietà per il gruppo.

4. Selezionare Ruoli assegnati.

   È ora possibile visualizzare tutti i ruoli di Microsoft Entra assegnati a questo gruppo. Se non viene visualizzata l'opzione Ruoli assegnati , il gruppo non è un gruppo assegnabile a ruoli.

   

Scarica assegnazioni di ruolo

Per scaricare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati, seguire questa procedura.

Le operazioni bulk possono essere eseguite solo per un massimo di 1 ora e presentano limitazioni nei grandi clienti. Per altre informazioni, vedere Operazioni in blocco e Creazione di utenti in blocco in Microsoft Entra ID.

1. Nella pagina Ruoli e amministratori selezionare Tutti i ruoli.

2. Selezionare Scarica assegnazioni.

   

3. Specificare un nome file e selezionare Avvia download.

   Viene scaricato un file CSV che elenca le assegnazioni in tutti gli ambiti per tutti i ruoli.

Per scaricare le assegnazioni di ruolo per un ruolo specifico, seguire questa procedura.

1. Nella pagina Ruoli e amministratori selezionare un ruolo.

2. Selezionare Scarica assegnazioni.

   Se si ha una licenza Microsoft Entra ID P2, verrà visualizzata l'esperienza PIM. Selezionare Esporta per scaricare le assegnazioni di ruolo.

   Un file CSV che elenca le assegnazioni in tutti gli ambiti per tale ruolo viene scaricato.

Elencare le assegnazioni di ruolo con ambito tenant

Questa procedura descrive come elencare le assegnazioni di ruolo con ambito tenant.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Ruoli e amministratori.

3. Selezionare il nome del ruolo per aprirlo. Non aggiungere un segno di spunta accanto al ruolo.

   

4. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

   

5. Nella colonna Ambito vedere delle assegnazioni di ruolo con ambito Directory.

Elencare le assegnazioni di ruolo nell'ambito della registrazione dell'app

Questa sezione descrive come elencare le assegnazioni di ruolo con ambito applicazione singola.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Registrazioni app.

3. Selezionare una registrazione dell'applicazione per l'elenco delle assegnazioni di ruolo da visualizzare.

   Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nell'organizzazione Microsoft Entra.

4. Selezionare Ruoli e amministratori.

5. Selezionare il nome del ruolo per aprirlo.

6. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

   L'apertura della pagina delle assegnazioni dalla sezione di registrazione dell'app mostra le assegnazioni di ruolo associate a questa risorsa Microsoft Entra.

   

7. Nella colonna Ambito vedere le assegnazioni di ruolo con Questo ambito della risorsa .

Elencare le assegnazioni di ruolo nell'ambito di un'unità amministrativa

È possibile visualizzare tutte le assegnazioni di ruolo create con un ambito di unità amministrativa nella sezione Unità di amministrazione dell'interfaccia di amministrazione di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Passare a Entra ID>Ruoli e amministratori>Unità amministrative.

3. Selezionare un'unità amministrativa per l'elenco delle assegnazioni di ruolo da visualizzare.

4. Selezionare Ruoli e amministratori.

5. Selezionare il nome del ruolo per aprirlo.

6. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

   

7. Nella colonna Ambito vedere le assegnazioni di ruolo con Questo ambito della risorsa .

Questa sezione descrive la visualizzazione delle assegnazioni di un ruolo con ambito tenant. Questa sezione usa il modulo Microsoft Graph PowerShell .

Configurazione

1. Installare il modulo Microsoft Graph usando Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Usare il comando Connect-MgGraph per accedere e usare i cmdlet di PowerShell di Microsoft Graph.

   Connect-MgGraph
   

Elencare le assegnazioni di ruolo con ambito tenant

Usare i comandi Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo.

Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per il ruolo Amministratore gruppi .

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Nell'esempio seguente viene illustrato come elencare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Elencare le assegnazioni di ruolo per un principale

Usare il comando Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo per un principale.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Elencare le assegnazioni di ruolo diretto e transitivo per un principale

Usare l'API List transitiveRoleAssignments per ottenere i ruoli assegnati direttamente e transitivamente a un utente.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Elencare le assegnazioni di ruolo per un gruppo

Usare il comando Get-MgGroup per ottenere un gruppo.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Usare il comando Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo per il gruppo.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Elencare le assegnazioni di ruolo nell'ambito di un'unità amministrativa

Usare il comando Get-MgDirectoryAdministrativeUnitScopedRoleMember per elencare le assegnazioni di ruolo con ambito unità amministrativa.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Questa sezione descrive come elencare le assegnazioni di ruolo a livello di tenant. Usare l'API List unifiedRoleAssignments per ottenere le assegnazioni di ruolo.

Elencare le assegnazioni di ruolo per un principale

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Risposta

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Elencare le assegnazioni di ruolo diretto e transitivo per un principale

Seguire questa procedura per elencare i ruoli di Microsoft Entra assegnati a un utente usando l'API Microsoft Graph in Graph Explorer.

1. Accedere a Graph Explorer.

2. Usare l'API List transitiveRoleAssignments per ottenere i ruoli assegnati direttamente e transitivamente a un utente. Aggiungere la query seguente all'URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Passare alla scheda Intestazioni richiesta . Aggiungere ConsistencyLevel come chiave e Eventual come valore.

4. Selezionare Esegui query.

Elencare le assegnazioni di ruolo per un gruppo

Usare l'API Get group per ottenere un gruppo.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Usare l'API List unifiedRoleAssignments per ottenere l'assegnazione di ruolo.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Elencare le assegnazioni di ruolo per una definizione di ruolo

Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per una definizione di ruolo specifica.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Risposta

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Elencare un'assegnazione di ruolo in base all'ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Risposta

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Elencare le assegnazioni di ruolo nell'ambito della registrazione dell'app

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Risposta

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Elencare le assegnazioni di ruolo nell'ambito di un'unità amministrativa

Usare l'API List scopedRoleMembers per elencare le assegnazioni di ruolo con ambito unità amministrativa.

Richiesta

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corpo

{}