Tworzenie grupy z możliwością przypisywania ról w identyfikatorze Microsoft Entra

Artykuł
12/11/2023

Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Możesz utworzyć nową grupę z możliwością przypisania roli, ustawiając role Firmy Microsoft Entra, można przypisać do grupy wartość Tak lub ustawiając isAssignableToRole właściwość na wartość true. Grupa z możliwością przypisania ról nie może być typu członkostwa dynamicznego i można utworzyć maksymalnie 500 grup w jednej dzierżawie.

W tym artykule opisano sposób tworzenia grupy możliwej do przypisania ról przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.

Wymagania wstępne

Licencja Microsoft Entra ID P1 lub P2
Administrator ról uprzywilejowanych
Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell
Moduł programu PowerShell usługi Azure AD podczas korzystania z programu Azure AD PowerShell
Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
Wybierz pozycję Nowa grupa.
Na stronie Nowa grupa podaj typ grupy, nazwę i opis.
Ustaw role Entra firmy Microsoft można przypisać do grupy na wartość Tak.

Ta opcja jest widoczna tylko dla Administracja istratorów ról uprzywilejowanych i Administracja istratorów globalnych, ponieważ są to tylko dwie role, które mogą ustawić tę opcję.
Wybierz członków i właścicieli grupy. Istnieje również możliwość przypisania ról do grupy, ale przypisywanie roli nie jest wymagane w tym miejscu.
Wybierz pozycję Utwórz.

Zostanie wyświetlony następujący komunikat:

Tworzenie grupy, do której można przypisać role Entra firmy Microsoft, jest ustawieniem, którego nie można zmienić później. Czy na pewno chcesz dodać tę funkcję?
Wybierz opcję Tak.

Grupa jest tworzona z dowolnymi rolami, które mogły zostać do niej przypisane.

Użyj polecenia New-MgGroup, aby utworzyć grupę z możliwością przypisywania ról.

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról zabezpieczeń.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Użyj polecenia New-AzureADMSGroup, aby utworzyć grupę z możliwością przypisywania ról.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

W przypadku tego typu grupy isPublic zawsze będzie mieć wartość false i isSecurityEnabled zawsze będzie mieć wartość true.

Kopiowanie użytkowników i jednostek usługi jednej grupy do grupy z możliwością przypisywania ról

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Interfejsu API programu Microsoft Graph

Użyj interfejsu API tworzenia grupy , aby utworzyć grupę z możliwością przypisywania ról.