是否可以使用 Get-AzureADServicePrincipal 和 Get-AzureADServiceAppRoleAssignment 删除用户对所有 Azure 企业应用程序的访问权限?
Is it possible to use Get-AzureADServicePrincipal and Get-AzureADServiceAppRoleAssignment to remove users access to all azure enterprise apps?
我正在尝试使用 powershell 自动删除已离职员工的所有企业应用程序访问权限,但无法确定是否可以将所有用户应用程序分配存储到一个变量,然后从存储在中的所有应用程序分配中删除它们那个变量。
到目前为止,还没有这样的 cmdlet 可以为分配给该用户的所有应用程序直接将变量分配给该用户。而不是那样,您可以将所有终止的员工(用户)添加到一个组,然后为他们分配一个变量,以便从应用程序中取消分配他们。同样的例子如下:-
$group = get-azureadgroup -ObjectId
$spo = Get-AzureADServicePrincipal -ObjectId
$assignments = 获取-AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId |其中 {$_.PrincipalDisplayName -eq $group.DisplayName}
$作业 | Select *
删除 AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId -AppRoleAssignmentId
$assignments[作业#].ObjectId
此外,找到以下链接供您参考:-
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/disable-user-sign-in-portal
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-application-permissions
谢谢你,
我正在尝试使用 powershell 自动删除已离职员工的所有企业应用程序访问权限,但无法确定是否可以将所有用户应用程序分配存储到一个变量,然后从存储在中的所有应用程序分配中删除它们那个变量。
到目前为止,还没有这样的 cmdlet 可以为分配给该用户的所有应用程序直接将变量分配给该用户。而不是那样,您可以将所有终止的员工(用户)添加到一个组,然后为他们分配一个变量,以便从应用程序中取消分配他们。同样的例子如下:-
$group = get-azureadgroup -ObjectId
$spo = Get-AzureADServicePrincipal -ObjectId
$assignments = 获取-AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId |其中 {$_.PrincipalDisplayName -eq $group.DisplayName}
$作业 | Select * 删除 AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId -AppRoleAssignmentId $assignments[作业#].ObjectId
此外,找到以下链接供您参考:-
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/disable-user-sign-in-portal
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-application-permissions
谢谢你,