Tworzenie grupy z możliwością przypisywania ról w identyfikatorze Microsoft Entra

Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Możesz utworzyć nową grupę z możliwością przypisania roli, ustawiając role Firmy Microsoft Entra, można przypisać do grupy wartość Tak lub ustawiając isAssignableToRole właściwość na wartość true. Grupa z możliwością przypisywania ról nie może być częścią dynamicznego typu grupy członkostwa. W firmie Microsoft Entra jedna dzierżawa może mieć maksymalnie 500 grup z możliwością przypisywania ról.

W tym artykule opisano sposób tworzenia grupy możliwej do przypisania ról przy użyciu centrum administracyjnego firmy Microsoft, programu PowerShell lub interfejsu API programu Microsoft Graph.

Wymagania wstępne

• Licencja Microsoft Entra ID P1 lub P2
• Administrator ról uprzywilejowanych
• Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell
• Moduł programu PowerShell usługi Azure AD podczas korzystania z programu Azure AD PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.

3. Wybierz pozycję Nowa grupa.

4. Na stronie Nowa grupa podaj typ grupy, nazwę i opis.

5. Ustaw role Entra firmy Microsoft można przypisać do grupy na wartość Tak.

   Ta opcja jest widoczna dla administratorów ról uprzywilejowanych, ponieważ ta rola może ustawić tę opcję.

   

6. Wybierz członków i właścicieli grupy. Istnieje również możliwość przypisania ról do grupy, ale przypisywanie roli nie jest wymagane w tym miejscu.

7. Wybierz pozycję Utwórz.

   Zostanie wyświetlony następujący komunikat:

   Tworzenie grupy, do której można przypisać role Entra firmy Microsoft, jest ustawieniem, którego nie można zmienić później. Czy na pewno chcesz dodać tę funkcję?

   

8. Wybierz opcję Tak.

   Grupa jest tworzona z dowolnymi rolami, które mogły zostać do niej przypisane.

PowerShell

Microsoft Graph PowerShell

Użyj polecenia New-MgGroup, aby utworzyć grupę z możliwością przypisywania ról.

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról zabezpieczeń.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

Użyj polecenia New-AzureADMSGroup, aby utworzyć grupę z możliwością przypisywania ról.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

W przypadku tego typu grupy isPublic zawsze będzie mieć wartość false i isSecurityEnabled zawsze będzie mieć wartość true.

Kopiowanie użytkowników i jednostek usługi jednej grupy do grupy z możliwością przypisywania ról

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Interfejsu API programu Microsoft Graph

Użyj interfejsu API tworzenia grupy , aby utworzyć grupę z możliwością przypisywania ról.

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról zabezpieczeń.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

W przypadku tego typu grupy isPublic zawsze będzie mieć wartość false i isSecurityEnabled zawsze będzie mieć wartość true.

Następne kroki

• Przypisywanie ról usługi Microsoft Entra do grup
• Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra
• Rozwiązywanie problemów z rolami firmy Microsoft przypisanymi do grup