Vytvoření skupiny s možností přiřazení rolí v Microsoft Entra ID

Tento článek popisuje, jak vytvořit skupinu s možností přiřazení role pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.

Pomocí Microsoft Entra ID P1 nebo P2 můžete vytvářet skupiny s možností přiřazení role a přiřazovat k těmto skupinám role Microsoft Entra. Novou skupinu přiřaditelnou rolí vytvoříte nastavením možnost přiřazení rolí Microsoft Entra ke skupině na ano nebo nastavením vlastnosti isAssignableToRole na true. Skupina, které lze přiřadit roli, nemůže být součástí skupiny s dynamickým členstvím. V Microsoft Entra může mít jeden tenant maximálně 500 skupin přiřazených rolí.

Požadavky

• Licence Microsoft Entra ID P1 nebo P2
• Správce privilegovaných rolí
• modul Microsoft Graph PowerShell při použití PowerShellu
• Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Vytvoření skupiny s možností přiřazení role

Centrum pro správu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

2. Přejděte na Entra ID>Skupiny>Všechny skupiny.

3. Vyberte Nová skupina.

4. Na stránce Nová skupina zadejte typ, název a popis skupiny.

5. Nastavte role Microsoft Entra mohou být přiřazeny skupině na Ano.

   Tato možnost je viditelná pro správce privilegovaných rolí, protože tato role může tuto možnost nastavit.

   

6. Vyberte členy a vlastníky skupiny. Máte také možnost přiřazovat role ke skupině, ale tady není potřeba přiřadit roli.

7. Vyberte Vytvořit.

   Zobrazí se následující zpráva:

   Vytvoření skupiny, ke které lze přiřadit role Microsoft Entra, je nastavení, které nelze později změnit. Opravdu chcete tuto funkci přidat?

   

8. Vyberte Ano.

   Skupina se vytvoří s libovolnými rolemi, které jste k ní možná přiřadili.

Prostředí PowerShell

Pomocí příkazu New-MgGroup vytvořte skupinu s možností přiřazení role.

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role zabezpečení.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role Microsoftu 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

Pomocí rozhraní API pro vytvoření skupiny vytvořte skupinu, která se dá přiřadit role.

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role zabezpečení.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Odpověď

HTTP/1.1 201 Created

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role Microsoftu 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Pro tento typ skupiny je isPublic vždy false a isSecurityEnabled je vždy true.

Další kroky

• Přiřaďte role Microsoft Entra
• Použití skupin Microsoft Entra ke správě přiřazení rolí
• Řešení potíží s rolemi Microsoft Entra přiřazenými ke skupinám