Удалите назначения ролей Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора привилегированных ролей.

2. Перейдите к Entra ID>Роли и администраторы.

3. Выберите имя роли, чтобы открыть роль.

4. Добавьте флажок рядом с пользователями или группами, из которых необходимо удалить назначение роли.

5. Выберите: Удалить назначение.

   Если ваш опыт отличается от следующего снимка экрана, возможно, у вас есть Microsoft Entra ID P2 и PIM. Дополнительные сведения см. в разделе Обновление или удаление существующего назначения ролей в PIM.

   

6. В ответ на запрос подтверждения щелкните Да.

Используйте команду Get-MgRoleManagementDirectoryRoleAssignment , чтобы указать идентификатор назначения роли, который требуется удалить. Примеры см. в разделе "Список назначений ролей Microsoft Entra".

С идентификатором назначения роли используйте команду Remove-MgRoleManagementDirectoryRoleAssignment , чтобы удалить назначение роли.

Remove-MgRoleManagementDirectoryRoleAssignment -UnifiedRoleAssignmentId $roleAssignment.Id

Используйте API list unifiedRoleAssignments для перечисления идентификатора назначения ролей, который требуется удалить. Примеры см. в разделе "Список назначений ролей Microsoft Entra".

С идентификатором назначения ролей используйте API Delete unifiedRoleAssignment для удаления назначения ролей.

Удаление назначения ролей для пользователя

DELETE https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Ответ

HTTP/1.1 204 No Content

Удалите назначение роли, которое больше не существует

DELETE https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Ответ

HTTP/1.1 404 Not Found

Удаление назначения роли глобального администратора для текущего пользователя

DELETE https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Ответ

HTTP/1.1 400 Bad Request
{
    "odata.error":
    {
        "code":"Request_BadRequest",
        "message":
        {
            "lang":"en",
            "value":"Removing self from Global Administrator built-in role is not allowed"},
            "values":null
        }
    }
}

Не удаляйте собственное назначение роли глобального администратора, чтобы избежать сценария, в котором у клиента нет глобальных администраторов. Удаление других ролей, назначенных себе, разрешено.