API Azure AD Graph или Powershell Graph: сбор всех назначенных ролей, связанных с группой
В настоящее время я пытаюсь получить все роли, которые можно связать с данной группой в Azure AD. До сих пор мне удавалось использовать команду Get-MgRoleManagementDirectoryRoleAssignment. Но проблема в том, что эта команда предлагает мне только роли на вкладке «Активные назначения». Есть ли способ собрать значения для вкладки «Допустимые назначения»?
Я создал массив, заполненный имеющимися у меня группами, дал им имена и идентификатор объекта, а затем просто запускаю цикл foreach:
foreach($group in $groups){
$objectId= $group.ObjectId
$RoleAssignments = Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '$objectId'"
$allRoleAssignments= Get-MgRoleManagementDirectoryRoleAssignment
foreach($assignment in $RoleAssignments){
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId $assignment.RoleDefinitionId
Write-Output "Group Name: $($group.Name), Assigned Role Name: $($roleDefinition.DisplayName)"
}
}
Все это работает нормально, но дает мне только значения в разделе активных ролей. Я также попробовал проверить с помощью Graph API, но пока ничего релевантного не появилось. Спасибо!
Ответы 1
Первоначально я создал группу безопасности Group02 и назначил роль администратора приложений Eligible Assignment.
Примечание. Для подходящего назначения используется roleEligibilityScheduleInstances.
Используйте приведенный ниже графический запрос:
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleInstances?$filter=principalId eq '<GroupObjectId>'&$expand=roleDefinition
Используйте команду Powershell ниже:
Import-Module Microsoft.Graph.Identity.Governance
Get-MgRoleManagementDirectoryRoleEligibilityScheduleInstance -Filter "principalId eq '<group object id>'" -ExpandProperty "roleDefinition"
Ссылка: