Cómo asignar roles de aplicación a grupos de Microsoft Entra ID mediante New-MgGroupAppRoleAssignment

Asignación de nuevos roles de aplicación a grupos de Microsoft Entra ID

La asignación de roles de aplicación a los grupos de Microsoft Entra ID es necesaria para gestionar el acceso a las aplicaciones empresariales y garantizar que los usuarios dispongan de los permisos adecuados. Los administradores de TI a menudo necesitan configurar estas asignaciones para agilizar el control de acceso basado en roles (RBAC) y mejorar la seguridad. El comando PowerShell New-MgGroupAppRoleAssignment de Microsoft Graph permite a los administradores asignar roles de aplicación a los grupos, aunque requiere conocimientos de scripting y ejecución manual.

Conceda roles de aplicación a grupos de Microsoft Entra ID mediante Microsoft Graph PowerShell

Requisitos previos

Antes de ejecutar el cmdlet New-MgGroupAppRoleAssignment, garantice que se cumplan los siguientes requisitos:

  • Que el módulo Microsoft Graph PowerShell esté instalado. Si no está instalado, utilice el siguiente comando:
    Install-Module Microsoft.Graph -Scope CurrentUser
  • Conéctese a Microsoft Graph PowerShell con los permisos necesarios para leer los detalles del grupo:
    Connect-MgGraph -Scopes "Group.Read.All"

Uso del cmdlet New-MgGroupAppRoleAssignment para asignar roles a grupos de Microsoft Entra ID

Utilice el cmdlet New-MgGroupAppRoleAssignment en Microsoft Graph PowerShell para asignar roles de aplicación a grupos de Microsoft Entra ID. La sintaxis es la siguiente:

New-MgGroupAppRoleAssignment
-GroupId <String>
[-ResponseHeadersVariable <String>]
[-AdditionalProperties <Hashtable>]
[-AppRoleId <String>]
[-CreatedDateTime <DateTime>]
[-DeletedDateTime <DateTime>]
[-Id <String>]
[-PrincipalDisplayName <String>]
[-PrincipalId <String>]
[-PrincipalType <String>]
[-ResourceDisplayName <String>]
[-ResourceId <String>]
[-Headers <IDictionary>]
[-ProgressAction <ActionPreference>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]

Ejemplo de caso de uso y script utilizando el cmdlet New-MgGroupAppRoleAssignment

Ejemplo: Asigne un rol de aplicación a un grupo de Microsoft Entra ID

New-MgGroupAppRoleAssignment -GroupId "your-group-id" `
-PrincipalId "your-group-id" `
-ResourceId "your-app-id" `
-AppRoleId "your-app-role-id"

Parámetros compatibles

The table below lists key parameters that can be used with the New-MgGroupAppRoleAssignment cmdlet to grant app roles to Microsoft Entra ID groups.La tabla siguiente enumera los parámetros clave que pueden utilizarse con el cmdlet New-MgGroupAppRoleAssignment para conceder roles de aplicación a grupos de Microsoft Entra ID.

ParámetrosDescripción
-AdditionalPropertiesEsto especifica los parámetros adicionales.
-AppRoleIdEs el identificador del rol de la aplicación que se asigna al principal.
-GroupIdEs el identificador único del grupo.
-CreatedDateTimeEsto muestra la hora en la que se creó la asignación del rol de aplicación.
-DeletedDateTimeEsto muestra la fecha y la hora en que se eliminó el objeto.

Desafíos del uso de scripts Graph PowerShell para asignar roles de aplicación a grupos de Microsoft Entra ID

  • No todas las funciones de Microsoft Graph disponen de cmdlets PowerShell dedicados, y ciertas acciones requieren llamadas manuales a la API.
  • Microsoft Graph tiene límites de restricción, lo que podría afectar a las operaciones masivas.
  • Los administradores de TI tienen que actualizar sus conocimientos de PowerShell para mantenerse al día con el cambio de Azure AD PowerShell a Microsoft Graph PowerShell.
  • La gestión de roles y permisos es difícil porque algunos comandos necesitan privilegios superiores, que no siempre son fáciles de conseguir.

Por qué utilizar ADManager Plus para la gestión y la elaboración de informes

  • Gestione Microsoft Entra ID con una GUI intuitiva, eliminando la necesidad de codificación PowerShell.
  • Asigne diversas tareas de administración al personal de la mesa de ayuda sin concederle privilegios de administrador totales.
  • Agilice las modificaciones y el aprovisionamiento de usuarios con tareas programadas y flujos de trabajo basados en la aprobación.
  • Gestione fácilmente la pertenencia a grupos, las licencias y los permisos sin complejidades de PowerShell.
  • Gestione sus objetos organizativos de forma masiva mediante importaciones CSV y plantillas.

Vea cómo ADManager Plus le permite gestionar grupos de Microsoft Entra ID con una interfaz intuitiva y sin código.

Probar gratis ahora
ADManager PlusPowerShell Cómo obtener las propiedades de la foto de usuario de Microsoft Entra ID utilizando Get-MgUserPhoto
  • Emprenda su recorrido de administración, generación de informes y automatización de AD sin scripts con ADManager Plus.
    • Descargar ahora

Guías de procedimientos PowerShell relacionadas:

  • Emprenda su recorrido de administración, generación de informes y automatización de AD sin scripts con ADManager Plus.
    • Descargar ahora

Guías de procedimientos PowerShell relacionadas:

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

La solución integral para la gestión y generación de informes de Active Directory
Funcionalidades destacadasGestión de Active DirectoryInformes de Active DirectoryGestión de MS ExchangeProductos relacionados