本文介绍 IT 管理员如何删除分配给组的 Microsoft Entra 角色。 在 Microsoft Entra 管理中心内,可以移除对用户的直接和间接角色分配。 如果按组成员身份向用户分配了角色,则从组中删除该用户以删除角色分配。
- Microsoft Entra ID P1 或 P2 许可证
- 特权角色管理员
- 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
有关详细信息,请参阅使用 PowerShell 的先决条件。
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“角色和管理员”。
选择一个角色名称。
选择要从中删除角色分配的组,然后选择“删除分配”。
当系统要求你确认操作时,请选择“是”。
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" `
-Description "This group is assigned to Helpdesk Administrator built-in role in Microsoft Entra ID." `
-MailNickname "contosohelpdeskadministrators" -IsAssignableToRole:$true `
-MailEnabled:$true -SecurityEnabled:$true
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
$Params = @{
"directoryScopeId" = "/"
"principalId" = $group.Id
"roleDefinitionId" = $roleDefinition.Id
}
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $Params
Remove-MgRoleManagementDirectoryRoleAssignment -UnifiedRoleAssignmentId $roleAssignment.Id
使用 Create group API 创建组。
POST https://microsoftgraph.chinacloudapi.cn/v1.0/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Microsoft Entra ID",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
使用 List unifiedRoleDefinitions API 获取角色定义。
GET https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleDefinitions?$filter=displayName+eq+'Helpdesk Administrator'
使用 Create unifiedRoleAssignment API 分配角色。
POST https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "{object-id-of-group}",
"roleDefinitionId": "{role-definition-id}",
"directoryScopeId": "/"
}
使用 Delete unifiedRoleAssignment API 删除角色分配。
DELETE https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleAssignments/{role-assignment-id}