Přiřazení rolí Microsoft Entra ke skupinám

Pro zjednodušení správy rolí můžete přiřadit role Microsoft Entra skupině místo jednotlivců. Tento článek popisuje, jak přiřadit role Microsoft Entra skupinám přiřaditelným rolím pomocí Centra pro správu Microsoft Entra, PowerShellu nebo rozhraní Microsoft Graph API.

Požadavky

• Licence Microsoft Entra ID P1
• Privilegovaná role Správa istrator
• Modul Microsoft.Graph při použití Prostředí Microsoft Graph PowerShell
• Modul Azure AD PowerShell při použití Azure AD PowerShellu
• Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přiřazení role Microsoft Entra ke skupině se podobá přiřazování uživatelů a instančních objektů s tím rozdílem, že je možné použít pouze skupiny, které lze přiřadit role.

Tip

Tento postup platí pro zákazníky, kteří mají licenci Microsoft Entra ID P1. Pokud máte ve svém tenantovi licenci Microsoft Entra ID P2, měli byste místo toho postupovat podle kroků v části Přiřazení rolí Microsoft Entra ve službě Privileged Identity Management.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

2. Přejděte k rolím identit>a správcům>a správcům.

   

3. Výběrem názvu role otevřete roli. Nepřidávejte značku zaškrtnutí vedle role.

   

4. Vyberte Přidat přiřazení.

   Pokud vidíte něco jiného než na následujícím snímku obrazovky, můžete mít Microsoft Entra ID P2. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v Privileged Identity Management.

   

5. Vyberte skupinu, kterou chcete přiřadit k této roli. Zobrazí se pouze skupiny s možností přiřazení role.

   Pokud skupina není uvedená, budete muset vytvořit skupinu s možností přiřazení role. Další informace naleznete v tématu Vytvoření skupiny přiřaditelné role v Microsoft Entra ID.

6. Výběrem možnosti Přidat přiřaďte roli skupině.

PowerShell

Microsoft Graph PowerShell

Vytvoření skupiny s možností přiřazení rolí

Pomocí příkazu New-MgGroup vytvořte skupinu s možností přiřazení role.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Získejte definici role, kterou chcete přiřadit.

K získání definice role použijte příkaz Get-MgRoleManagementDirectoryRoleDefinition.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Vytvoření přiřazení role

K přiřazení role použijte příkaz New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Azure AD PowerShell

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

Vytvoření skupiny s možností přiřazení rolí

Pomocí příkazu New-AzureADMSGroup vytvořte skupinu, která se dá přiřadit role.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Získejte definici role, kterou chcete přiřadit.

K získání definice role použijte příkaz Get-AzureADMSRoleDefinition.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Vytvoření přiřazení role

K přiřazení role použijte příkaz New-AzureADMSRoleAssignment.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Vytvoření skupiny s možností přiřazení rolí

Pomocí rozhraní API pro vytvoření skupiny vytvořte skupinu, která se dá přiřadit role.

Požádat

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Získejte definici role, kterou chcete přiřadit.

K získání definice role použijte rozhraní API List unifiedRoleDefinitions.

Požádat

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Vytvoření přiřazení role

K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.

Požádat

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Další kroky

• Použití skupin Microsoft Entra ke správě přiřazení rolí
• Řešení potíží s rolemi Microsoft Entra přiřazenými ke skupinám