Zuweisen von Microsoft Entra-Rollen zu Gruppen

Um die Rollenverwaltung zu vereinfachen, können Sie Microsoft Entra-Rollen einer Gruppe anstelle von Einzelpersonen zuweisen. In diesem Artikel wird beschrieben, wie Sie Gruppen, denen Rollen zugewiesen werden können, im Microsoft Entra Admin Center, in PowerShell oder in der Microsoft Graph-API Rollen zuweisen.

Voraussetzungen

• Microsoft Entra ID P1-Lizenz
• Rolle Administrator für privilegierte Rollen
• Microsoft.Graph-Modul bei Verwendung von Microsoft Graph-PowerShell
• Azure AD-PowerShell-Modul bei Verwendung von Azure AD PowerShell
• Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Das Zuweisen einer Microsoft Entra-Rolle zu einer Gruppe ähnelt der Zuweisung von Benutzer*innen und Dienstprinzipalen mit der Ausnahme, dass nur Gruppen verwendet werden können, denen Rollen zugewiesen werden können.

Tipp

Diese Schritte gelten für Kund*innen, die über eine Microsoft Entra ID P1-Lizenz verfügen. Wenn Sie in Ihrem Mandanten über eine Microsoft Entra ID P2-Lizenz verfügen, sollten Sie stattdessen die Schritte unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management ausführen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

   

3. Wählen Sie den Rollennamen aus, um die Rolle zu öffnen. Fügen Sie kein Häkchen neben der Rolle hinzu.

   

4. Wählen Sie Zuweisungen hinzufügen aus.

   Wenn Sie etwas sehen, das vom folgenden Screenshot abweicht, haben Sie möglicherweise Microsoft Entra ID P2. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.

   

5. Wählen Sie die Gruppe aus, die Sie dieser Rolle zuweisen möchten. Es werden nur rollenzuweisbare Gruppen angezeigt.

   Wenn die Gruppe nicht aufgeführt ist, müssen Sie eine rollenzuweisbare Gruppe erstellen. Weitere Informationen finden Sie unter Erstellen einer Gruppe, der Rollen zugewiesen werden können, in Microsoft Entra ID.

6. Wählen Sie Hinzufügen aus, um der Gruppe die Rolle zuzuweisen.

PowerShell

Microsoft Graph PowerShell

Erstellen einer Gruppe, der Rollen zugeordnet werden können

Verwenden Sie den Befehl New-MgGroup, um eine rollenzuweisbare Gruppe zu erstellen.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Abrufen der Rollendefinition, die Sie zuweisen wollen

Verwenden Sie den Befehl Get-MgRoleManagementDirectoryRoleDefinition, um eine Rollendefinition abzurufen.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Erstellen einer Rollenzuweisung

Verwenden Sie den Befehl New-MgRoleManagementDirectoryRoleAssignment, um die Rolle zuzuweisen.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Azure AD PowerShell

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Erstellen einer Gruppe, der Rollen zugeordnet werden können

Verwenden Sie den Befehl New-AzureADMSGroup, um eine rollenzuweisbare Gruppe zu erstellen.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Abrufen der Rollendefinition, die Sie zuweisen wollen

Verwenden Sie den Befehl Get-AzureADMSRoleDefinition, um eine Rollendefinition abzurufen.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Erstellen einer Rollenzuweisung

Verwenden Sie den Befehl New-AzureADMSRoleAssignment, um die Rolle zuzuweisen.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph-API

Erstellen einer Gruppe, der Rollen zugeordnet werden können

Verwenden Sie die API Gruppe erstellen, um eine rollenzuweisbare Gruppe zu erstellen.

Anforderung

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Antwort

HTTP/1.1 201 Created

Abrufen der Rollendefinition, die Sie zuweisen wollen

Verwenden Sie die API List unifiedRoleDefinitions, um eine Rollendefinition abzurufen.

Anforderung

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Antwort

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Erstellen der Rollenzuweisung

Verwenden Sie die API Create unifiedRoleAssignment, um die Rolle zuzuweisen.

Anforderung

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Nächste Schritte

• Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen
• Behandeln von Problemen bei Microsoft Entra-Rollen, die Gruppen zugewiesen sind