Bagikan melalui


Membuat grup yang dapat ditetapkan peran di Microsoft Entra ID

Dengan Microsoft Entra ID P1 atau P2, Anda dapat membuat grup yang dapat ditetapkan peran dan menetapkan peran Microsoft Entra ke grup ini. Anda membuat grup baru yang dapat ditetapkan peran dengan mengatur peran Microsoft Entra dapat ditetapkan ke grup ke Ya atau dengan mengatur properti yang isAssignableToRole diatur ke true. Grup yang dapat ditetapkan peran tidak dapat menjadi bagian dari jenis grup keanggotaan dinamis. Di Microsoft Entra, satu penyewa dapat memiliki maksimum 500 grup yang dapat ditetapkan peran.

Artikel ini menjelaskan cara membuat grup yang dapat ditetapkan peran menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph API.

Prasyarat

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Pusat admin Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri ke Grup>Identitas>Semua grup.

  3. Pilih Grup baru.

  4. Pada halaman Grup Baru, berikan jenis, nama, dan deskripsi grup.

  5. Atur peran Microsoft Entra dapat ditetapkan ke grup ke Ya.

    Opsi ini terlihat oleh Administrator Peran Istimewa karena peran ini dapat mengatur opsi ini.

    Cuplikan layar opsi untuk membuat grup menjadi grup yang dapat ditetapkan peran.

  6. Pilih anggota dan pemilik untuk grup. Anda juga memiliki opsi untuk menetapkan peran ke grup, tetapi menetapkan peran tidak diperlukan di sini.

  7. Pilih Buat.

    Anda melihat pesan berikut:

    Membuat grup tempat peran Microsoft Entra dapat ditetapkan adalah pengaturan yang tidak dapat diubah nanti. Anda yakin ingin menambahkan kapabilitas ini?

    Cuplikan layar pesan konfirmasi saat membuat grup yang dapat ditetapkan peran.

  8. Pilih Ya.

    Grup dibuat dengan peran apa pun yang mungkin telah Anda tetapkan.

PowerShell

Gunakan perintah New-MgGroup untuk membuat grup yang dapat ditetapkan peran.

Contoh ini menunjukkan cara membuat grup keamanan yang dapat ditetapkan peran.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Contoh ini menunjukkan cara membuat grup yang dapat ditetapkan peran Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

API Microsoft Graph

Gunakan BUAT API grup untuk membuat grup yang dapat ditetapkan peran.

Contoh ini menunjukkan cara membuat grup keamanan yang dapat ditetapkan peran.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Contoh ini menunjukkan cara membuat grup yang dapat ditetapkan peran Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Untuk jenis kelompok ini, isPublic akan selalu palsu dan isSecurityEnabled akan selalu benar.

Langkah berikutnya