Atribuir funções do Microsoft Entra a grupos

  • Artigo

Para simplificar o gerenciamento de funções, você pode atribuir funções do Microsoft Entra a um grupo em vez de indivíduos. Este artigo descreve como atribuir funções do Microsoft Entra a grupos atribuíveis por função usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.

Pré-requisitos

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

A atribuição de uma função do Microsoft Entra a um grupo é semelhante à atribuição de usuários e entidades de serviço, exceto que apenas grupos atribuíveis a funções podem ser usados.

Gorjeta

Estas etapas se aplicam a clientes que têm uma licença do Microsoft Entra ID P1. Se você tiver uma licença do Microsoft Entra ID P2 em seu locatário, deverá seguir as etapas em Atribuir funções do Microsoft Entra no Privileged Identity Management.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Identity>Roles & admins>Roles & admins.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Selecione o nome da função para abri-la. Não adicione uma marca de seleção ao lado da função.

    Screenshot that shows selecting a role.

  4. Selecione Adicionar atribuições.

    Se vir algo diferente da captura de ecrã seguinte, poderá ter o Microsoft Entra ID P2. Para obter mais informações, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Selecione o grupo que deseja atribuir a essa função. Somente grupos atribuíveis a funções são exibidos.

    Se o grupo não estiver listado, você precisará criar um grupo atribuível por função. Para obter mais informações, consulte Criar um grupo atribuível de função na ID do Microsoft Entra.

  6. Selecione Adicionar para atribuir a função ao grupo.

PowerShell

Criar um grupo ao qual se pode atribuir funções

Use o comando New-MgGroup para criar um grupo atribuível a funções.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Obter a definição de função que você deseja atribuir

Use o comando Get-MgRoleManagementDirectoryRoleDefinition para obter uma definição de função.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Criar uma atribuição de função

Use o comando New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Criar um grupo ao qual se pode atribuir funções

Use a API Criar grupo para criar um grupo atribuível por função.

Pedir

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Obter a definição de função que você deseja atribuir

Use a API List unifiedRoleDefinitions para obter uma definição de função.

Pedir

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Criar a atribuição de função

Use a API Create unifiedRoleAssignment para atribuir a função.

Pedir

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Próximos passos