Cómo obtener las asignaciones de roles de aplicación de usuario de Microsoft Entra ID utilizando Get-MgUserAppRoleAssignment

Obtención de roles de aplicación de usuario de Microsoft Entra ID

Obtener las listas de roles de las aplicaciones para los usuarios en Microsoft Entra ID es necesario para que los administradores garanticen que los usuarios tengan los permisos apropiados dentro de las aplicaciones de la empresa, impidiendo el acceso no autorizado o el escalamiento de privilegios. Esta visibilidad ayuda a aplicar el acceso con privilegios mínimos, agilizar las auditorías de roles y mantener el cumplimiento de las políticas de seguridad.

Obtenga las asignaciones de roles de aplicación de usuario de Microsoft Entra ID mediante Microsoft Graph PowerShell

Requisitos previos

Antes de utilizar el cmdlet Get-MgUserAppRoleAssignment, garantice lo siguiente:

  • Que el módulo Microsoft Graph PowerShell esté instalado. Si no es así, instálelo utilizando este script:
    Install-Module Microsoft.Graph -Scope CurrentUser
  • Conéctese a Microsoft Graph PowerShell con los permisos necesarios para obtener las asignaciones de roles de aplicación de usuario de Microsoft Entra ID con este script:
    Connect-MgGraph -Scopes "Directory.Read.All"

Uso del comando Get-MgUserAppRoleAssignment para obtener las asignaciones de roles de aplicación de usuario de Microsoft Entra ID

El cmdlet Get-MgUserAppRoleAssignment puede utilizarse en Microsoft Graph PowerShell para obtener las asignaciones de roles de aplicación de usuario de Microsoft Entra ID. Esta es la sintaxis:

Get-MgUserAppRoleAssignment
-UserId <String>
[-ExpandProperty <String[]>]
[-Property <String[]>]
[-Filter <String>]
[-Search <String>]
[-Skip <Int32>]
[-Sort <String[]>]
[-Top <Int32>]
[-ConsistencyLevel <String>]
[-ResponseHeadersVariable <String>]
[-Headers <IDictionary>]
[-PageSize <Int32>]
[-All]
[-CountVariable <String>]
[-ProgressAction <ActionPreference>]
[<CommonParameters>]

Un caso de uso de ejemplo utilizando el cmdlet Get-MgUserAppRoleAssignment

Enumerar todos los roles de aplicación asignados a un usuario específico

Get-MgUserAppRoleAssignment -UserId <"user_id"> | Format-List Id, AppRoleID, CreationTimeStamp, PrincipalDisplayName,PrincipalId, PrincipalType, ResourceDisplayName

En este comando, sustituya user_id por el ID del usuario para el que desea enumerar todos los roles de aplicación asignados.

Parámetros compatibles

La siguiente tabla contiene algunos parámetros que pueden utilizarse junto con el comando Get-MgUserAppRoleAssignment para obtener las asignaciones de roles de aplicación de usuario de Microsoft Entra ID de forma eficiente.

ParámetrosDescripción
-AllEste parámetro recupera todas las asignaciones de roles de aplicación de usuario sin límites de paginación predeterminados.
-FilterEste parámetro filtra las asignaciones de roles de aplicación de usuario basándose en atributos y valores.
-UserIdEste parámetro recupera las asignaciones de roles de aplicación de usuario en función de sus identificadores únicos, como el nombre del usuario principal o el ID del objeto.
-PropertyEste parámetro recupera atributos específicos de las asignaciones de roles de aplicación de usuario.
-ConsistencyLevelEsto permite funciones de consulta avanzadas para mejorar el rendimiento.

Limitaciones del uso de scripts Graph PowerShell para obtener asignaciones de roles de aplicación de usuario de Microsoft Entra ID

Aunque Microsoft Graph PowerShell permite verificar la propiedad del dominio mediante Confirm-MgDomain, existen algunas limitaciones:

  • Graph PowerShell requiere que los administradores de TI se actualicen desde Azure AD PowerShell y estén familiarizados con el scripting de PowerShell.
  • La API de Microsoft Graph impone límites de restricción, que pueden afectar al rendimiento cuando se obtienen asignaciones de roles de aplicación de usuario de forma masiva.
  • Los scripts pueden requerir un esfuerzo adicional para dar formato y exportar los datos con fines de generación de informes.
  • Se necesitan conocimientos técnicos para solucionar los errores.
  • La falta de una interfaz intuitiva hace que la experiencia general sea menos fácil de usar, sobre todo para los que son nuevos en el scripting.

Funciones destacadas del uso de ADManager Plus

  • Interfaz intuitiva que agiliza el proceso de generación de informes.
  • Informes completos y personalizables con opciones para programar y automatizar la generación de informes.
  • Es compatible con las acciones de gestión sobre la marcha para gestionar los usuarios al instante.
  • Optimizado para entornos a gran escala y no requiere ningún script para operaciones masivas.
  • Delegue tareas en los técnicos sin elevar sus privilegios nativos.
  • Vigile su entorno de TI con más de 200 informes preempaquetados.
  • Exporte informes en varios formatos, como CSV o HTML, con unos pocos clics.

Diga adiós a las molestias de PowerShell y gestione Microsoft Entra ID con facilidad utilizando ADManager Plus

Probar gratis ahora
ADManager PlusPowerShell Cómo obtener las propiedades de la foto de usuario de Microsoft Entra ID utilizando Get-MgUserPhoto
  • Emprenda su recorrido de administración, generación de informes y automatización de AD sin scripts con ADManager Plus.
    • Descargar ahora

Guías de procedimientos PowerShell relacionadas:

  • Emprenda su recorrido de administración, generación de informes y automatización de AD sin scripts con ADManager Plus.
    • Descargar ahora

Guías de procedimientos PowerShell relacionadas:

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

La solución integral para la gestión y generación de informes de Active Directory
Funcionalidades destacadasGestión de Active DirectoryInformes de Active DirectoryGestión de MS ExchangeProductos relacionados