Compartir vía


Creación de un grupo asignable a roles en Microsoft Entra ID

Con Microsoft Entra ID P1 o P2, puedes crear grupos asignables a roles y asignar roles de Microsoft Entra a estos grupos. Para crear un nuevo grupo de asignación de roles, establece Roles de Microsoft Entra se puede asignar al grupo en o establece la propiedad isAssignableToRole establecida en true. Un grupo asignable a roles no puede formar parte de un tipo de grupo de pertenencia dinámica. En Microsoft Entra, un único inquilino puede tener un máximo de 500 grupos asignables a roles.

En este artículo, se describe cómo crear un grupo asignable por roles utilizando el Centro de administración Microsoft Entra, PowerShell o API Microsoft Graph.

Requisitos previos

Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Ve aIdentidad>Grupos>Todos los grupos.

  3. Selecciona Nuevo grupo.

  4. En la página Nuevo grupo, indica el tipo de grupo, el nombre y la descripción.

  5. Establece los roles de Microsoft Entra se pueden asignar a un grupo en .

    Esta opción pueden verla los administradores con roles con privilegios, ya que este rol puede establecer esta opción.

    Captura de pantalla de la opción para hacer del grupo un grupo asignable por roles.

  6. Selecciona los miembros y propietarios del grupo. También tienes la opción de asignar roles al grupo, pero no es necesario asignar un rol aquí.

  7. Selecciona Crear.

    Aparecerá el mensaje siguiente:

    La creación de un grupo al que se pueden asignar roles de Microsoft Entra es una configuración que no se puede cambiar más adelante. ¿Estás seguro de que deseas agregar esta capacidad?

    Captura de pantalla del mensaje de confirmación al crear un grupo con asignación de roles.

  8. Selecciona .

    El grupo se crea con los roles que le hayas asignado.

PowerShell

Usa el comando New-MgGroup para crear un grupo asignación de roles.

En este ejemplo, se muestra cómo crear un grupo asignable a roles de seguridad.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

En este ejemplo se muestra cómo crear un grupo asignable a roles de Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Microsoft Graph API

Usa la API Crear grupo para crear un grupo asignación de roles.

En este ejemplo, se muestra cómo crear un grupo asignable a roles de seguridad.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

En este ejemplo se muestra cómo crear un grupo asignable a roles de Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Para este tipo de grupo, isPublic siempre será False e isSecurityEnabled siempre será True.

Pasos siguientes