Erstellen einer Gruppe in Microsoft Entra ID, der Rollen zugewiesen werden können

Mit Microsoft Entra ID P1 oder P2 können Sie Gruppen erstellen, denen Rollen zugewiesen werden können, und diesen Gruppen Microsoft Entra-Rollen zuweisen. Sie erstellen eine neue Gruppe, der Rollen zugewiesen werden können, indem Sie Microsoft Entra-Rollen können der Gruppe zugewiesen werden auf Ja oder die Eigenschaft isAssignableToRole auf true festlegen. Eine Gruppe, der Rollen zugewiesen werden können, darf nicht vom dynamischen Mitgliedschaftstyp sein, und Sie können maximal 500 Gruppen in einem einzelnen Mandanten erstellen.

In diesem Artikel wird beschrieben, wie Sie im Microsoft Entra Admin Center, in PowerShell oder in der Microsoft Graph-API eine Gruppe erstellen, der Rollen zugewiesen werden können.

Voraussetzungen

• P1- oder P2-Lizenz für Microsoft Entra ID
• Administrator für privilegierte Rollen
• Microsoft.Graph-Modul bei Verwendung von Microsoft Graph-PowerShell
• Azure AD-PowerShell-Modul bei Verwendung von Azure AD PowerShell
• Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

3. Wählen Sie Neue Gruppe aus.

4. Geben Sie auf der Seite Neue Gruppe den Gruppentyp, den Namen und eine Beschreibung an.

5. Legen Sie Microsoft Entra-Rollen können der Gruppe zugewiesen werden auf Ja fest.

   Diese Option wird nur den Rollen „Administratoren für privilegierte Rollen“ und „Globaler Administrator“ angezeigt, da nur diese beiden Rollen diese Option festlegen können.

   

6. Wählen Sie die Mitglieder und Besitzer der Gruppe aus. Sie haben auch die Möglichkeit, der Gruppe Rollen zuzuweisen, dies ist hier allerdings nicht erforderlich.

7. Wählen Sie Erstellen aus.

   Die folgende Meldung wird angezeigt:

   Das Erstellen einer Gruppe, der Microsoft Entra-Rollen zugewiesen werden können, ist eine Einstellung, die später nicht mehr geändert werden kann. Sind Sie sicher, dass Sie diese Funktion hinzufügen möchten?

   

8. Wählen Sie Ja aus.

   Die Gruppe wird mit allen Rollen erstellt, die Sie ihr zugewiesen haben.

PowerShell

Microsoft Graph PowerShell

Verwenden Sie den Befehl New-MgGroup, um eine Gruppe zu erstellen, der Rollen zugewiesen werden können.

In diesem Beispiel wird gezeigt, wie Sie eine Gruppe erstellen, der eine Sicherheitsrolle zugewiesen werden kann.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

In diesem Beispiel wird gezeigt, wie Sie eine Microsoft 365-Rollen zuweisbare Gruppe erstellen.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

Verwenden Sie den Befehl New-AzureADMSGroup, um eine Gruppe zu erstellen, der Rollen zugewiesen werden können.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Bei diesem Gruppentyp ist isPublic immer FALSE und isSecurityEnabled immer TRUE.

Kopieren der Benutzer und Dienstprinzipale einer Gruppe in eine Gruppe mit Rollenzuweisungen

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph-API

Verwenden Sie die APIGruppe erstellen, um eine Gruppe zu erstellen, der Rollen zugewiesen werden können.

In diesem Beispiel wird gezeigt, wie Sie eine Gruppe erstellen, der eine Sicherheitsrolle zugewiesen werden kann.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

In diesem Beispiel wird gezeigt, wie Sie eine Microsoft 365-Rollen zuweisbare Gruppe erstellen.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Bei diesem Gruppentyp ist isPublic immer FALSE und isSecurityEnabled immer TRUE.

Nächste Schritte

• Zuweisen von Microsoft Entra-Rollen zu Gruppen
• Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen
• Behandeln von Problemen bei Microsoft Entra-Rollen, die Gruppen zugewiesen sind