Szerepkörhöz hozzárendelhető csoport létrehozása az Azure Active Directoryban

A Prémium P1 szintű Azure AD vagy a P2 használatával szerepkörhöz hozzárendelhető csoportokat hozhat létre, és Azure AD szerepköröket rendelhet ezekhez a csoportokhoz. Új szerepkörhöz hozzárendelhető csoportot úgy hozhat létre, hogy Azure AD szerepköröket Igen értékre állítja, vagy a isAssignableToRole tulajdonságot a értékre trueállítja. A szerepkörhöz hozzárendelhető csoportok nem lehetnek dinamikus tagsági típusúak, és legfeljebb 500 csoportot hozhat létre egyetlen bérlőben.

Ez a cikk azt ismerteti, hogyan hozhat létre szerepkörhöz hozzárendelhető csoportot a Azure Portal, a PowerShell vagy a Microsoft Graph API használatával.

Előfeltételek

• Prémium szintű Azure AD P1 vagy P2 licenc
• Kiemelt szerepkörű rendszergazda
• Microsoft.Graph modul a Microsoft Graph PowerShell használatakor
• AzureAD-modul Azure AD PowerShell használatakor
• Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Azure Portal

1. Jelentkezzen be az Azure Portal.

2. Válassza az Azure Active Directory>Csoportok>Minden csoport>Új csoport lehetőséget.

3. Az Új csoport lapon adja meg a csoport típusát, nevét és leírását.

4. Állítsa Azure AD szerepkörök hozzárendelhetők a csoporthozigen értékre.

   Ez a beállítás csak a kiemelt szerepkörök rendszergazdái és a globális rendszergazdák számára látható, mivel ez csak két szerepkör, amelyek ezt a beállítást beállíthatják.

   

5. Válassza ki a csoport tagjait és tulajdonosait. Szerepköröket is hozzárendelhet a csoporthoz, de itt nincs szükség szerepkörök hozzárendelésére.

6. Válassza a Létrehozás lehetőséget.

   A következő üzenet jelenik meg:

   Olyan csoport létrehozása, amelyhez Azure AD szerepkörök hozzárendelhetők, egy olyan beállítás, amelyet később nem lehet módosítani. Biztos, hogy hozzáadja ezt a képességet?

   

7. Válassza az Igen lehetőséget.

   A csoport az ön által hozzárendelt szerepkörökkel jön létre.

PowerShell

Microsoft Graph PowerShell

A New-MgGroup paranccsal hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Azure AD PowerShell

A New-AzureADMSGroup paranccsal hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Az ilyen típusú csoportok esetében mindig hamis lesz, isPublic és isSecurityEnabled mindig igaz lesz.

Egy csoport felhasználóinak és szolgáltatásneveinek másolása szerepkörhöz hozzárendelhető csoportba

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

A Csoport létrehozása API használatával hozzon létre egy szerepkörhöz hozzárendelhető csoportot.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "securityEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "visibility" : "Private"
}

Az ilyen típusú csoportok esetében mindig hamis lesz, isPublic és isSecurityEnabled mindig igaz lesz.

Következő lépések

• Azure AD szerepkörök hozzárendelése csoportokhoz
• Azure AD-csoportok használata a szerepkör-hozzárendelések kezeléséhez
• Csoportokhoz rendelt Azure AD szerepkörök hibaelhárítása