Creación de un paquete de acceso en la administración de derechos para una aplicación con un solo rol mediante PowerShell

En la administración de derechos de Microsoft Entra, un paquete de acceso abarca las directivas de cómo los usuarios pueden obtener asignaciones para uno o varios roles de recursos. Los recursos pueden incluir grupos, aplicaciones y sitios de SharePoint Online.

En este artículo se describe cómo crear un paquete de acceso para una sola aplicación con un solo rol mediante PowerShell de Microsoft Graph. Este escenario se aplica principalmente a entornos que usan la administración de derechos para automatizar el acceso continuo para una aplicación de middleware o negocio específica. Una organización que tiene varios recursos o recursos con varios roles también puede modelar sus directivas de acceso con paquetes de acceso:

• Si la organización ya tiene un modelo de rol organizativo existente para sus roles empresariales, puede migrar ese modelo a Gobierno de Microsoft Entra ID y controlar el acceso con un modelo de roles organizativo.
• Si la organización tiene aplicaciones con varios roles, puede implementar directivas organizativas para gobernar el acceso a las aplicaciones integradas con Microsoft Entra ID
• Para obtener más información sobre cómo crear paquetes de acceso para otros escenarios, consulte tutorial: Administración del acceso a recursos en la administración de derechos y cómo crear un paquete de acceso en la administración de derechos.

Requisitos previos

El uso de esta característica requiere licencias de Microsoft Entra ID Governance. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.

Antes de empezar a crear el paquete de acceso, debe integrar la aplicación con Microsoft Entra ID. Si la aplicación aún no está presente en el inquilino de Microsoft Entra ID, siga las instrucciones de ese artículo para crear una aplicación y una entidad de servicio para el objeto. Asegúrese también de que el inquilino de Microsoft Entra ID cumpla los requisitos previos antes de configurar Microsoft Entra ID para la gobernanza de identidades.

Para crear el paquete de acceso y sus directivas y asignaciones asociadas, deberá tener lista la siguiente información:

Caso de uso	Opción de configuración	Variable de PowerShell
All	Nombre de la aplicación en el inquilino de Microsoft Entra ID	$servicePrincipalName
All	Nombre del rol de la aplicación	$servicePrincipalRoleName
All	Nombre del catálogo que contiene el paquete de acceso	$catalogName
All	Nombre para proporcionar al paquete de acceso	$accessPackageName
All	Descripción para proporcionar al paquete de acceso	$accessPackageDescription
Separación de requisitos de deberes con un paquete de acceso no compatible	Id. del paquete de acceso no compatible	$incompatibleAccessPackageId (en caso de ser necesario)
Los usuarios que aún no tienen asignaciones y no se asignarán automáticamente	lista de usuarios	$inputpath (en caso de ser necesario)
Los usuarios con atributos específicos tienen automáticamente asignaciones	expresión de consulta para los usuarios en el ámbito	$autoAssignmentPolicyFilter (en caso de ser necesario)
Permitir que los usuarios que no tengan una asignación soliciten una asignación	el ámbito de los usuarios que pueden solicitar, los aprobadores y el período de revisión de acceso	depende de los requisitos
Automatización de la creación o eliminación de asignaciones en función de flujos de trabajo de unión o de salida en flujos de trabajo de ciclo de vida	los nombres de los flujos de trabajo que proporcionan y quitan acceso	depende de los requisitos

Autenticarse en Microsoft Entra ID

En esta sección se muestra cómo interactuar con Gobierno de Microsoft Entra ID mediante cmdlets de PowerShell de Microsoft Graph.

La primera vez que la organización use estos cmdlets para este escenario, deberá tener un rol de administrador global para permitir el uso de PowerShell de Microsoft Graph en el inquilino. Las interacciones posteriores pueden usar un rol con privilegios inferiores, como:

• Administrador de Identity Governance.

1. Abra PowerShell.

2. Si aún no tiene instalados los módulos de PowerShell de Microsoft Graph, instale el módulo Microsoft.Graph.Identity.Governance y otros mediante este comando:

   Install-Module Microsoft.Graph
   

   Si ya tiene instalados los módulos, asegúrese de que usa una versión reciente:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Conéctese a Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Si es la primera vez que ha usado este comando, es posible que tenga que dar su consentimiento para permitir que las herramientas de la línea de comandos de Microsoft Graph tengan estos permisos.

Creación de un catálogo en la administración de derechos de Microsoft Entra

De manera predeterminada, cuando un administrador interactúa por primera vez con la administración de derechos, se crea automáticamente un catálogo predeterminado. Sin embargo, los paquetes de acceso para las aplicaciones gobernadas deben estar en un catálogo designado.

