Creación de un grupo asignable a roles en Microsoft Entra ID
Con Microsoft Entra ID P1 o P2, puede crear grupos asignables a roles y asignar roles de Microsoft Entra a estos grupos. Para crear un nuevo grupo de asignación de roles, establezca Roles de Azure AD se puede asignar al grupo en Sí o estableciendo la propiedad isAssignableToRole
establecida en true
. Un grupo asignable por roles no puede ser de tipo de pertenencia dinámica y puede crear un máximo de 500 grupos en un único inquilino.
En este artículo, se describe cómo crear un grupo asignable por roles utilizando el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph API.
Requisitos previos
- Una licencia de Microsoft Entra ID P1 o P2
- Administrador de roles con privilegios
- Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
- Módulo de PowerShell de Azure AD al usar Azure AD PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Centro de administración de Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya aIdentidad>Grupos>Todos los grupos.
Seleccione Nuevo grupo.
En la página Nuevo grupo, indique el tipo de grupo, el nombre y la descripción.
Establezca los roles de Microsoft Entra se pueden asignar a un grupo en Sí.
Esta opción pueden verla los administradores con roles con privilegios, ya que este rol puede establecer esta opción.
Seleccione los miembros y propietarios del grupo. También tiene la opción de asignar roles al grupo, pero no es necesario asignar un rol aquí.
Seleccione Crear.
Aparecerá el mensaje siguiente:
La creación de un grupo al que se pueden asignar roles de Microsoft Entra es una configuración que no se puede cambiar más adelante. ¿Está seguro de que desea agregar esta capacidad?
Seleccione Sí.
El grupo se crea con los roles que le haya asignado.
PowerShell
Use el comando New-MgGroup para crear un grupo asignación de roles.
En este ejemplo, se muestra cómo crear un grupo asignable a roles de seguridad.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
En este ejemplo se muestra cómo crear un grupo asignable a roles de Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
Use la API Crear grupo para crear un grupo asignación de roles.
En este ejemplo, se muestra cómo crear un grupo asignable a roles de seguridad.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
En este ejemplo se muestra cómo crear un grupo asignable a roles de Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Para este tipo de grupo, isPublic
siempre será False e isSecurityEnabled
siempre será True.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta:Enviar y ver comentarios de