Creare un gruppo assegnabile al ruolo in Microsoft Entra ID
Con Microsoft Entra ID P1 o P2, è possibile creare gruppi assegnabili a ruoli e assegnare ruoli Microsoft Entra a questi gruppi. Per creare un nuovo gruppo assegnabile al ruolo, è possibile assegnare ruoli Di Microsoft Entra al gruppo su Sì o impostando la isAssignableToRole proprietà su true. Un gruppo assegnabile a ruoli non può essere di tipo di appartenenza dinamica ed è possibile creare un massimo di 500 gruppi in un singolo tenant.
Questo articolo descrive come creare un gruppo assegnabile di ruoli usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API Microsoft Graph.
Prerequisiti
- Licenza Microsoft Entra ID P1 o P2
- Amministratore dei ruoli con privilegi
- Modulo Microsoft.Graph quando si usa Microsoft Graph PowerShell
- Modulo di Azure AD PowerShell quando si usa Azure AD PowerShell
- Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un ruolo con privilegi Amministrazione istrator.
Passare a Gruppi>di identità>Tutti i gruppi.
Selezionare Nuovo gruppo.
Nella pagina Nuovo gruppo specificare il tipo di gruppo, il nome e la descrizione.
Impostare i ruoli di Microsoft Entra che possono essere assegnati al gruppo su Sì.
Questa opzione è visibile solo ai ruoli con privilegi Amministrazione istrator e agli Amministrazione istrator globali perché questi sono solo due ruoli che possono impostare questa opzione.
Selezionare i membri e i proprietari per il gruppo. È anche possibile assegnare ruoli al gruppo, ma l'assegnazione di un ruolo non è necessaria qui.
Seleziona Crea.
Verrà visualizzato il messaggio seguente:
La creazione di un gruppo a cui è possibile assegnare i ruoli di Microsoft Entra è un'impostazione che non può essere modificata in un secondo momento. Aggiungere questa funzionalità?
Selezionare Sì.
Il gruppo viene creato con tutti i ruoli a cui potrebbe essere stato assegnato.
PowerShell
Usare il comando New-MgGroup per creare un gruppo assegnabile a ruoli.
In questo esempio viene illustrato come creare un gruppo assegnabile al ruolo di sicurezza.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Questo esempio illustra come creare un gruppo assegnabile a ruoli di Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
API di Microsoft Graph
Usare l'API Crea gruppo per creare un gruppo assegnabile a ruoli.
In questo esempio viene illustrato come creare un gruppo assegnabile al ruolo di sicurezza.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Questo esempio illustra come creare un gruppo assegnabile a ruoli di Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Per questo tipo di gruppo, isPublic sarà sempre false e isSecurityEnabled sarà sempre true.