Assegnare i ruoli di Microsoft Entra ai gruppi

Per semplificare la gestione dei ruoli, è possibile assegnare ruoli di Microsoft Entra a un gruppo anziché a utenti singoli. Questo articolo descrive come assegnare ruoli di Microsoft Entra a gruppi assegnabili a ruoli usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API Microsoft Graph.

Prerequisiti

• Licenza microsoft Entra ID P1
• Ruolo con privilegi Amministrazione istrator
• Modulo Microsoft.Graph quando si usa Microsoft Graph PowerShell
• Modulo di Azure AD PowerShell quando si usa Azure AD PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

L'assegnazione di un ruolo Microsoft Entra a un gruppo è simile all'assegnazione di utenti ed entità servizio, ad eccezione del fatto che è possibile usare solo i gruppi assegnabili a ruoli.

Suggerimento

Questi passaggi si applicano ai clienti che dispongono di una licenza Microsoft Entra ID P1. Se si dispone di una licenza Microsoft Entra ID P2 nel tenant, è consigliabile seguire invece i passaggi descritti in Assegnare i ruoli di Microsoft Entra in Privileged Identity Management.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

   

3. Selezionare il nome del ruolo per aprire il ruolo. Non aggiungere un segno di spunta accanto al ruolo.

   

4. Selezionare Aggiungi assegnazioni.

   Se viene visualizzato qualcosa di diverso dallo screenshot seguente, potrebbe essere presente Microsoft Entra ID P2. Per altre informazioni, vedere Assegnare i ruoli di Microsoft Entra in Privileged Identity Management.

   

5. Selezionare il gruppo da assegnare a questo ruolo. Vengono visualizzati solo i gruppi assegnabili a ruoli.

   Se il gruppo non è elencato, sarà necessario creare un gruppo assegnabile a ruoli. Per altre informazioni, vedere Creare un gruppo assegnabile di ruoli in Microsoft Entra ID.

6. Selezionare Aggiungi per assegnare il ruolo al gruppo.

PowerShell

Microsoft Graph PowerShell

Creare un gruppo assegnabile a un ruolo

Usare il comando New-MgGroup per creare un gruppo assegnabile a ruoli.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Ottenere la definizione del ruolo da assegnare

Usare il comando Get-MgRoleManagementDirectoryRoleDefinition per ottenere una definizione di ruolo.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Creare un'assegnazione di ruolo

Usare il comando New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Azure AD PowerShell

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Creare un gruppo assegnabile a un ruolo

Usare il comando New-AzureADMSGroup per creare un gruppo assegnabile a ruoli.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Ottenere la definizione del ruolo da assegnare

Usare il comando Get-AzureADMSRoleDefinition per ottenere una definizione di ruolo.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Creare un'assegnazione di ruolo

Usare il comando New-AzureADMSRoleAssignment per assegnare il ruolo.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

API di Microsoft Graph

Creare un gruppo assegnabile a un ruolo

Usare l'API Crea gruppo per creare un gruppo assegnabile a ruoli.

Richiedi

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Ottenere la definizione del ruolo da assegnare

Usare l'API List unifiedRoleDefinitions per ottenere una definizione di ruolo.

Richiedi

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Creare l'assegnazione di ruolo

Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.

Richiedi

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Passaggi successivi

• Utilizzare i gruppi Microsoft Entra per gestire le assegnazioni di ruolo
• Risolvere i problemi dei ruoli di Microsoft Entra assegnati ai gruppi