Microsoft Entra-szerepkörök hozzárendelése csoportokhoz

  • Cikk

A szerepkörkezelés egyszerűsítése érdekében a Microsoft Entra-szerepköröket egyének helyett egy csoporthoz rendelheti. Ez a cikk bemutatja, hogyan rendelhet Microsoft Entra-szerepköröket szerepkör-hozzárendelhető csoportokhoz a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph API használatával.

Előfeltételek

  • Microsoft Entra ID P1 licenc
  • Privileged Role Rendszergazda istrator szerepkör
  • Microsoft.Graph modul a Microsoft Graph PowerShell használatakor
  • Azure AD PowerShell-modul az Azure AD PowerShell használatakor
  • Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Microsoft Entra felügyeleti központ

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Entra-szerepkör csoportokhoz való hozzárendelése hasonló a felhasználók és a szolgáltatásnevek hozzárendeléséhez, kivéve, hogy csak szerepkör-hozzárendeléssel rendelkező csoportok használhatók.

Tipp.

Ezek a lépések a Microsoft Entra ID P1 licenccel rendelkező ügyfelekre vonatkoznak. Ha Microsoft Entra ID P2-licenccel rendelkezik a bérlőjében, kövesse a Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben című cikkben leírt lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne adjon hozzá pipát a szerepkörhöz.

    Screenshot that shows selecting a role.

  4. Válassza a Hozzárendelések hozzáadása lehetőséget.

    Ha a következő képernyőképtől eltérőt lát, előfordulhat, hogy p2 Microsoft Entra-azonosítóval rendelkezik. További információ: Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Jelölje ki a szerepkörhöz hozzárendelni kívánt csoportot. Csak a szerepkörhöz hozzárendelhető csoportok jelennek meg.

    Ha a csoport nem szerepel a listán, létre kell hoznia egy szerepkörhöz hozzárendelhető csoportot. További információ: Szerepkörhöz rendelhető csoport létrehozása a Microsoft Entra-azonosítóban.

  6. Válassza a Hozzáadás lehetőséget a szerepkör csoporthoz való hozzárendeléséhez.

PowerShell

Szerepkörhöz hozzárendelhető csoport létrehozása

A New-MgGroup paranccsal hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

A hozzárendelni kívánt szerepkördefiníció lekérése

A Get-MgRoleManagementDirectoryRoleDefinition paranccsal szerezze be a szerepkördefiníciót.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Szerepkör-hozzárendelés létrehozása

A szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Szerepkörhöz hozzárendelhető csoport létrehozása

A Csoport létrehozása API használatával hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

Kérelem

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Válasz

HTTP/1.1 201 Created

A hozzárendelni kívánt szerepkördefiníció lekérése

A List unifiedRoleDefinitions API használatával kérje le a szerepkördefiníciót.

Kérelem

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Válasz

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

A szerepkör-hozzárendelés létrehozása

A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.

Kérelem

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Válasz

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Következő lépések