1. Especifique el nombre del catálogo.

   $catalogName = "Business applications"
   

2. Si ya tiene un catálogo para el escenario de gobernanza de las aplicaciones, continúe con el paso 4 de esta sección.

3. Si aún no tiene un catálogo para el escenario de gobernanza de las aplicaciones, cree un catálogo.

   $catalog = New-MgEntitlementManagementCatalog -DisplayName $catalogName
   

4. Busque el id. del catálogo.

   $catalogFilter = "displayName eq '" + $catalogName + "'"
   $catalog = Get-MgEntitlementManagementCatalog -Filter $catalogFilter -All -expandProperty resources,accessPackages
   if ($catalog -eq $null) { throw "catalog $catalogName not found" }
   $catalogId = $catalog.Id
   

Agregar la aplicación como un recurso al catálogo

Una vez creado el catálogo, agregue la aplicación como un recurso en ese catálogo.

1. Especifique el nombre de la aplicación y el nombre del rol de la aplicación. Use el nombre de la aplicación como valor de servicePrincipalName.

   $servicePrincipalName = "SAP Cloud Identity Services"
   $servicePrincipalRoleName = "User"
   

2. Busque el id. de la entidad de servicio de la aplicación.

   $servicePrincipalFilter = "displayName eq '" + $applicationName + "'"
   $servicePrincipal = Get-MgServicePrincipal -Filter $servicePrincipalFilter -all
   if ($servicePrincipal -eq $null) { throw "service principal $servicePrincipalName not found" }
   $servicePrincipalId = $servicePrincipal.Id
   

3. Compruebe si la aplicación ya está presente en el catálogo como un recurso. Si ya está presente, continúe con el paso 6 de esta sección.

   $resourceId = $null
   foreach ($r in $catalog.Resources) { if ($r.OriginId -eq $servicePrincipalId) { $resourceId = $r.id; break } }
   if ($resourceId -ne $null) { write-output "resource already in catalog" } else {write-output "resource not yet in catalog"}
   

4. Agregue la entidad de servicio de la aplicación como un recurso al catálogo.

   $resourceAddParams = @{
     requestType = "adminAdd"
     resource = @{
       originId = $servicePrincipalId
       originSystem = "AadApplication"
     }
     catalog = @{ id = $catalogId }
   }
   
   $resourceAdd = New-MgEntitlementManagementResourceRequest -BodyParameter $resourceAddParams
   if ($resourceAdd -eq $null) { throw "resource could not be added" }
   sleep 5
   

5. Recupere el id. y el ámbito del recurso en ese catálogo.

   $resource = $null
   $resourceId = $null
   $resourceScope = $null
   $catalogResources = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $CatalogId -ExpandProperty "scopes" -all
   
   foreach ($r in $catalogResources) { if ($r.OriginId -eq $servicePrincipalId) { $resource = $r; $resourceId = $r.id; $resourceScope = $r.Scopes[0]; break } }
   if ($resourceId -eq $null) { throw "resource was not added" }
   

6. Recupere los roles de la aplicación.

   $resourceRoleFilter = "(originSystem eq 'AadApplication' and resource/id eq '" + $resourceId + "')"
   $resourceRoles = @(get-mgentitlementmanagementcatalogresourcerole  -AccessPackageCatalogId $catalogId -Filter $resourceRoleFilter -All -ExpandProperty "resource")
   if ($resourceRoles -eq $null -or $resourceRoles.count -eq 0) { throw "no roles available" }
   

7. Seleccione el rol que se incluirá en el paquete de acceso.

   $resourceRole = $null
   foreach ($r in $resourceRoles) { if ($r.DisplayName -eq $servicePrincipalRoleName) { $resourceRole = $r; break; } }
   if ($resourceRole -eq $null) { throw "role $servicePrincipalRoleName not located" }
   

Crear el paquete de acceso para la aplicación

A continuación, usará PowerShell para crear un paquete de acceso en un catálogo que incluya el rol de la aplicación.

1. Especifique el nombre y la descripción del paquete de acceso.

   $accessPackageName = "SAP Cloud Identity Services"
   $accessPackageDescription = "A user of SAP Cloud Identity Services"
   $accessPackageHidden = $true
   

2. Compruebe que el paquete de acceso aún no exista.

   foreach ($a in $catalog.AccessPackages) { if ($a.DisplayName -eq $accessPackageName) { throw "access package $accessPackageName already exists" } }
   

3. Cree el paquete de acceso.

   $accessPackageParams = @{
       displayName = $accessPackageName
       description = $accessPackageDescription
       isHidden = $accessPackageHidden
       catalog = @{
           id = $catalog.id
       }
   }
   $accessPackage = New-MgEntitlementManagementAccessPackage -BodyParameter $accessPackageParams
   $accessPackageId = $accessPackage.Id
   

Agregar el rol de aplicación al paquete de acceso

Una vez que haya creado un paquete de acceso, vincule el rol del recurso en el catálogo al paquete de acceso.

