Créer un groupe attribuable à des rôles dans Microsoft Entra ID

Article
11/30/2023

Avec Microsoft Entra ID P1 ou P2, vous pouvez créer des groupes attribuables à des rôles et attribuer des rôles Microsoft Entra à ces groupes. Vous créez un nouveau groupe attribuable à des rôles en définissant les rôles Microsoft Entra pouvant être attribués au groupe sur Oui ou en définissant la propriété isAssignableToRole sur true. Un groupe pouvant faire l’objet d’une attribution de rôle ne peut pas avoir un type d’appartenance dynamique et vous pouvez créer au maximum 500 groupes dans un même locataire.

Cet article explique comment créer un groupe assignable à un rôle via le centre d’administration Microsoft Entra, PowerShell ou l’API Microsoft Graph.

Prérequis

Licence Microsoft Entra ID P1 ou P2
Administrateur de rôle privilégié
Module Microsoft.Graph en tirant parti de Microsoft Graph PowerShell
Module Azure AD PowerShell lors de l’utilisation d’Azure AD PowerShell
Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Groupes>Tous les groupes.
Cliquez sur Nouveau groupe.
Sur la page Nouveau groupe, spécifiez un type, un nom et une description pour le groupe.
Définissez Les rôles Microsoft Entra peuvent être attribués au groupe sur Oui.

Seuls les administrateurs à rôle privilégié et les administrateurs généraux peuvent voir cette option, car ce sont les deux seuls rôles à pouvoir la définir.
Sélectionnez les membres et les propriétaires du groupe. Vous avez également la possibilité d’attribuer des rôles au groupe. Dans le cas présent, ce n’est pas nécessaire.
Sélectionnez Create (Créer).

Le message suivant s'affiche :

La création d'un groupe auquel des rôles Microsoft Entra peuvent être attribués est un paramètre qui ne peut pas être modifié ultérieurement. Voulez-vous vraiment ajouter cette fonctionnalité ?
Cliquez sur Oui.

Le groupe est créé avec tous les rôles que vous lui avez attribués.

Utilisez la commande New-MgGroup pour créer un groupe pouvant faire l’objet d’une attribution de rôle.

Cet exemple montre comment créer un groupe pouvant se voir attribuer des rôles.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Cet exemple montre comment créer un groupe pouvant se voir attribuer Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Utilisez la commande New-AzureADMSGroup pour créer un groupe pouvant faire l’objet d’une attribution de rôle.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Pour ce type de groupe, isPublic est toujours false et isSecurityEnabled est toujours true.

Copier les utilisateurs et les principaux de service d’un groupe dans un groupe avec attribution de rôle

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

API Microsoft Graph

Utilisez l’API Créer un groupe pour créer un groupe pouvant faire l’objet d’une attribution de rôle.