Asignación de roles de Azure AD a grupos

En esta sección se describe cómo un administrador de TI puede asignar el rol de Azure Active Directory (Azure AD) a un grupo de Azure AD.

Requisitos previos

  • Una licencia de Azure AD Premium P1 o P2
  • Administrador global o administrador de roles con privilegios
  • Módulo AzureAD al usar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Portal de Azure

La asignación de un grupo a un rol de Azure AD es similar a la asignación de usuarios y entidades de seguridad de servicio, salvo que solo se pueden usar los grupos que admiten la asignación de roles. En Azure Portal, solo se muestran los grupos a los que se pueden asignar roles.

  1. Inicie sesión en Azure Portal o en el centro de administración de Azure AD.

  2. Seleccione los roles de Azure Active Directory>y los administradores y, después, seleccione el rol que desee asignar.

  3. En la página del nombre de rol, seleccione >Agregar asignación.

    Agregación de la nueva asignación de roles

  4. Seleccione el grupo. Solo se muestran los grupos a los que se pueden asignar roles de Azure AD.

    Solo se muestran los grupos con los que se puede realizar una nueva asignación de roles.

  5. Seleccione Agregar.

Para obtener más información sobre la asignación de permisos de roles, consulte Asignar roles de administrador y no administrador a los usuarios.

PowerShell

Creación de un grupo al que se pueda asignar un rol

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Obtención de la definición de roles para el rol que quiera asignar

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Crear una asignación de rol

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Creación de un grupo al que se pueda asignar un rol de Azure AD

Use Create group API para crear un grupo.

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Obtención de la definición de rol

Use List unifiedRoleDefinitions API para obtener una definición de roles.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Creación de la asignación de roles

Use Create unifiedRoleAssignment API para asignar roles.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object Id of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Pasos siguientes