$rrsParams = @{
 role = @{
     id =  $resourceRole.Id
     displayName =  $resourceRole.DisplayName
     description =  $resourceRole.Description
     originSystem =  $resourceRole.OriginSystem
     originId =  $resourceRole.OriginId
     resource = @{
         id = $resource.Id
         originId = $resource.OriginId
         originSystem = $resource.OriginSystem
     }
 }
 scope = @{
     id = $resourceScope.Id
     originId = $resourceScope.OriginId
     originSystem = $resourceScope.OriginSystem
 }
}

$roleAddRes = New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $accessPackageId -BodyParameter $rrsParams

Crear directivas de asignación de paquetes de acceso para la asignación directa

En esta sección creará la primera directiva de asignación de paquetes de acceso en el paquete de acceso, una directiva de asignación de paquetes de acceso para la asignación directa, que se puede usar para realizar un seguimiento de los usuarios que ya tienen acceso a la aplicación. En la directiva de ejemplo creada en esta sección, solo los administradores o los administradores de asignación de paquetes de acceso pueden asignar acceso; los usuarios conservan el acceso indefinidamente y no hay aprobaciones ni revisiones de acceso.

1. Creación de una directiva.

   $policy1Name = "Direct assignment policy"
   $policy1Description = "policy for administrative assignment"
   
   $policy1params = @{
    displayName = $policy1Name
    description = $policy1Description
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $true
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $true
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $accessPackageId
    }
   }
   
   $policy1Res = New-MgEntitlementManagementAssignmentPolicy -BodyParameter $policy1params
   $directAssignmentPolicyId = $policy1Res.Id
   
   

Configurar las restricciones en la separación de obligaciones

La administración de derechos de Microsoft Entra puede aplicar la separación de las comprobaciones de obligaciones para evitar que un usuario que ya tenga una asignación existente a otro paquete de acceso designado, o la pertenencia a un grupo designado, solicite un paquete de acceso.

Si no tiene requisitos de separación de obligaciones para esta aplicación, continúe con la sección siguiente.

Si tiene requisitos de separación de tareas, configure los paquetes de acceso no compatibles o los grupos existentes para el paquete de acceso.

Para cada paquete de acceso que se vaya a marcar como no compatible con otro, puede usar PowerShell para configurar los paquetes de acceso como no compatibles.

1. Especifique el otro paquete de acceso que no es compatible con este. Cambie el valor de incompatibleAccessPackageId por el id. de otro paquete de acceso en la administración de derechos de Microsoft Entra.

   $incompatibleAccessPackageId = "67cc7175-7a3d-4cb2-860f-4d9217ba96ca"
   

2. Cree la referencia no compatible en este paquete de acceso.

   $incompatible1params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $incompatibleAccessPackageId
   }
   New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $accessPackageId -BodyParameter $incompatible1params
   

3. Cree la referencia no compatible en el otro paquete de acceso.

   $incompatible2params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $accessPackageId
   }
   New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $incompatibleAccessPackageId -BodyParameter $incompatible2params
   

4. Repita el proceso para cualquier otro paquete de acceso.

5. Si su escenario requiere la capacidad de invalidar una separación de la comprobación de tareas, también puede configurar paquetes de acceso adicionales para esos escenarios de invalidación.

Agregar asignaciones de usuarios existentes que ya tengan acceso a la aplicación

Agregue asignaciones de usuarios existentes que ya tengan acceso a la aplicación, al paquete de acceso y a su directiva de asignación directa. Puede asignar directamente cada usuario a un paquete de acceso.

