Criar um grupo atribuível à função no Microsoft Entra ID
Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis por função e atribuir funções do Microsoft Entra a esses grupos. Você cria um novo grupo atribuível por função definindo funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou definindo a propriedade isAssignableToRole como true. Um grupo atribuível a função não pode fazer parte de um tipo de grupo de associação dinâmica. No Microsoft Entra, um único locatário pode ter no máximo 500 grupos atribuíveis a funções.
Este artigo descreve como criar um grupo atribuível por função usando o Centro de administração do Microsoft Entra, PowerShell ou API do Microsoft Graph.
Pré-requisitos
- Licença P1 ou P2 do Microsoft Entra ID
- Administrador de Função com Privilégios
- Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
- Módulo do PowerShell do Azure AD usando o PowerShell do Azure AD
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione Novo grupo.
Na página Novo grupo, forneça o tipo, nome e descrição do grupo.
ConfigureFunções do Microsoft Entra podem ser atribuídas ao grupo como Sim.
Essa opção é visível para administradores de função com privilégios porque essa função pode definir essa opção.
Selecione os membros e os proprietários do grupo. Você também pode atribuir funções ao grupo, mas a atribuição de funções não é necessária aqui.
Selecione Criar.
Você verá a seguinte mensagem:
Criar um grupo no qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar essa funcionalidade?
Selecione Sim na barra superior.
O grupo é criado com quaisquer funções que você atribuiu a ele.
PowerShell
Utilize o comando New-MgGroup para criar um grupo atribuível por função.
Este exemplo mostra como criar um grupo atribuível a funções de segurança.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Este exemplo mostra como criar um grupo atribuível a funções do Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
API do Microsoft Graph
Utilize a API Criar grupo para criar um grupo atribuível por função.
Este exemplo mostra como criar um grupo atribuível a funções de segurança.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Este exemplo mostra como criar um grupo atribuível a funções do Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Para esse tipo de grupo, isPublic sempre será false e isSecurityEnabled será sempre true.