Tworzenie grupy z możliwością przypisywania ról w identyfikatorze Microsoft Entra
Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Możesz utworzyć nową grupę z możliwością przypisania roli, ustawiając role Firmy Microsoft Entra, można przypisać do grupy wartość Tak lub ustawiając isAssignableToRole
właściwość na wartość true
. Grupa z możliwością przypisania ról nie może być typu członkostwa dynamicznego i można utworzyć maksymalnie 500 grup w jednej dzierżawie.
W tym artykule opisano sposób tworzenia grupy możliwej do przypisania ról przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.
Wymagania wstępne
- Licencja Microsoft Entra ID P1 lub P2
- Administrator ról uprzywilejowanych
- Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell
- Moduł programu PowerShell usługi Azure AD podczas korzystania z programu Azure AD PowerShell
- Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Centrum administracyjne firmy Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
Wybierz pozycję Nowa grupa.
Na stronie Nowa grupa podaj typ grupy, nazwę i opis.
Ustaw role Entra firmy Microsoft można przypisać do grupy na wartość Tak.
Ta opcja jest widoczna tylko dla Administracja istratorów ról uprzywilejowanych i Administracja istratorów globalnych, ponieważ są to tylko dwie role, które mogą ustawić tę opcję.
Wybierz członków i właścicieli grupy. Istnieje również możliwość przypisania ról do grupy, ale przypisywanie roli nie jest wymagane w tym miejscu.
Wybierz pozycję Utwórz.
Zostanie wyświetlony następujący komunikat:
Tworzenie grupy, do której można przypisać role Entra firmy Microsoft, jest ustawieniem, którego nie można zmienić później. Czy na pewno chcesz dodać tę funkcję?
Wybierz opcję Tak.
Grupa jest tworzona z dowolnymi rolami, które mogły zostać do niej przypisane.
PowerShell
Użyj polecenia New-MgGroup, aby utworzyć grupę z możliwością przypisywania ról.
W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról zabezpieczeń.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Interfejsu API programu Microsoft Graph
Użyj interfejsu API tworzenia grupy , aby utworzyć grupę z możliwością przypisywania ról.
W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról zabezpieczeń.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
W przypadku tego typu grupy isPublic
zawsze będzie mieć wartość false i isSecurityEnabled
zawsze będzie mieć wartość true.