1. Recupere las asignaciones de roles de aplicación existentes.

   $existingAppRoleAssignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $servicePrincipalId -All)
   

2. Para evitar crear asignaciones duplicadas, recupere las asignaciones existentes en el paquete de acceso.

   $existingAssignments1filter = "accessPackage/id eq '" + $accessPackageId + "' and state eq 'Delivered'"
   $existingassignments1 = @(Get-MgEntitlementManagementAssignment -Filter $existingAssignments1filter -ExpandProperty target -All -ErrorAction Stop)
   $existingusers1 = @()
   foreach ($a in $existingassignments1) { $existingusers1 += $a.Target.ObjectId}
   

3. Cree nuevas asignaciones.

   foreach ($ar in $existingAppRoleAssignments) {
    if ($ar.principalType -ne "User") {
      write-warning "non-user assigned to application role"
    }
    $arpid = $ar.principalId
    if ($existingusers1.contains($arpId)) { continue }
   
    $params = @{
      requestType = "adminAdd"
      assignment = @{
         targetId = $arpId
         assignmentPolicyId = $directAssignmentPolicyId
         accessPackageId = $accessPackageId
      }
    }
    try {
      New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
    } catch {
      write-error "cannot create request for user $upn"
    }
   }
   

Agregar los usuarios adicionales que deben tener acceso a la aplicación

Este script muestra el uso de los cmdlets de PowerShell de Microsoft Graph para agregar usuarios adicionales a la aplicación. Si no tiene ningún usuario que necesite acceso y no lo recibiría automáticamente, continúe con la sección siguiente.

Este script supone que tiene un archivo CSV de entrada que contiene una columna, UserPrincipalName, para asignar esos usuarios al paquete de acceso a través de su directiva de asignación directa.

1. Especifique el nombre del archivo de entrada.

   $inputpath = "users.csv"
   

2. Para evitar crear asignaciones duplicadas, recupere las asignaciones existentes en el paquete de acceso.

   $existingAssignments2filter = "accessPackage/id eq '" + $accessPackageId + "' and state eq 'Delivered'"
   $existingassignments2 = @(Get-MgEntitlementManagementAssignment -Filter $existingAssignments2filter -ExpandProperty target -All -ErrorAction Stop)
   $existingusers2 = @()
   foreach ($a in $existingassignments2) { $existingusers2 += $a.Target.ObjectId}
   

3. Cree nuevas asignaciones.

   $users = import-csv -Path $inputpath
   foreach ($userrecord in $users) {
      $upn = $userrecord.UserPrincipalName
      if ($null -eq $upn) {throw "no UserPrincipalName" }
      $u = $null
      try {
         $u = Get-MgUser -UserId $upn
      } catch {
         write-error "no user $upn"
      }
      if ($u -eq $null) { continue }
      if ($existingusers2.contains($u.Id)) { continue }
   
      $params = @{
         requestType = "adminAdd"
         assignment = @{
            targetId = $u.Id
            assignmentPolicyId = $directAssignmentPolicyId
            accessPackageId = $accessPackageId
         }
      }
      try {
         New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
      } catch {
         write-error "cannot create request for user $upn"
      }
   }
   

Agregar una directiva a los paquetes de acceso para la asignación automática

Si la directiva de su organización para quién puede recibir acceso a una aplicación incluye una regla basada en los atributos del usuario para asignar y quitar el acceso automáticamente en función de esos atributos, puede representarlo mediante una directiva de asignación automática. Un paquete de acceso puede tener como máximo una directiva de asignación automática. Si no tiene un requisito para una asignación automática, continúe con la sección siguiente.

1. Especifique la expresión de filtro de asignación automática para que los usuarios reciban una asignación. Cambie el valor de autoAssignmentPolicyFilter para que sea un filtro para los usuarios de Microsoft Entra ID que están en el ámbito. La sintaxis y los atributos permitidos se proporcionan en reglas de pertenencia dinámica para grupos en Microsoft Entra ID.

   $autoAssignmentPolicyFilter = '(user.city -eq "Redmond")'
   

2. Use PowerShell para crear una directiva de asignación automática en el paquete de acceso.

   $policy2Name = "Automatic assignment policy"
   $policy2Description = "policy for automatic assignment"
   
   $policy2Params = @{
    DisplayName = $policy2Name
    Description = $policy2Description
    AllowedTargetScope = "specificDirectoryUsers"
    SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = $policy2Description
        membershipRule = $autoAssignmentPolicyFilter
    } )
    AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
    }
    AccessPackage = @{
      Id = $accessPackageId
    }
   }
   New-MgEntitlementManagementAssignmentPolicy -BodyParameter $policy2Params
   

Crear directivas adicionales para permitir que los usuarios soliciten acceso

Si los usuarios que aún no tienen acceso pueden solicitar ser asignados a la aplicación, también puede configurar una directiva de asignación de paquetes de acceso para permitir a los usuarios solicitar un paquete de acceso. Puede agregar directivas adicionales a un paquete de acceso y, en cada directiva, especificar qué usuarios pueden solicitar y quién debe aprobar. Si desea que el acceso se asigne a los usuarios automáticamente o que lo asigne un administrador, continúe con la sección siguiente.

