Remove-AzRoleAssignment
移除指定主體的角色指派,而該主體在特定範圍內指派給特定角色。
Cmdlet 可能會根據輸入參數呼叫下列 Microsoft Graph API:
- 取得 /users/{id}
- 取得 /servicePrincipals/{id}
- 取得 /群組/{id}
- 取得 /directoryObjects/{id}
- POST /directoryObjects/getByIds
請注意,如果找不到角色指派的物件,或目前帳戶沒有足夠的許可權來取得物件類型,則此 Cmdlet 會標示 ObjectType 為 Unknown 輸出中。
語法
EmptyParameterSet (預設值)
Remove-AzRoleAssignment
-ObjectId <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceWithObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
-RoleDefinitionName <String>
[-ParentResource <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceGroupWithObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ScopeWithObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
RoleIdWithScopeAndObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-RoleDefinitionId <Guid>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceWithSignInNameParameterSet
Remove-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
-RoleDefinitionName <String>
[-ParentResource <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceGroupWithSignInNameParameterSet
Remove-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ScopeWithSignInNameParameterSet
Remove-AzRoleAssignment
-SignInName <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceWithSPNParameterSet
Remove-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
-RoleDefinitionName <String>
[-ParentResource <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceGroupWithSPNParameterSet
Remove-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ScopeWithSPNParameterSet
Remove-AzRoleAssignment
-ServicePrincipalName <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
RoleAssignmentParameterSet
Remove-AzRoleAssignment
[-InputObject] <PSRoleAssignment>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Description
使用 Remove-AzRoleAssignment 命令來撤銷對指定範圍和指定角色的任何主體的存取權。
必須指定轉讓的對象,即委託人。
主體可以是使用者 (使用 SignInName 或 ObjectId 參數來識別使用者)、安全性群組 (使用 ObjectId 參數來識別群組) 或服務主體 (使用 ServicePrincipalName 或 ObjectId 參數來識別 ServicePrincipal。
必須使用 RoleDefinitionName 參數指定主體指派給的角色。
指派的範圍「可以指定」,如果未指定,則預設為訂用帳戶範圍,也就是說,它會嘗試在訂用帳戶範圍內刪除指定主體和角色的指派。
可以使用下列其中一個參數來指定指派的範圍。
一。
範圍 - 這是以 /subscriptions/<subscriptionId> b 開頭的完整範圍。
ResourceGroupName - 訂用帳戶下任何資源群組的名稱。
c.
ResourceName、ResourceType、ResourceGroupName 和 (選擇性) ParentResource - 識別訂用帳戶下的特定資源。
範例
範例 1
Remove-AzRoleAssignment -ResourceGroupName rg1 -SignInName john.doe@contoso.com -RoleDefinitionName Reader
移除指派給 rg1 資源群組範圍的「讀者」角色的角色 john.doe@contoso.com 指派。
範例 2
Remove-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Reader
移除 ObjectId 所識別並指派給 Reader 角色之群組主體的角色指派。
預設會使用目前的訂用帳戶作為範圍,以尋找要刪除的指派。
範例 3
$roleassignment = Get-AzRoleAssignment |Select-Object -First 1 -Wait
Remove-AzRoleAssignment -InputObject $roleassignment
移除從 Get-AzRoleAssignment 指令集取的第一個角色指派物件。
參數
-Confirm
在執行 Cmdlet 之前,提示您進行確認。
參數屬性
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-DefaultProfile
用來與 Azure 通訊的認證、帳戶、租用戶和訂用帳戶
參數屬性
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
角色指派物件。
RoleAssignmentParameterSet
| Position: | 0 |
| 必要: | True |
| 來自管線的值: | True |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-ObjectId
使用者、群組或服務主體的 Microsoft Entra ObjectId。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 身份識別碼, PrincipalId |
參數集
EmptyParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
RoleIdWithScopeAndObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-ParentResource
階層中的父資源 (使用 ResourceName 參數指定的資源) (如果有的話)。
必須與 ResourceGroupName、ResourceType 和 ResourceName 參數搭配使用,才能以識別資源的相對 URI 形式建構階層式範圍。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
ResourceWithObjectIdParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSignInNameParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSPNParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-PassThru
如果指定,則顯示已刪除的角色指派
參數屬性
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-ResourceGroupName
指派角色的資源群組名稱。
嘗試刪除指定資源群組範圍的指派。
與 ResourceName、ResourceType 和 (選擇性) ParentResource 參數搭配使用時,命令會以識別資源的相對 URI 形式建構階層式範圍。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
ResourceWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-ResourceName
資源名稱。
例如,storageaccountprod。
必須與 ResourceGroupName、ResourceType 和 (選擇性) ParentResource 參數搭配使用,以相對 URI 的形式建構階層式範圍,以識別資源並刪除該範圍的指派。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
ResourceWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-ResourceType
資源類型。
例如,Microsoft.Network/virtualNetworks。
必須與 ResourceGroupName、ResourceName 和 (選擇性) ParentResource 參數搭配使用,以相對 URI 的形式建構階層式範圍,以識別資源,並刪除該資源範圍的指派。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
ResourceWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-RoleDefinitionId
需要刪除指派之 RBAC 角色的識別碼。
參數屬性
| 類型: | Guid
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
RoleIdWithScopeAndObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-RoleDefinitionName
需要刪除指派的 RBAC 角色名稱,即 [讀取者]、[參與者]、[虛擬網路系統管理員] 等。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
EmptyParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithObjectIdParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-Scope
要刪除的角色指派範圍。
以相對 URI 的格式。
例如,“/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG”。
如果未指定,則會嘗試在訂用帳戶層級刪除角色。
如果指定,則應以 “/subscriptions/{id}” 開頭。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
EmptyParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithObjectIdParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
RoleIdWithScopeAndObjectIdParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithSignInNameParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithSPNParameterSet
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-ServicePrincipalName
Microsoft Entra 應用程式的 ServicePrincipalName
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 服務主體名稱 (SPN), ApplicationId |
參數集
ResourceWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithSPNParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-SignInName
使用者的電子郵件地址或使用者主體名稱。
參數屬性
| 類型: | String
|
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | Email, 使用者主要名稱 (UserPrincipalName) |
參數集
ResourceWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ResourceGroupWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
ScopeWithSignInNameParameterSet
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-SkipClientSideScopeValidation
如果指定,請略過用戶端範圍驗證。
參數屬性
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-WhatIf
使用 Remove-AzRoleAssignment 命令來撤銷對指定範圍和指定角色的任何主體的存取權。
必須指定轉讓的對象,即委託人。
主體可以是使用者 (使用 SignInName 或 ObjectId 參數來識別使用者)、安全性群組 (使用 ObjectId 參數來識別群組) 或服務主體 (使用 ServicePrincipalName 或 ObjectId 參數來識別 ServicePrincipal。
必須使用 RoleDefinitionName 參數指定主體指派給的角色。
指派的範圍「可以指定」,如果未指定,則預設為訂用帳戶範圍,也就是說,它會嘗試在訂用帳戶範圍內刪除指定主體和角色的指派。
可以使用下列其中一個參數來指定指派的範圍。
一。
範圍 - 這是以 /subscriptions/<subscriptionId> b 開頭的完整範圍。
ResourceGroupName - 訂用帳戶下任何資源群組的名稱。
c.
ResourceName、ResourceType、ResourceGroupName 和 (選擇性) ParentResource - 識別訂用帳戶下的特定資源。
參數屬性
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
CommonParameters
此 cmdlet 支援常見參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters。
輸出
備註
關鍵詞:azure、azurerm、arm、resource、management、manager、resource、group、template、deployment
