Partager via


Remove-AzRoleAssignment

Supprime une attribution de rôle au principal spécifié qui est affecté à un rôle particulier dans une étendue particulière.

L’applet de commande peut appeler sous l’API Microsoft Graph en fonction des paramètres d’entrée :

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Notez que cette applet de commande marque comme ObjectType Unknown dans la sortie si l’objet de l’attribution de rôle est introuvable ou que le compte actuel dispose de privilèges insuffisants pour obtenir le type d’objet.

Syntaxe

Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionId <Guid>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      [-PassThru]
      [-InputObject] <PSRoleAssignment>
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

Utilisez la commande Remove-AzRoleAssignment pour révoquer l’accès à n’importe quel principal au niveau de l’étendue donnée et du rôle donné. Objet de l’affectation, c’est-à-dire le principal DOIT être spécifié. Le principal peut être un utilisateur (utiliser des paramètres SignInName ou ObjectId pour identifier un utilisateur), un groupe de sécurité (utiliser le paramètre ObjectId pour identifier un groupe) ou un principal de service (utiliser des paramètres ServicePrincipalName ou ObjectId pour identifier un ServicePrincipal). Le rôle auquel le principal est affecté doit être spécifié à l’aide du paramètre RoleDefinitionName. L’étendue de l’affectation PEUT être spécifiée et, si elle n’est pas spécifiée, elle est définie par défaut sur l’étendue de l’abonnement, c’est-à-dire qu’elle tente de supprimer une attribution au principal et au rôle spécifiés dans l’étendue de l’abonnement. L’étendue de l’affectation peut être spécifiée à l’aide de l’un des paramètres suivants. a. Étendue : il s’agit de l’étendue complète commençant par /subscriptions/<subscriptionId> b. ResourceGroupName : nom d’un groupe de ressources sous l’abonnement. c. ResourceName, ResourceType, ResourceGroupName et (éventuellement) ParentResource : identifie une ressource particulière sous l’abonnement.

Exemples

Exemple 1

Remove-AzRoleAssignment -ResourceGroupName rg1 -SignInName john.doe@contoso.com -RoleDefinitionName Reader

Supprime une attribution de rôle pour john.doe@contoso.com qui est affectée au rôle Lecteur dans l’étendue du groupe de ressources rg1.

Exemple 2

Remove-AzRoleAssignment -ObjectId 36f81fc3-b00f-48cd-8218-3879f51ff39f -RoleDefinitionName Reader

Supprime l’attribution de rôle au principal de groupe identifié par l’ObjectId et affecté au rôle Lecteur. Utilise par défaut l’abonnement actuel comme étendue pour trouver l’affectation à supprimer.

Exemple 3

$roleassignment = Get-AzRoleAssignment |Select-Object -First 1 -Wait
Remove-AzRoleAssignment -InputObject $roleassignment

Supprime le premier objet d’attribution de rôle extrait de l’applet de commande Get-AzRoleAssignment.

Paramètres

-Confirm

Vous demande une confirmation avant d’exécuter l’applet de commande.

Type:SwitchParameter
Alias:cf
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-DefaultProfile

Informations d’identification, compte, locataire et abonnement utilisés pour la communication avec Azure

Type:IAzureContextContainer
Alias:AzContext, AzureRmContext, AzureCredential
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-InputObject

Objet Role Assignment.

Type:PSRoleAssignment
Position:0
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ObjectId

Microsoft Entra ObjectId de l’utilisateur, du groupe ou du principal de service.

Type:String
Alias:Id, PrincipalId
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ParentResource

Ressource parente dans la hiérarchie(de la ressource spécifiée à l’aide du paramètre ResourceName), le cas échéant. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceType et ResourceName pour construire une étendue hiérarchique sous la forme d’un URI relatif qui identifie la ressource.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-PassThru

Si elle est spécifiée, affiche l’attribution de rôle supprimée

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-ResourceGroupName

Nom du groupe de ressources auquel le rôle est affecté. Tente de supprimer une affectation dans l’étendue de groupe de ressources spécifiée. Lorsqu’elle est utilisée conjointement avec les paramètres ResourceName, ResourceType et (éventuellement)ParentResource, la commande construit une étendue hiérarchique sous la forme d’un URI relatif qui identifie une ressource.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ResourceName

Nom de la ressource. Par exemple, storageaccountprod. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceType et (éventuellement)ParentResource, pour construire une étendue hiérarchique sous la forme d’un URI relatif qui identifie la ressource et supprime une affectation à cette étendue.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ResourceType

Type de ressource. Par exemple, Microsoft.Network/virtualNetworks. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceName et (éventuellement) ParentResource pour construire une étendue hiérarchique sous la forme d’un URI relatif qui identifie la ressource et supprime une affectation à cette étendue de ressource.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-RoleDefinitionId

ID du rôle RBAC pour lequel l’attribution doit être supprimée.

Type:Guid
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-RoleDefinitionName

Nom du rôle RBAC pour lequel l’affectation doit être supprimée, c’est-à-dire Lecteur, Contributeur, Réseau virtuel Administration istrateur, etc.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-Scope

Étendue de l’attribution de rôle à supprimer. Au format de l’URI relatif. Par exemple, « /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG ». Si ce n’est pas spécifié, tente de supprimer le rôle au niveau de l’abonnement. S’il est spécifié, il doit commencer par « /subscriptions/{id} ».

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ServicePrincipalName

ServicePrincipalName de l’application Microsoft Entra

Type:String
Alias:SPN
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-SignInName

Adresse e-mail ou nom d’utilisateur principal de l’utilisateur.

Type:String
Alias:Email, UserPrincipalName
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-SkipClientSideScopeValidation

Si elle est spécifiée, ignorez la validation de l’étendue côté client.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-WhatIf

Type:SwitchParameter
Alias:wi
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

Entrées

String

Guid

PSRoleAssignment

Sorties

PSRoleAssignment

Notes

Mots clés : azure, azurerm, arm, resource, management, manager, resource, group, template, deployment