Para ver más ejemplos, consulte Creación de una directiva de asignación mediante PowerShell, accessPackageAssignmentPolicy y Crear una assignmentPolicy.

1. Especifique el nombre, la descripción de la directiva y el id. de un usuario de Microsoft Entra que será el aprobador.

   $policy3Name = "example policy"
   $policy3Description = "example of a policy for users to request assignment"
   $policy3ApproverSingleUserId = "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
   

2. Cree la directiva.

   $policy3Params = @{
    displayName = $policy3Name
    description = $policy3Description
    allowedTargetScope = "allMemberUsers"
    expiration = @{
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = "true"
        enableTargetsToSelfUpdateAccess = "true"
        enableTargetsToSelfRemoveAccess = "true"
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = "true"
        isApprovalRequiredForUpdate = "true"
        stages = @(
            @{
                durationBeforeAutomaticDenial = "P7D"
                isApproverJustificationRequired = "false"
                isEscalationEnabled = "false"
                fallbackPrimaryApprovers = @(
                )
                escalationApprovers = @(
                )
                fallbackEscalationApprovers = @(
                )
                primaryApprovers = @(
                    @{
                        "@odata.type" = "#microsoft.graph.singleUser"
                        userId = $policy3ApproverSingleUserId
                    }
                )
            }
        )
    }
    accessPackage = @{
        id = $accessPackageId
    }
   }
   
   New-MgEntitlementManagementAssignmentPolicy -BodyParameter $policy3Params
   

Configurar tareas de flujos de trabajo del ciclo de vida

Si usa flujos de trabajo del ciclo de vida de Microsoft Entra para eventos de unión, movimiento y salida de empleados, también puede agregar tareas a esos flujos de trabajo para agregar o quitar asignaciones a este paquete de acceso. Si no usa flujos de trabajo de ciclo de vida, continúe con la sección siguiente.

En este ejemplo se muestra cómo realizar un cambio en los flujos de trabajo de eventos de unión y salida.

1. Recupere el flujo de trabajo de la categoría joiner y sus tareas mediante el comando Get-MgIdentityGovernanceLifecycleWorkflow.

2. Agregue una tarea a la lista de tareas de ese flujo de trabajo.

   Nombre para mostrar de la tarea	taskDefinitionId	argumentos
   Solicitar asignación de paquete de acceso de usuario	c1ec1e76-f374-4375-aaa6-0bb6bd4c60be	name: assignmentPolicyId value: el id. de la directiva de asignación, como el valor de $directAssignmentPolicyId si no se requiere ninguna aprobación, para el paquete de acceso que desea asignar al usuario. name: accessPackageId value: el id. del paquete de acceso, $accessPackageId, para el paquete de acceso que desea asignar al usuario.

3. Cree una nueva versión del flujo de trabajo, incluida la nueva tarea, mediante el comando New-MgIdentityGovernanceLifecycleWorkflowNewVersion.

4. Recupere el flujo de trabajo de la categoría leaver y sus tareas mediante el comando Get-MgIdentityGovernanceLifecycleWorkflow.

5. Agregue una tarea a la lista de tareas de ese flujo de trabajo.

   Nombre para mostrar de la tarea	taskDefinitionId	argumentos
   Eliminar la asignación de paquete de acceso para el usuario	4a0b64f2-c7ec-46ba-b117-18f262946c50	name: accessPackageId value: un id. de paquete de acceso válido, accessPackageId, para el paquete de acceso del que desea anular la asignación al usuario.

6. Cree una nueva versión del flujo de trabajo, incluida la nueva tarea, mediante el comando New-MgIdentityGovernanceLifecycleWorkflowNewVersion.

Administrar asignaciones

Una vez creados los paquetes de acceso, las directivas y las asignaciones iniciales, a los usuarios se les asigna acceso al rol de la aplicación.

Más adelante, puede supervisar los cambios en las asignaciones, o agregar o quitar asignaciones mediante programación.

Recuperar asignaciones existentes

Este script muestra el uso de un filtro para recuperar las asignaciones al paquete de acceso que están en estado Delivered. El script genera un archivo CSV assignments.csv con una lista de usuarios que tienen asignaciones, con una fila por asignación.

$assignmentFilter = "accessPackage/id eq '" + $accessPackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $assignmentFilter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Eliminar una asignación

Puede quitar la asignación de un usuario con el cmdlet New-MgEntitlementManagementAssignmentRequest.

$userId = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Pasos siguientes

• Controlar el acceso para los usuarios existentes de una aplicación
• Control del acceso de las aplicaciones de su entorno