Creación de un grupo asignable a roles en Microsoft Entra ID

En este artículo se describe cómo crear un grupo asignable de roles mediante el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API.

Con Microsoft Entra ID P1 o P2, puedes crear grupos asignables a roles y asignar roles de Microsoft Entra a estos grupos. Para crear un nuevo grupo de asignación de roles, establece Roles de Microsoft Entra se puede asignar al grupo en Sí o establece la propiedad isAssignableToRole establecida en true. Un grupo asignable a roles no puede formar parte de un tipo de grupo de pertenencia dinámica. En Microsoft Entra, un único inquilino puede tener un máximo de 500 grupos asignables a roles.

Requisitos previos

• Una licencia de Microsoft Entra ID P1 o P2
• Administrador de roles con privilegios
• Módulo de Microsoft Graph para PowerShell al usar PowerShell
• Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.

Creación de un grupo al que se pueden asignar roles

Centro de administración

1. Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de roles con privilegios.

2. Ve aIdentidad>Grupos>Todos los grupos.

3. Selecciona Nuevo grupo.

4. En la página Nuevo grupo, proporcione el tipo de grupo, el nombre y la descripción.

5. Establece los roles de Microsoft Entra se pueden asignar a un grupo en Sí.

   Esta opción pueden verla los administradores con roles con privilegios, ya que este rol puede establecer esta opción.

   

6. Selecciona los miembros y propietarios del grupo. También tienes la opción de asignar roles al grupo, pero no es necesario asignar un rol aquí.

7. Selecciona Crear.

   Aparecerá el mensaje siguiente:

   La creación de un grupo al que se pueden asignar roles de Microsoft Entra es una configuración que no se puede cambiar más adelante. ¿Estás seguro de que deseas agregar esta capacidad?

   

8. Selecciona Sí.

   El grupo se crea con los roles que le hayas asignado.

PowerShell

Usa el comando New-MgGroup para crear un grupo asignación de roles.

En este ejemplo, se muestra cómo crear un grupo asignable a roles de seguridad.

PowerShell

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

En este ejemplo se muestra cómo crear un grupo asignable a roles de Microsoft 365.

PowerShell

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

Usa la API Crear grupo para crear un grupo asignación de roles.

En este ejemplo, se muestra cómo crear un grupo asignable a roles de seguridad.

HTTP

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Respuesta

HTTP

HTTP/1.1 201 Created

En este ejemplo se muestra cómo crear un grupo asignable a roles de Microsoft 365.

HTTP

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Para este tipo de grupo, isPublic siempre es false y isSecurityEnabled siempre es true.

Pasos siguientes

• Asignación de roles de Microsoft Entra
• Uso de grupos de Microsoft Entra para administrar asignaciones de roles
• Solución de problemas de roles de Microsoft Entra asignados a grupos