Microsoft Entra ID에서 역할 할당 가능 그룹 만들기

아티클
11/30/2023

Microsoft Entra ID P1 또는 P2를 사용하여 역할 할당 가능 그룹을 만들고 해당 그룹에 Microsoft Entra 역할을 할당할 수 있습니다. Microsoft Entra 역할을 그룹에 할당할 수 있음을 예로 설정하거나 isAssignableToRole 속성 집합을 true로 설정하여 새 역할 할당 가능 그룹을 만듭니다. 역할 할당 가능 그룹은 동적 멤버십 형식일 수 없으며 단일 테넌트에 최대 500개의 그룹을 만들 수 있습니다.

이 문서에서는 Microsoft Entra 관리 센터, PowerShell 또는 Microsoft Graph API를 사용하여 역할 할당 가능 그룹을 만드는 방법을 설명합니다.

필수 조건

Microsoft Entra ID P1 또는 P2 라이선스
권한 있는 역할 관리자
Microsoft Graph PowerShell 사용 시 Microsoft.Graph 모듈
Azure AD PowerShell을 사용할 때 Azure AD PowerShell 모듈
Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

Microsoft Entra 관리 센터

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>그룹>모든 그룹으로 이동합니다.
+ 새 그룹을 선택합니다.
새 그룹 페이지에서 그룹 형식, 이름 및 설명을 입력합니다.
Microsoft Entra 역할을 그룹에 할당할 수 있음을 예로 설정합니다.

이 옵션은 권한 있는 역할 관리자와 전역 관리자에게만 표시됩니다. 왜냐하면 권한 있는 역할 관리자와 전역 관리자는 이 옵션을 설정할 수 있는 역할이 두 개뿐이기 때문입니다.
그룹의 멤버 및 소유자를 선택합니다. 그룹에 역할을 할당하는 옵션도 있지만, 여기에서는 역할을 할당할 필요가 없습니다.
만들기를 실행합니다.

다음 메시지가 표시됩니다.

Microsoft Entra 역할을 할당할 수 있는 그룹을 만드는 것은 나중에 변경할 수 없는 설정입니다. 이 기능을 추가하려고 하나요?
예를 선택합니다.

사용자가 할당했을 수 있는 모든 역할로 그룹이 만들어집니다.

역할 할당 가능 그룹을 만들려면 New-MgGroup 명령을 사용합니다.

이 예제에서는 보안 역할 할당 가능 그룹을 만드는 방법을 보여줍니다.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

이 예제에서는 Microsoft 365 역할 할당 가능 그룹을 만드는 방법을 보여줍니다.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

역할 할당 가능 그룹을 만들려면 New-AzureADMSGroup 명령을 사용합니다.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

이 형식의 그룹에 대해는 isPublic이 항상 false가 되며 isSecurityEnabled는 항상 true입니다.

한 그룹의 사용자 및 서비스 사용자를 역할 할당 가능 그룹에 복사합니다.

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

역할을 할당할 수 있는 그룹을 만들려면 그룹 만들기 API를 사용합니다.