获取 AAD 组的 Azure 角色分配
Fetch Azure role assignments to AAD groups
在我们当前的 azure 租户中,我们有 100 个订阅,用户访问由 azure AAD 组管理。
我如何查看分配给组的角色,假设 1 个组只能访问 100 个订阅中的 1 个订阅,然后我需要从门户 select 组 Azure 角色分配页面中的每个订阅。
不知道有没有直接用powershell获取的方法?
谢谢
开发
- 在 MS Graph API 文档中有
List appRoleAssignments granted to a group :https://docs.microsoft.com/en-US/graph/api/group-list-approleassignments?view=graph-rest-1.0&tabs=http
- 在 MS Graph 下测试
- 您可以使用
Microsoft Graph PowerShell SDK https://github.com/microsoftgraph/msgraph-sdk-powershell
- 以下是示例代码 - 例如用于获取组:
https://github.com/microsoftgraph/msgraph-sdk-powershell/tree/dev/samples
通常我们使用Get-AzRoleAssignment命令列出作用域内所有有效的角色分配。如果未指定参数,此命令将return 订阅下的所有角色分配。
对于你的问题,你想使用安全组来过滤这个列表,只需要使用Azure AD组的ObjectId参数:
Get-AzRoleAssignment -ObjectId <your group objectid>
在我们当前的 azure 租户中,我们有 100 个订阅,用户访问由 azure AAD 组管理。
我如何查看分配给组的角色,假设 1 个组只能访问 100 个订阅中的 1 个订阅,然后我需要从门户 select 组 Azure 角色分配页面中的每个订阅。
不知道有没有直接用powershell获取的方法?
谢谢 开发
- 在 MS Graph API 文档中有
List appRoleAssignments granted to a group:https://docs.microsoft.com/en-US/graph/api/group-list-approleassignments?view=graph-rest-1.0&tabs=http - 在 MS Graph 下测试
- 您可以使用
Microsoft Graph PowerShell SDKhttps://github.com/microsoftgraph/msgraph-sdk-powershell - 以下是示例代码 - 例如用于获取组: https://github.com/microsoftgraph/msgraph-sdk-powershell/tree/dev/samples
通常我们使用Get-AzRoleAssignment命令列出作用域内所有有效的角色分配。如果未指定参数,此命令将return 订阅下的所有角色分配。
对于你的问题,你想使用安全组来过滤这个列表,只需要使用Azure AD组的ObjectId参数:
Get-AzRoleAssignment -ObjectId <your group objectid>