从 Microsoft Entra ID 中的组中删除角色分配

  • 项目

本文介绍 IT 管理员如何删除分配给组的 Microsoft Entra 角色。 在 Microsoft Entra 管理中心内,现在可以移除对用户的直接和间接角色分配。 如果按组成员身份向用户分配了角色,则从组中删除该用户以删除角色分配。

先决条件

  • Microsoft Entra ID P1 或 P2 许可证
  • 特权角色管理员或全局管理员
  • 使用 PowerShell 时的 Microsoft Graph PowerShell 模块

有关详细信息,请参阅使用 PowerShell 的先决条件

Microsoft Entra 管理中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“角色和管理员”

  3. 选择一个角色名称

  4. 选择要从中删除角色分配的组,然后选择“删除分配”。

    从所选组中删除角色分配。

  5. 当系统要求你确认操作时,请选择“是”。

PowerShell

创建可分配给角色的组

$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" `
   -Description "This group is assigned to Helpdesk Administrator built-in role in Microsoft Entra ID." `
   -MailNickname "contosohelpdeskadministrators" -IsAssignableToRole:$true `
   -MailEnabled:$true -SecurityEnabled:$true

获取要向其分配组的角色定义

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

创建角色分配

$Params = @{
   "directoryScopeId" = "/" 
   "principalId" = $group.Id
   "roleDefinitionId" = $roleDefinition.Id
}
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $Params

删除角色分配

Remove-MgRoleManagementDirectoryRoleAssignment -UnifiedRoleAssignmentId $roleAssignment.Id

Microsoft 图形 API

创建可分配 Microsoft Entra 角色的组

使用 Create group API 创建组。

POST https://microsoftgraph.chinacloudapi.cn/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Microsoft Entra ID",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

获取角色定义

使用 List unifiedRoleDefinitions API 获取角色定义。

GET https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleDefinitions?$filter=displayName+eq+'Helpdesk Administrator'

创建角色分配

使用 Create unifiedRoleAssignment API 分配角色。

POST https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "{object-id-of-group}",
    "roleDefinitionId": "{role-definition-id}",
    "directoryScopeId": "/"
}

删除角色分配

使用 Delete unifiedRoleAssignment API 删除角色分配。

DELETE https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleAssignments/{role-assignment-id}

后续步骤