Cómo eliminar las asignaciones del rol de aplicación de los usuarios de Microsoft Entra ID usando Remove-MgUserAppRoleAssignment

Eliminar la asignación del rol de aplicación concedida a un usuario de Microsoft Entra ID

Gestionar la asignación del rol de aplicación de Microsoft Entra ID es esencial para mantener un control de acceso seguro en todas las aplicaciones de la empresa. Los administradores de TI a menudo tienen que revocar las asignaciones del rol de aplicación del usuario para aplicar el acceso con mínimo privilegio, eliminar los permisos obsoletos o cumplir las directivas de seguridad. Aunque el comando PowerShell Remove-MgUserAppRoleAssignment de Microsoft Graph permite a los administradores eliminar las asignaciones del rol de aplicación de los usuarios, requiere conocimientos de scripting y ejecución manual.

ManageEngine ADManager Plus es una solución de gobernanza y administración de identidades diseñada para simplificar la gestión y los informes de Microsoft Entra ID. Con acciones de gestión avanzadas e informes detallados, optimiza las tareas administrativas y minimiza la carga de trabajo de TI.

Eliminar las asignaciones del rol de aplicación de los usuarios de Microsoft Entra ID usando Microsoft Graph PowerShell

Requisitos previos

Antes de ejecutar el cmdlet Remove-MgUserAppRoleAssignment, asegúrese de cumplir los siguientes requisitos:

  • El módulo de Microsoft Graph PowerShell está instalado. Si no está instalado, use el siguiente comando:
    Install-Module Microsoft.Graph -Scope CurrentUser
  • Conéctese a Microsoft Graph PowerShell con los permisos necesarios para gestionar la asignación del rol de aplicación:
    Connect-MgGraph -Scopes "AppRoleAssignment.ReadWrite.All"

Usar el cmdlet Remove-MgUserAppRoleAssignment para eliminar un rol de aplicación concedido a un usuario de Microsoft Entra ID

Utilice el cmdlet Remove-MgUserAppRoleAssignment en Microsoft Graph PowerShell para eliminar los roles de aplicación asignados a los usuarios de Microsoft Entra ID. La sintaxis es la siguiente:

Remove-MgUserAppRoleAssignment
-AppRoleAssignmentId <String>
-UserId <String>
[-IfMatch <String>]
[-ResponseHeadersVariable <String>]
[-Headers <IDictionary>]
[-PassThru]
[-ProgressAction <ActionPreference>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]

Ejemplo de caso y script usando el cmdlet Remove-MgUserAppRoleAssignment

Ejemplo: Eliminar la asignación del rol de aplicación de un usuario

Utilice este comando de Graph PowerShell para revocar la asignación del rol de aplicación de un usuario de Microsoft Entra ID.

Remove-MgUserAppRoleAssignment -AppRoleAssignmentID '01B8ir38J0eoiYqyMt_qAVDX9vgSB6xDur4zn5zOluM' -UserId '8a7c50d3-fcbd-4727-a889-8ab232dfea01'

Parámetros admitidos

La siguiente tabla enumera los parámetros clave que se pueden utilizar con el cmdlet Remove-MgUserAppRoleAssignment para eliminar las asignaciones del rol de aplicación de los usuarios de Microsoft Entra ID.

ParámetrosDescripción
-AppRoleAssignmentIdEs el identificador único de la asignación del rol de aplicación.
-ConfirmEsto es para confirmar antes de ejecutar el cmdlet.
-WhatIfEsto muestra lo que ocurriría si se ejecutara el cmdlet.
-UserIdEste es el identificador único de un usuario.

Desafíos de usar scripts de Graph PowerShell para eliminar las asignaciones del rol de aplicación de los usuarios de Microsoft Entra ID

  • Revocar las asignaciones del rol de aplicación requiere un script preciso de Graph PowerShell y los permisos adecuados, lo que supone un reto para los administradores que no estén familiarizados con PowerShell.
  • La API de Microsoft Graph aplica límites de estrangulamiento que pueden retrasar las modificaciones masivas y afectar a la eficiencia a la hora de gestionar varios usuarios.
  • Identificar y resolver problemas como errores de permisos, falta de asignación de roles o fallos de la API puede llevar mucho tiempo y requerir profundos conocimientos técnicos.
  • Sin una UI gráfica, gestionar las asignaciones del rol de aplicación a través de PowerShell puede resultar engorroso, lo que aumenta el riesgo de errores de configuración

¿Por qué utilizar ADManager Plus para la gestión y elaboración de informes?

  • Gestione usuarios, grupos y licencias de Active Directory y Microsoft Entra ID fácilmente sin depender de PowerShell.
  • Genere informes detallados sobre usuarios, grupos, permisos, ajustes de seguridad y auditorías de cumplimiento con sólo unos clics.
  • Automatice tareas rutinarias como el aprovisionamiento de usuarios, las modificaciones de grupos y la gestión de accesos, al tiempo que aplica flujos de trabajo basados en aprobaciones.
  • Asigne tareas de gestión específicas a los equipos de la mesa de ayuda con controles de acceso granulares y basados en roles, reduciendo así la carga de trabajo de TI.
  • Gestione Active Directory y Microsoft 365 de forma centralizada desde una única consola intuitiva.

Gestione usuarios de Microsoft Entra ID de forma masiva con ADManager Plus para facilitar el aprovisionamiento, la modificación y la eliminación de usuarios

Probarlo gratis ahora
  • Emprenda su recorrido de administración, generación de informes y automatización de AD sin scripts con ADManager Plus.
    • Descargar ahora

Guías de procedimientos PowerShell relacionadas:

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

La solución integral para la gestión y generación de informes de Active Directory
Funcionalidades destacadasGestión de Active DirectoryInformes de Active DirectoryGestión de MS ExchangeProductos relacionados