Azure基于角色的访问控制(Azure RBAC)是用于管理对Azure资源的访问的授权系统。 若要确定用户、组、服务主体或托管标识有权访问的资源,请列出其角色分配。 本文介绍如何使用 Azure 门户列出角色分配。
注释
如果组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则不会在此处显示该服务提供商授权的角色分配。 同样,服务提供商租户中的用户无论被分配了哪种角色,都无法看到客户租户中的用户角色分配。
先决条件
Microsoft.Authorization/roleAssignments/read 权限,例如 Reader
列出用户或组的角色分配
查看分配给订阅中的用户或组的角色的快速方法是使用Azure角色分配窗格。
在Azure门户中,从Azure门户菜单中选择所有服务。
选择 Microsoft Entra ID,然后选择 Users 或 Groups。
单击您要查看其角色分配的用户或组。
单击Azure角色分配。
您将看到在管理组、订阅、资源组和资源等各种范围中分配给所选用户或组的角色列表。 此列表包括你有权读取的所有角色分配。
要更改订阅,请单击“订阅”列表。
注释
尝试从 Intune 管理中心访问 Azure 角色分配>订阅可能会显示类似中断的错误消息。 这是预期的,因为 Intune 管理中心不支持Azure订阅管理。 使用 Azure 门户或 Microsoft Entra 管理中心管理Azure订阅角色分配。
列出订阅的所有者
已分配订阅的所有者角色的用户可以管理订阅中的所有内容。 按照以下步骤列出订阅的所有者。
在Azure门户中,单击“所有服务,然后单击Subscriptions。
单击您想查看其所有者的订阅。
单击“访问控制(IAM)”。
单击“角色分配”选项卡以查看此订阅的所有角色分配。
滚动到“所有者”部分,以查看已分配此订阅的“所有者”角色的所有用户。
列出或管理特权管理员角色分配
在“角色分配”选项卡上,可以列出并查看当前范围内的特权管理员角色分配计数。 有关详细信息,请参阅特权管理员角色。
在Azure门户中,单击“所有服务然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
单击“角色分配”选项卡,然后单击“特权”选项卡,列出此范围内的特权管理员角色分配。
若要查看此范围内的特权管理员角色分配计数,请查看“特权”卡。
若要管理特权管理员角色分配,请参阅“特权”卡,然后单击“查看分配”。
在“管理特权角色分配”页上,可以添加条件来限制特权角色分配或移除角色分配。 有关详细信息,请参阅 将 Azure 角色分配管理有条件地委派给他人。
列出特定范围的角色分配
在Azure门户中,单击“所有服务然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
单击“角色分配”选项卡以查看在此范围内的角色分配。
如果你有Microsoft Entra ID免费版或Microsoft Entra ID P1 许可证,Role 分配选项卡类似于以下屏幕截图。
如果您拥有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理 许可证,在管理组、订阅和资源组范围内,您的 角色分配 选项卡将类似于以下屏幕截图。 此功能正在分阶段部署,因此它可能在租户中尚不可用,或者你的界面可能看起来有所不同。
你会看到“状态”列中有以下状态之一:
State Description 永久激活 用户被分配到一个角色,始终无需执行任何操作即可使用该角色。 限时激活 通过这种角色分配方式,用户无需执行任何操作,只能在开始和结束日期范围内使用角色。 永久符合条件 使用户始终有资格激活该角色的角色分配。 限时生效 通过这种角色分配方式,用户只有在开始和结束日期范围内才有资格激活角色。 可以设置将来的开始日期。
如果要列出角色分配的开始时间和结束时间,请单击“编辑”列,然后选择“开始时间”和“结束时间”。
请注意,有些角色的权限范围已划归到此资源,还有一些角色是从另一范围 (继承的) 。 访问权限可以直接分配给此资源,也可以继承自对父作用域的分配。
列出用户在某个范围内的角色分配
若要列出某个用户、组、服务主体或托管标识的访问权限,请列出其角色分配。 按照以下步骤列出特定范围内单个用户、组、服务主体或托管标识的角色分配。
在Azure门户中,单击“所有服务然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
在“检查访问权限”选项卡上,单击“检查访问权限”按钮。
在“检查访问权限”窗格中,单击“用户、组或服务主体”或“托管标识”。
在搜索框中,输入字符串以在目录中搜索显示名称、电子邮件地址或对象标识符。
点击安全主体以打开“分配”窗格。
在此窗格上,您可以查看所选安全主体在此范围内的访问权限以及继承到此范围的权限。 未列出在子范围的分配。 你可以看到以下任务:
- 使用 Azure RBAC 添加的角色分配。
- 拒绝通过 Azure 蓝图 或 Azure 托管应用添加的分配。
列出托管身份的角色分配
如之前所述,可以通过使用“访问控制(IAM)”边栏选项卡来列出特定范围内系统分配的托管标识和用户分配的托管标识的角色分配。 本部分介绍如何仅列出托管标识的角色分配信息。
系统分配的托管标识
在Azure门户中,打开系统分配的托管标识。
在左侧菜单中,单击“ 标识”。
在 Permissions 下,单击Azure角色分配。
在各种范围(如管理组、订阅、资源组或资源)中,你会看到分配给所选系统分配托管标识的角色列表。 此列表包括你有权读取的所有角色分配。
若要更改订阅,请单击 “订阅 ”列表。
用户分配的管理标识
在Azure门户中,打开用户分配的托管标识。
单击Azure角色分配。
您可以看到在各种范围(如管理组、订阅、资源组或资源)中分配给所选用户分配的托管标识的角色列表。 此列表包括你有权读取的所有角色分配。
若要更改订阅,请单击 “订阅 ”列表。
列出角色分配的数量
每个订阅中最多可以有 4000 个角色分配。 此限制包括订阅、资源组和资源范围内的角色分配。 符合条件的角色分配和将来计划的角色分配不计入此限制。 为了帮助你跟踪此限制,“角色分配”选项卡包含一个图表,其中列出了当前订阅的角色分配数。
如果在快要到达最大数量时尝试添加更多角色分配,则会在“添加角色分配”窗格中看到一条警告。 有关减少角色分配数的方法,请参阅 Troubleshoot Azure RBAC 限制。
下载角色分配表
可以使用 CSV 或 JSON 格式下载某一范围内的角色分配。 如果你在迁移订阅时需要检查电子表格中的列表或进行清点,这会很有帮助。
下载角色分配时,应记住以下条件:
- 如果你没有读取目录的权限,Directory Readers 角色、DisplayName、SignInName 和 ObjectType 等列将为空。
- 未包含已删除了安全主体的角色分配。
- 未包括授予传统管理员的访问权限。
按照以下步骤下载某一范围内的角色分配。
在Azure门户中,单击“所有服务然后选择要下载角色分配的范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。
单击特定的资源。
单击“访问控制(IAM)”。
单击“下载角色分配”以打开“下载角色分配”窗格。
使用这些复选框来选择要包含在下载文件中的角色分配。
- 继承 - 包括当前范围内的继承角色分配。
- 当前范围 - 包含当前范围的角色分配。
- 子级 - 包含当前范围下各级别的角色分配。 对于管理组范围,此复选框处于禁用状态。
选择文件格式,可以是逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON)。
指定文件名称。
单击“开始”以开始下载。
下面展示了每个文件格式的输出示例。
