Cómo obtener los objetos que son propiedad del usuario de Microsoft Entra ID usando Get-MgUserOwnedObject

Obtener los objetos que son propiedad del usuario de Microsoft Entra ID

Un administrador necesita ver los objetos del directorio que son propiedad de un usuario en Microsoft Entra ID para monitorear y gestionar el acceso a recursos críticos, garantizando que los usuarios no conserven la propiedad de grupos, aplicaciones o principales de servicio sensibles luego de cambiar de rol. Esto ayuda a prevenir los riesgos de seguridad, como el escalamiento no autorizado de privilegios o los objetos huérfanos que podrían afectar al cumplimiento y la gobernanza.

Obtener los objetos que son propiedad del usuario de Microsoft Entra ID usando Microsoft Graph PowerShell

Requisitos previos

Antes de utilizar el cmdlet Get-MgUserOwnedObject, verifique lo siguiente:

  • El módulo de Microsoft Graph PowerShell está instalado. Si no es así, instálelo utilizando este script:
    Install-Module Microsoft.Graph -Scope CurrentUser
  • Conéctese a Microsoft Graph PowerShell con los permisos necesarios (de menor a mayor privilegio) para buscar los objetos que son propiedad del usuario de Microsoft Entra ID.
    Connect-MgGraph -Scopes "User.Read.All"

Usar el comando Get-MgUserOwnedObject para obtener los objetos que son propiedad del usuario de Microsoft Entra ID

Puede utilizar el cmdlet Get-MgUserOwnedObject en Microsoft Graph PowerShell para buscar los objetos que son propiedad del usuario de Microsoft Entra ID. Esta es la sintaxis:

Get-MgUserOwnedObject
-UserId <String>
[-ExpandProperty <String[]>]
[-Property <String[]>]
[-Filter <String>]
[-Search <String>]
[-Skip <Int32>]
[-Sort <String[]>]
[-Top <Int32>]
[-ConsistencyLevel <String>]
[-ResponseHeadersVariable <String>]
[-Headers <IDictionary>]
[-PageSize <Int32>]
[-All]
[-CountVariable <String>]
[-ProgressAction <ActionPreference>]
[<CommonParameters>]

Ejemplo de caso usando el cmdlet Get-MgUserOwnedObject

Ejemplo 1: Enumera los objetos que son propiedad de un usuario concreto

Get-MgUserOwnedObject -UserId <"user_id"> $userId

En este comando, reemplace user_id por el ID del usuario para el que desea enumerar los objetos que son propiedad del usuario.

Parámetros admitidos

La siguiente tabla contiene algunos de los parámetros que se pueden utilizar con el comando Get-MgUserOwnedObject para buscar los objetos que son propiedad del usuario de Microsoft Entra ID de manera eficiente.

ParámetrosDescripción
-AllEste parámetro recupera todos los objetos que son propiedad del usuario sin límites de paginación predeterminados.
-FilterEste parámetro filtra los objetos que son propiedad del usuario en función de sus atributos y valores.
-UserIdEste parámetro recupera los objetos que son propiedad del usuario basándose en sus identificadores únicos, como el nombre de principal de usuario o el ID del objeto.
-PropertyEste parámetro recupera atributos específicos de los objetos que son propiedad del usuario.
-ConsistencyLevelEsto permite funciones de consulta avanzadas para mejorar el rendimiento.

Limitaciones de usar scripts de Graph PowerShell para obtener los objetos que son propiedad del usuario de Microsoft Entra ID

  • Graph PowerShell requiere que los administradores de TI migren desde Azure AD PowerShell y estén familiarizados con los scripts de PowerShell.
  • La API de Microsoft Graph impone límites de estrangulamiento, que pueden afectar al rendimiento cuando se buscan los objetos que son propiedad del usuario.
  • Los scripts pueden requerir un esfuerzo adicional para formatear y exportar los datos con fines informativos.
  • Requiere conocimientos técnicos para solucionar los errores.
  • La falta de una interfaz intuitiva hace que la experiencia general sea más compleja, particularmente para los novatos en scripting.

Aspectos destacados de usar ADManager Plus

Despídase de los complicados scripts de PowerShell con ADManager Plus. ManageEngine ADManager Plus es una herramienta de gobernanza y administración de identidades con potentes funciones de gestión e informes de Microsoft 365 que puede ayudarle a realizar tareas administrativas complicadas desde una única consola intuitiva.

  • ADManager Plus tiene una interfaz intuitiva que optimiza el proceso de generación de informes.
  • Ofrece informes completos y personalizables con opciones para programar y automatizar la generación de informes.
  • Admite acciones de gestión sobre la marcha para gestionar usuarios al instante.
  • Está optimizado para entornos a gran escala y no requiere ningún script para realizar operaciones masivas.
  • Delegue tareas a los técnicos sin elevar sus privilegios nativos.
  • Controle su entorno de TI con más de 200 informes pre-integrados.
  • Permite exportar los informes a varios formatos, como CSV o HTML, con pocos clics.

Olvídese de las complejidades de PowerShell y gestione Entra ID fácilmente usando ADManager Plus.

Probarlo gratis ahora
  • Emprenda su recorrido de administración, generación de informes y automatización de AD sin scripts con ADManager Plus.
    • Descargar ahora

Guías de procedimientos PowerShell relacionadas:

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

La solución integral para la gestión y generación de informes de Active Directory
Funcionalidades destacadasGestión de Active DirectoryInformes de Active DirectoryGestión de MS ExchangeProductos relacionados