Membuat grup yang dapat ditetapkan peran di Microsoft Entra ID
Dengan Microsoft Entra ID P1 atau P2, Anda dapat membuat grup yang dapat ditetapkan peran dan menetapkan peran Microsoft Entra ke grup ini. Anda membuat grup baru yang dapat ditetapkan peran dengan mengatur peran Microsoft Entra dapat ditetapkan ke grup ke Ya atau dengan mengatur properti yang isAssignableToRole diatur ke true. Grup yang dapat ditetapkan peran tidak boleh berjenis keanggotaan dinamis dan Anda dapat membuat maksimal 500 grup dalam satu penyewa.
Artikel ini menjelaskan cara membuat grup yang dapat ditetapkan peran menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph API.
Prasyarat
- Lisensi Microsoft Entra ID P1 atau P2
- Administrator Peran Privileged
- Modul Microsoft.Graph saat menggunakan Microsoft Graph PowerShell
- Modul Azure ACTIVE Directory PowerShell saat menggunakan Azure AD PowerShell
- Persetujuan admin saat menggunakan Penjelajah Graph untuk Microsoft Graph API
Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.
Pusat admin Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri ke Grup>Identitas>Semua grup.
Pilih Grup baru.
Pada halaman Grup Baru, berikan jenis, nama, dan deskripsi grup.
Atur peran Microsoft Entra dapat ditetapkan ke grup ke Ya.
Opsi ini hanya dapat dilihat oleh Administrator Peran Istimewa dan Administrator Global karena ini hanya dua peran yang dapat mengatur opsi ini.
Pilih anggota dan pemilik untuk grup. Anda juga memiliki opsi untuk menetapkan peran ke grup, tetapi menetapkan peran tidak diperlukan di sini.
Pilih Buat.
Anda melihat pesan berikut:
Membuat grup tempat peran Microsoft Entra dapat ditetapkan adalah pengaturan yang tidak dapat diubah nanti. Anda yakin ingin menambahkan kapabilitas ini?
Pilih Ya.
Grup dibuat dengan peran apa pun yang mungkin telah Anda tetapkan.
PowerShell
Gunakan perintah New-MgGroup untuk membuat grup yang dapat ditetapkan peran.
Contoh ini menunjukkan cara membuat grup keamanan yang dapat ditetapkan peran.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Contoh ini menunjukkan cara membuat grup yang dapat ditetapkan peran Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
API Microsoft Graph
Gunakan BUAT API grup untuk membuat grup yang dapat ditetapkan peran.
Contoh ini menunjukkan cara membuat grup keamanan yang dapat ditetapkan peran.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Contoh ini menunjukkan cara membuat grup yang dapat ditetapkan peran Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Untuk jenis kelompok ini, isPublic akan selalu palsu dan isSecurityEnabled akan selalu benar.