Microsoft Entra-rollen toewijzen aan groepen

Als u het rolbeheer wilt vereenvoudigen, kunt u Microsoft Entra-rollen toewijzen aan een groep in plaats van personen. In dit artikel wordt beschreven hoe u Microsoft Entra-rollen toewijst aan rollentoewijsbare groepen met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph API.

Vereisten

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

Het toewijzen van een Microsoft Entra-rol aan een groep is vergelijkbaar met het toewijzen van gebruikers en service-principals, behalve dat alleen groepen die rollen kunnen worden toegewezen, kunnen worden gebruikt.

Tip

Deze stappen zijn van toepassing op klanten met een Microsoft Entra ID P1-licentie. Als u een Microsoft Entra ID P2-licentie in uw tenant hebt, moet u in plaats daarvan de stappen volgen in Microsoft Entra-rollen toewijzen in Privileged Identity Management.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Selecteer de naam van de rol om de rol te openen. Voeg geen vinkje toe naast de rol.

    Screenshot that shows selecting a role.

  4. Selecteer Toewijzingen toevoegen.

    Als u iets anders ziet dan de volgende schermafbeelding, hebt u mogelijk Microsoft Entra ID P2. Zie Microsoft Entra-rollen toewijzen in Privileged Identity Management voor meer informatie.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Selecteer de groep die u aan deze rol wilt toewijzen. Alleen groepen waaraan rollen kunnen worden toegewezen, worden weergegeven.

    Als de groep niet wordt vermeld, moet u een roltoewijzingsgroep maken. Zie Een roltoewijzingsgroep maken in Microsoft Entra-id voor meer informatie.

  6. Selecteer Toevoegen om de rol toe te wijzen aan de groep.

Powershell

Een roltoewijzbare groep maken

Gebruik de opdracht New-MgGroup om een roltoewijzingsgroep te maken.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

De roldefinitie ophalen die u wilt toewijzen

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleDefinition om een roldefinitie op te halen.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Een roltoewijzing maken

Gebruik de opdracht New-MgRoleManagementDirectoryRoleAssignment om de rol toe te wijzen.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Een roltoewijzbare groep maken

Gebruik de GROEPS-API maken om een roltoewijzingsgroep te maken.

Aanvragen

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

De roldefinitie ophalen die u wilt toewijzen

Gebruik de List unifiedRoleDefinitions-API om een roldefinitie op te halen.

Aanvragen

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

De roltoewijzing maken

Gebruik de API Create unifiedRoleAssignment om de rol toe te wijzen.

Aanvragen

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Volgende stappen