Atribuir funções do Azure AD aos grupos

Esta seção descreve como um administrador de ti pode atribuir a função Azure Active Directory (Azure AD) a um grupo do Azure AD.

Pré-requisitos

  • Licença do Azure AD Premium P1 ou P2
  • Administrador de função com privilégios ou Administrador global
  • Módulo AzureAD ao usar o PowerShell
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Portal do Azure

A atribuição de um grupo a uma função do Azure AD é semelhante à atribuição de usuários e entidades de serviço, exceto que somente os grupos que podem ser atribuídas por função poderão ser usados. No portal do Azure, somente os grupos que podem ser atribuído por função são exibidos.

  1. Entre no portal do Azure ou no Centro de administração do Azure AD.

  2. Selecione Azure Active Directory>Funções e administradores e escolha a função que você quer atribuir.

  3. Na página nome da função, selecione > Adicionar atribuição.

    Add the new role assignment

  4. Selecione o grupo. Somente os grupos que podem ser atribuídos às funções do Azure AD são exibidos.

    Only groups that are assignable are shown for a new role assignment.

  5. Selecione Adicionar.

Para obter mais informações sobre como atribuir permissões de funções, confira Atribuir funções de administrador e não administrador a usuários.

PowerShell

Criar um grupo que possa ser atribuído à função

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Obter a definição de função para a função a qual você deseja

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Criar uma atribuição de função

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

API do Microsoft Graph

Criar um grupo que pode ser atribuído a uma função do Azure AD

Use a API Criar grupo para criar um grupo.

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Obter a definição de função

Use a API Listar unifiedRoleDefinitions para obter uma definição de função.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Crie a atribuição de função

Use a API Criar unifiedRoleAssignment para atribuir a função.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object Id of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Próximas etapas