Azure AD szerepkörök hozzárendelése csoportokhoz

  • Cikk

A szerepkörkezelés egyszerűbbé tétele érdekében egyéni szerepkörök helyett Azure AD szerepköröket rendelhet hozzá egy csoporthoz. Ez a cikk azt ismerteti, hogyan rendelhet hozzá Azure AD szerepköröket szerepkörhöz hozzárendelhető csoportokhoz a Azure Portal, a PowerShell vagy a Microsoft Graph API használatával.

Előfeltételek

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Azure Portal

Egy Azure AD szerepkör csoporthoz rendelése hasonló a felhasználók és szolgáltatásnevek hozzárendeléséhez, azzal a kivételrel, hogy csak szerepkör-hozzárendeléssel rendelkező csoportok használhatók.

Tipp

Ezek a lépések Prémium P1 szintű Azure AD licenccel rendelkező ügyfelekre vonatkoznak. Ha Prémium P2 szintű Azure AD licenccel rendelkezik a bérlőben, kövesse a Azure AD szerepkörök hozzárendelése a Privileged Identity Management-ben című témakör lépéseit.

  1. Jelentkezzen be a Azure Portal vagy Microsoft Entra felügyeleti központba.

  2. Válassza az Azure ActiveDirectory-szerepkörök> és -rendszergazdák lehetőséget az összes elérhető szerepkör listájának megtekintéséhez.

    Képernyőkép az Azure Active Directory Szerepkörök és rendszergazdák lapjáról.

  3. Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne vegyen fel pipát a szerepkör mellé.

    A szerepkör kiválasztását bemutató képernyőkép.

  4. Válassza a Hozzárendelések hozzáadása lehetőséget.

    Ha az alábbi képernyőképtől eltérőt lát, előfordulhat, hogy Prémium P2 szintű Azure AD. További információ: Azure AD szerepkörök hozzárendelése Privileged Identity Management.

    Képernyőkép a Hozzárendelések hozzáadása panelről a szerepkör felhasználókhoz vagy csoportokhoz való hozzárendeléséhez.

  5. Jelölje ki a szerepkörhöz hozzárendelni kívánt csoportot. Csak a szerepkörhöz hozzárendelhető csoportok jelennek meg.

    Ha a csoport nem szerepel a listában, létre kell hoznia egy szerepkörhöz hozzárendelhető csoportot. További információ: Szerepkörhöz hozzárendelhető csoport létrehozása az Azure Active Directoryban.

  6. Válassza a Hozzáadás lehetőséget a szerepkör csoporthoz való hozzárendeléséhez.

PowerShell

Szerepkörhöz hozzárendelhető csoport létrehozása

A New-MgGroup paranccsal hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

A hozzárendelni kívánt szerepkördefiníció lekérése

A Get-MgRoleManagementDirectoryRoleDefinition paranccsal kérje le a szerepkördefiníciót.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Szerepkör-hozzárendelés létrehozása

A szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Szerepkörhöz hozzárendelhető csoport létrehozása

A Csoport létrehozása API használatával hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

Kérés

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Válasz

HTTP/1.1 201 Created

A hozzárendelni kívánt szerepkördefiníció lekérése

A List unifiedRoleDefinitions API használatával lekérhet egy szerepkördefiníciót.

Kérés

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Válasz

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

A szerepkör-hozzárendelés létrehozása

A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.

Kérés

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Válasz

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Következő lépések