Criar um grupo atribuível à função no Microsoft Entra ID
Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis por função e atribuir funções do Microsoft Entra a esses grupos. Você cria um novo grupo atribuível por função definindo funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou definindo a propriedade isAssignableToRole como true. Um grupo atribuível por função não pode ser do tipo de associação dinâmica e você pode criar no máximo 500 grupos em um único locatário.
Este artigo descreve como criar um grupo atribuível por função usando o Centro de administração do Microsoft Entra, PowerShell ou API do Microsoft Graph.
Pré-requisitos
- Licença P1 ou P2 do Microsoft Entra ID
- Administrador de Função com Privilégios
- Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
- Módulo do PowerShell do Azure AD usando o PowerShell do Azure AD
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione Novo grupo.
Na página Novo grupo, forneça o tipo, nome e descrição do grupo.
ConfigureFunções do Microsoft Entra podem ser atribuídas ao grupo como Sim.
Essa opção é visível somente para administradores de função com privilégios e administradores globais, porque elas são as únicas funções que podem ativar a opção.
Selecione os membros e os proprietários do grupo. Você também pode atribuir funções ao grupo, mas a atribuição de funções não é necessária aqui.
Selecione Criar.
Você verá a seguinte mensagem:
Criar um grupo no qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar essa funcionalidade?
Selecione Sim.
O grupo é criado com quaisquer funções que você atribuiu a ele.
PowerShell
Utilize o comando New-MgGroup para criar um grupo atribuível por função.
Este exemplo mostra como criar um grupo atribuível a funções de segurança.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Este exemplo mostra como criar um grupo atribuível a funções do Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
API do Microsoft Graph
Utilize a API Criar grupo para criar um grupo atribuível por função.
Este exemplo mostra como criar um grupo atribuível a funções de segurança.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Este exemplo mostra como criar um grupo atribuível a funções do Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Para esse tipo de grupo, isPublic sempre será false e isSecurityEnabled será sempre true.