Microsoft Entra ID에서 역할 할당 가능 그룹 만들기

Microsoft Entra ID P1 또는 P2를 사용하여 역할 할당 가능 그룹을 만들고 해당 그룹에 Microsoft Entra 역할을 할당할 수 있습니다. Microsoft Entra 역할을 그룹에 할당할 수 있음을 예로 설정하거나 isAssignableToRole 속성 집합을 true로 설정하여 새 역할 할당 가능 그룹을 만듭니다. 역할 할당 가능 그룹은 동적 멤버 자격 그룹 유형의 일부일 수 없습니다. Microsoft Entra에서 단일 테넌트는 최대 500개의 역할 할당 가능 그룹을 가질 수 있습니다.

이 문서에서는 Microsoft Entra 관리 센터, PowerShell 또는 Microsoft Graph API를 사용하여 역할 할당 가능 그룹을 만드는 방법을 설명합니다.

필수 조건

• Microsoft Entra ID P1 또는 P2 라이선스
• 권한 있는 역할 관리자
• Microsoft Graph PowerShell 사용 시 Microsoft.Graph 모듈
• Azure AD PowerShell을 사용할 때 Azure AD PowerShell 모듈
• Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

Microsoft Entra 관리 센터

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

1. 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>그룹>모든 그룹으로 이동합니다.

3. + 새 그룹을 선택합니다.

4. 새 그룹 페이지에서 그룹 형식, 이름 및 설명을 입력합니다.

5. Microsoft Entra 역할을 그룹에 할당할 수 있음을 예로 설정합니다.

   이 역할은 이 옵션을 설정할 수 있으므로 권한 있는 역할 관리자에게 이 옵션이 표시됩니다.

   

6. 그룹의 멤버 및 소유자를 선택합니다. 그룹에 역할을 할당하는 옵션도 있지만, 여기에서는 역할을 할당할 필요가 없습니다.

7. 만들기를 실행합니다.

   다음 메시지가 표시됩니다.

   Microsoft Entra 역할을 할당할 수 있는 그룹을 만드는 것은 나중에 변경할 수 없는 설정입니다. 이 기능을 추가하려고 하나요?

   

8. 예를 선택합니다.

   사용자가 할당했을 수 있는 모든 역할로 그룹이 만들어집니다.

PowerShell

Microsoft Graph PowerShell

역할 할당 가능 그룹을 만들려면 New-MgGroup 명령을 사용합니다.

이 예제에서는 보안 역할 할당 가능 그룹을 만드는 방법을 보여줍니다.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

이 예제에서는 Microsoft 365 역할 할당 가능 그룹을 만드는 방법을 보여줍니다.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

역할 할당 가능 그룹을 만들려면 New-AzureADMSGroup 명령을 사용합니다.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

이 형식의 그룹에 대해는 isPublic이 항상 false가 되며 isSecurityEnabled는 항상 true입니다.

한 그룹의 사용자 및 서비스 사용자를 역할 할당 가능 그룹에 복사합니다.

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

역할을 할당할 수 있는 그룹을 만들려면 그룹 만들기 API를 사용합니다.

이 예제에서는 보안 역할 할당 가능 그룹을 만드는 방법을 보여줍니다.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

이 예제에서는 Microsoft 365 역할 할당 가능 그룹을 만드는 방법을 보여줍니다.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

이 형식의 그룹에 대해는 isPublic이 항상 false가 되며 isSecurityEnabled는 항상 true입니다.

다음 단계

• 그룹에 Microsoft Entra 역할 할당
• Microsoft Entra 그룹을 사용하여 역할 할당 관리
• 그룹에 할당된 Microsoft Entra 역할 문제 해결