Hacer un seguimiento de los usuarios con roles de administración en Microsoft 365 es importante para garantizar que ningún usuario tenga más permisos de los requeridos. Lo que a menudo veo cuando un usuario necesita acceso al Centro de Administración de Microsoft 365 es que el permiso de administración global se da demasiado fácilmente.

Cuando se trata de permisos, siempre es importante seguir el principio de menor privilegio. Aquí es donde otorga a un usuario la cantidad mínima de permisos necesarios para hacer su trabajo.

En este artículo, le mostraré tres métodos cómo puede ver y exportar a todos los usuarios con un rol de administración en Microsoft 365

Método 1 - Uso del centro de administración

Podemos ver la asignación de roles en el Centro de administración de Microsoft 365 bajo roles> Asignación de roles. El único problema es que deberá abrir cada rol individual para ver qué usuarios tienen el rol asignado.

Sin embargo, podemos exportar una lista de usuarios con los roles asignados desde el centro de administración. Esta es, con mucho, la forma más fácil de ver rápidamente todas las tareas. Siga los pasos a continuación para abrir la página de asignación de roles en el centro de administración o usar estoenlace directo.

1. Abrir elCentro de administración M365
2. Expandir rolesy abrir elAsignación de roles
3. Hacer clic enExportar listas de administración

Método 2 - Uso de Microsoft Entra

También podemos ver y administrar los roles y los administradores en Microsoft Entra, por supuesto. Al igual que en el centro de administración, podemos descargar una lista de todas las tareas:

1. AbiertoMicrosoft Entra
2. BajoIdentidadexpandirRoles y administradores
3. AbiertoRoles y administradores
4. Hacer clic enDescargar tarea

Método 3 - Uso de PowerShell

Otra opción para ver a todos los usuarios con un papel de administrador en su inquilino es mediante el uso de PowerShell. La ventaja de PowerShell es que puede modificar los resultados a sus necesidades. Por ejemplo, si desea enumerar el Departamento de Gerente de los usuarios en los resultados también.

El script a continuación es una versión simple que le permite extenderla aún más a sus necesidades. Usaremos Microsoft Graph y elRolanagement.read.DirectoryyUser.read.allámbitos.

Primero obtendremos todos los roles disponibles y luego buscaremos qué usuarios tienen el rol asignado. Los resultados son ordenados por el usuario para que pueda ver fácilmente cuándo un usuario tiene múltiples roles.

param (
    [Parameter(
        Mandatory = $false,
        HelpMessage = "Get only users with an admin role"
      )]
    [switch]$usersOnly = $true,

    [Parameter(
        Mandatory = $false,
        HelpMessage = "Enter path to save the CSV file"
      )]
      [string]$path = ".\Users-with-admin-role-$((Get-Date -format "MMM-dd-yyyy").ToString()).csv"
)

# Check if MS Graph module is installed
if (Get-InstalledModule Microsoft.Graph) {
    # Connect to MS Graph
    Connect-MgGraph -Scopes "RoleManagement.Read.Directory", "User.Read.All" -NoWelcome
}else{
    Write-Host "Microsoft Graph module not found - please install it" -ForegroundColor Black -BackgroundColor Yellow
    exit
}

# Initialize an array to store the results
$results = @()

# Get all directory roles and Loop through each role
Get-MgDirectoryRole | ForEach {

    # Get members of the current role
    $members = Get-MgDirectoryRoleMember -DirectoryRoleId $_.Id
    
    # Process each member
    foreach ($member in $members) {

        # Only process user objects (skip groups or service principals)
        if ($usersOnly -and ($member.AdditionalProperties.'@odata.type' -ne '#microsoft.graph.user')) {
            continue
        }
        # Get detailed user information including sign-in activity
        $user = Get-MgUser -UserId $member.Id -Property "Id,UserPrincipalName,DisplayName,AccountEnabled"
    
        # Create new entry for each user-role combination
        $results += [PSCustomObject]@{
            DisplayName = $user.DisplayName
            Role = $_.DisplayName
            AccountEnabled = $user.AccountEnabled
            UserPrincipalName = $user.UserPrincipalName
        }
    }
}

# Export results to CSV
$results | Sort-Object UserPrincipalName, Role | Out-GridView # Export-Csv -Path $path -NoTypeInformation -Encoding Utf8

Puedes obtener el script completoaquí desde mi repositorio de Github.

Concluir

Es importante realizar un seguimiento de qué roles tienen los usuarios. Al asignar roles a un usuario, asegúrese de asignar un rol con los menos privilegios necesarios.

Te tengo cualquier pregunta, simplemente deje un comentario a continuación.