Szerepkörhöz hozzárendelhető csoport létrehozása a Microsoft Entra ID-ben

Cikk
12/11/2023

A P1 vagy P2 Microsoft Entra-azonosítóval szerepkör-hozzárendelhető csoportokat hozhat létre, és Microsoft Entra-szerepköröket rendelhet ezekhez a csoportokhoz. Új szerepkörhöz rendelhető csoportot úgy hozhat létre, hogy a Microsoft Entra-szerepköröket Igen értékre állítja, vagy a isAssignableToRole tulajdonságot a következőre trueállítja. A szerepkör-hozzárendelhető csoportok nem lehetnek dinamikus tagságtípusúak, és egyetlen bérlőben legfeljebb 500 csoportot hozhat létre.

Ez a cikk bemutatja, hogyan hozhat létre szerepkörhöz rendelhető csoportot a Microsoft Entra felügyeleti központ, a PowerShell vagy a Microsoft Graph API használatával.

Előfeltételek

Microsoft Entra ID P1 or P2 license
Privileged Role Administrator
Microsoft.Graph modul a Microsoft Graph PowerShell használatakor
Azure AD PowerShell-modul az Azure AD PowerShell használatakor
Admin consent when using Graph explorer for Microsoft Graph API

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Microsoft Entra Felügyeleti központ

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Tallózással keresse meg a Minden csoport identitáscsoportot>>.
Válassza az Új csoportot.
Az Új csoport lapon adja meg a csoport típusát, nevét és leírását.
A Microsoft Entra-szerepkörök beállítása a csoporthoz igen értékre rendelhető.

Ez a beállítás csak a Privileged Role Rendszergazda istrators és a Global Rendszergazda istrators számára érhető el, mivel ez csak két szerepkör, amely beállíthatja ezt a beállítást.
Válassza ki a csoport tagjait és tulajdonosait. Szerepköröket is hozzárendelhet a csoporthoz, de itt nincs szükség szerepkörök hozzárendelésére.
Select Create.

A következő üzenet jelenik meg:

A Microsoft Entra-szerepkörökhöz hozzárendelhető csoport létrehozása olyan beállítás, amelyet később nem lehet módosítani. Biztos, hogy hozzá szeretné adni ezt a képességet?
Válassza az Igen lehetőséget.

A csoport olyan szerepkörökkel jön létre, amelyekhez esetleg hozzárendelt szerepkörök vannak.

A New-MgGroup paranccsal hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

Ez a példa bemutatja, hogyan hozhat létre biztonsági szerepkörhöz hozzárendelhető csoportot.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Ez a példa bemutatja, hogyan hozhat létre Microsoft 365 szerepkörhöz hozzárendelhető csoportot.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

A New-AzureADMSGroup paranccsal hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Az ilyen típusú csoportok mindig hamisak lesznek, isPublic és isSecurityEnabled mindig igazak lesznek.

Egy csoport felhasználóinak és szolgáltatásneveinek másolása szerepkörhöz hozzárendelhető csoportba

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

A Csoport létrehozása API használatával hozzon létre egy szerepkörhöz hozzárendelhető csoportot.