Creación de un grupo al que se pueden asignar roles en Azure Active Directory

Con Azure AD Premium P1 o P2, puede crear grupos asignables a roles y asignar roles de Azure AD a estos grupos. Para crear un nuevo grupo de asignación de roles, establezca Roles de Azure AD se puede asignar al grupo en Sí o estableciendo la isAssignableToRole propiedad establecida en true. Un grupo asignable por roles no puede ser de tipo de pertenencia dinámica y puede crear un máximo de 500 grupos en un único inquilino.

Este artículo describe cómo crear un grupo asignable por roles utilizando el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph API.

Requisitos previos

• Una licencia de Azure AD Premium P1 o P2
• Administrador de roles con privilegios
• Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
• Módulo AzureAD al utilizar Azure AD PowerShell
• Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

2. Vaya aIdentidad>Grupos>Todos los grupos.

3. Seleccione Nuevo grupo.

4. En la página Nuevo grupo, indique el tipo de grupo, el nombre y la descripción.

5. Establezca los roles de Azure AD se pueden asignar a un grupo en Sí.

   Esta opción solo es visible para los administradores con roles privilegiados y los administradores globales, ya que estos son los dos únicos roles que pueden configurar esta opción.

   

6. Seleccione los miembros y propietarios del grupo. También tiene la opción de asignar roles al grupo, pero no es necesario asignar un rol aquí.

7. Seleccione Crear.

   Aparecerá el mensaje siguiente:

   La creación de un grupo al que se pueden asignar roles de Azure AD es una configuración que no se puede cambiar más adelante. ¿Está seguro de que desea agregar esta capacidad?

   

8. Seleccione Sí.

   El grupo se crea con los roles que le haya asignado.

PowerShell

PowerShell de Microsoft Graph

Use el comando New-MgGroup para crear un grupo asignación de roles.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Azure AD PowerShell

Use el comando New-AzureADMSGroup para crear un grupo asignable a roles.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Para este tipo de grupo, isPublic siempre será False e isSecurityEnabled siempre será True.

Copia de los usuarios y las entidades de servicio de un grupo a un grupo al que se pueden asignar roles

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

Use la API Crear grupo para crear un grupo asignación de roles.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "securityEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "visibility" : "Private"
}

Para este tipo de grupo, isPublic siempre será False e isSecurityEnabled siempre será True.

Pasos siguientes

• Asignación de roles de Azure AD a grupos
• Uso de grupos de Azure AD para administrar asignaciones de roles
• Solución de problemas de roles de Azure AD asignados a grupos