Atribuir funções aos grupos do Microsoft Entra

  • Artigo

Para simplificar o gerenciamento de funções, você pode atribuir as funções do Microsoft Entra a um grupo em vez de indivíduos. Este artigo descreve como atribuir as funções do Microsoft Entra aos grupos atribuíveis por função usando o Centro de administração do Microsoft Entra, PowerShell ou API do Microsoft Graph.

Pré-requisitos

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Atribuir uma função do Microsoft Entra a um grupo é semelhante à atribuição de usuários e entidades de serviço, exceto que somente grupos que podem ser atribuídos por função podem ser usados.

Dica

Essas etapas se aplicam aos clientes que têm uma licença P1 da ID do Microsoft Entra. Se você tiver uma licença do P2 da ID do Microsoft Entra no seu locatário, siga as etapas em Atribuir funções do Microsoft Entra no Privileged Identity Management.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Funções e administradores.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Selecione o nome da função para abri-la. Não adicione uma marca de seleção ao lado da função.

    Screenshot that shows selecting a role.

  4. Selecione Adicionar atribuições.

    Se você vir algo diferente da captura de tela a seguir, talvez você tenha a P2 da ID do Microsoft Entra. Para saber mais, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Selecione o grupo que você deseja atribuir a esta função. Somente grupos atribuíveis por função são exibidos.

    Se o grupo não estiver listado, você precisará criar um grupo atribuível por função. Para obter mais informações, consulte Criar um grupo atribuível por função na ID do Microsoft Entra.

  6. Selecione Adicionar para atribuir a função ao grupo.

PowerShell

Criar um grupo ao qual funções podem ser atribuídas

Utilize o comando New-MgGroup para criar um grupo atribuível por função.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Obtenha a definição de função que você deseja atribuir

Utilize o comando Get-MgRoleManagementDirectoryRoleDefinition para obter uma definição de função.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Criar uma atribuição de função

Utilize o comando New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

API do Microsoft Graph

Criar um grupo ao qual funções podem ser atribuídas

Utilize a API Criar grupo para criar um grupo atribuível por função.

Solicitação

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Resposta

HTTP/1.1 201 Created

Obtenha a definição de função que você deseja atribuir

Use a API Listar unifiedRoleDefinitions para obter uma definição de função.

Solicitação

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Resposta

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Crie a atribuição de função

Use a API Criar unifiedRoleAssignment para atribuir a função.

Solicitação

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Resposta

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Próximas etapas