Azure 基于角色的访问控制 (Azure RBAC) 是用于管理 Azure 资源访问权限的授权系统。 若要确定用户、组、服务主体或托管标识有权访问的资源,请列出其角色分配。 本文介绍如何使用 Azure 门户列出角色分配。
注意
如果你的组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则此处将不会显示该服务提供商授权的角色分配。 同样,无论已分配有什么角色,服务提供商租户中的用户都不会看到用户在客户租户中的角色分配。
使用 Azure 门户列出 Azure 角色分配
先决条件
Microsoft.Authorization/roleAssignments/read 权限,例如读取者
列出用户或组的角色分配
若要查看分配给订阅中用户或组的角色,一种快速方法是使用“Azure 角色分配”窗格。
在 Azure 门户的“Azure 门户”菜单中,选择“所有服务”。
选择“Microsoft Entra ID”,然后选择“用户”或“组”。
单击要列出其角色分配的用户或组。
单击“Azure 角色分配”。
随即将显示各种范围中分配给所选用户或组的角色列表,如管理组、订阅、资源组或资源。 此列表包括你有权读取的所有角色分配。
要更改订阅,请单击“订阅”列表。
列出订阅的所有者
已分配订阅的所有者角色的用户可以管理订阅中的所有内容。 按照以下步骤列出订阅的所有者。
在 Azure 门户中,依次单击“所有服务”、“订阅” 。
单击要列出其所有者的订阅。
单击“访问控制(IAM)”。
单击“角色分配”选项卡以查看此订阅的所有角色分配。
滚动到“所有者”部分,以查看已分配此订阅的“所有者”角色的所有用户。
列出或管理特权管理员角色分配
在“角色分配”选项卡上,可以列出并查看当前范围内的特权管理员角色分配计数。 有关详细信息,请参阅特权管理员角色。
在 Azure 门户中单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
单击“角色分配”选项卡,然后单击“特权”选项卡,列出此范围内的特权管理员角色分配。
若要查看此范围内的特权管理员角色分配计数,请查看“特权”卡。
若要管理特权管理员角色分配,请参阅“特权”卡,然后单击“查看分配”。
在“管理特权角色分配”页上,可以添加条件来限制特权角色分配或移除角色分配。
列出某个范围内的角色分配
重要
Azure 角色分配与 Privileged Identity Management 的集成目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款。
执行以下步骤:
在 Azure 门户中单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
单击“角色分配”选项卡以查看在此范围内的角色分配。
如果你拥有 Microsoft Entra ID Free 或 Microsoft Entra ID P1 许可证,则“角色分配”选项卡类似于以下屏幕截图。
如果你拥有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 许可证,则“角色分配”选项卡类似于以下针对管理组、订阅和资源组范围的屏幕截图。 此功能正在分阶段部署,因此它可能在租户中尚不可用,或者你的界面可能看起来有所不同。
你会看到具有以下状态之一的“状态”列:
状态 说明 永久活动 使用户无需执行任何操作,始终可以使用该角色的角色分配。 限时处于活动状态 通过这种角色分配方式,用户无需执行任何操作,只能在开始和结束日期范围内使用角色。 永久符合条件 使用户始终有资格激活该角色的角色分配。 限时符合条件 通过这种角色分配方式,用户只有在开始和结束日期范围内才有资格激活角色。 可以设置将来的开始日期。
如果要列出角色分配的开始时间和结束时间,请单击“编辑”列,然后选择“开始时间”和“结束时间”。
请注意,有些角色的权限范围已划归到此资源,还有一些角色是从另一范围 (继承的) 。 访问权限可以专门分配给此资源,也可以从父作用域的分配继承。
列出某个范围内某个角色的角色分配
若要列出某个用户、组、服务主体或托管标识的访问权限,请列出其角色分配。 按照以下步骤列出特定范围内单个用户、组、服务主体或托管标识的角色分配。
在 Azure 门户中单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
在“检查访问权限”选项卡上,单击“检查访问权限”按钮。
在“检查访问权限”窗格中,单击“用户、组或服务主体”或“托管标识”。
在搜索框中,输入字符串以在目录中搜索显示名称、电子邮件地址或对象标识符。
单击安全主体以打开“分配”窗格。
在此窗格上,可以查看在此范围和继承到此范围的所选安全主体的访问权限。 未列出在子范围的分配。 你会看到以下分配:
- 通过 Azure RBAC 添加的角色分配。
- 使用 Azure 蓝图或 Azure 托管应用添加的拒绝分配。
- 经典部署的经典服务管理员或共同管理员分配。
列出托管标识的角色分配
如之前所述,可以通过使用“访问控制(IAM)”边栏选项卡来列出特定范围内系统分配的托管标识和用户分配的托管标识的角色分配。 本部分介绍如何列出仅托管标识的角色分配。
系统分配的托管标识
在 Azure 门户中,打开系统分配的托管标识。
在左侧菜单中,单击“标识”。
在“权限”下,单击“Azure 角色分配” 。
随即将显示各种范围中分配给所选系统分配的托管标识的角色列表,如管理组、订阅、资源组或资源。 此列表包括你有权读取的所有角色分配。
若要更改订阅,请单击“订阅”列表。
用户分配的托管标识
在 Azure 门户中,打开用户分配的托管标识。
单击“Azure 角色分配”。
随即将显示各种范围中分配给所选角色分配的托管标识的角色列表,如管理组、订阅、资源组或资源。 此列表包括你有权读取的所有角色分配。
若要更改订阅,请单击“订阅”列表。
列出角色分配数
每个订阅中最多可以有 4000 个角色分配。 此限制包括订阅、资源组和资源范围内的角色分配。 符合条件的角色分配和将来计划的角色分配不计入此限制。 为了帮助你跟踪此限制,“角色分配”选项卡包含一个图表,其中列出了当前订阅的角色分配数。
如果在快要到达最大数量时尝试添加更多角色分配,则会在“添加角色分配”窗格中看到一条警告。 有关减少角色分配数量的方法,请参阅 Azure RBAC 限制故障排除。
下载角色分配
可以使用 CSV 或 JSON 格式下载某一范围内的角色分配。 如果你在迁移订阅时需要检查电子表格中的列表或进行清点,这会很有帮助。
下载角色分配时,应记住以下条件:
- 如果你没有读取目录的权限,Directory Readers 角色、DisplayName、SignInName 和 ObjectType 等列将为空。
- 未包含已删除了安全主体的角色分配。
- 未包含已授予给经典管理员的访问权限。
按照以下步骤下载某一范围内的角色分配。
在 Azure 门户中,单击“所有服务”,然后选择要下载角色分配的范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
单击“下载角色分配”以打开“下载角色分配”窗格。
使用这些复选框来选择要包含在下载文件中的角色分配。
- 继承 - 包含当前范围的继承角色分配。
- 当前范围 - 包含当前范围的角色分配。
- 子级 - 包含当前范围下各级别的角色分配。 对于管理组范围,此复选框处于禁用状态。
选择文件格式,可以是逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON)。
指定文件名称。
单击“开始”以开始下载。
下面展示了每个文件格式的输出示例。
