Назначение ролей Microsoft Entra группам

  • Статья

Чтобы упростить управление ролями, можно назначить роли Microsoft Entra группе вместо отдельных пользователей. В этой статье описывается назначение ролей Microsoft Entra группам с возможностью назначения ролей с помощью Центра администрирования Microsoft Entra, PowerShell или API Microsoft Graph.

Необходимые компоненты

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Назначение роли Microsoft Entra группе аналогично назначению пользователей и субъектов-служб, за исключением того, что можно использовать только группы, назначаемые ролями.

Совет

Эти действия применяются к клиентам с лицензией Microsoft Entra ID P1. Если у вас есть лицензия Microsoft Entra ID P2 в клиенте, выполните действия, описанные в разделе "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к ролям удостоверений>и администраторам.>

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Выберите имя роли, чтобы открыть роль. Не добавляйте знак проверка рядом с ролью.

    Screenshot that shows selecting a role.

  4. Щелкните Добавить назначения.

    Если вы видите что-то отличается от следующего снимка экрана, возможно, у вас есть идентификатор Microsoft Entra ID P2. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Выберите группу, которую вы хотите назначить этой роли. Отображаются только группы, назначаемые ролью.

    Если группа не указана, необходимо создать группу с возможностью назначения ролей. Дополнительные сведения см. в разделе "Создание группы с возможностью назначения ролей" в идентификаторе Microsoft Entra ID.

  6. Нажмите кнопку "Добавить ", чтобы назначить роль группе.

PowerShell

Создание группы с назначением роли

Используйте команду New-MgGroup для создания группы, назначаемой ролью.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Получение определения роли, которую вы хотите назначить

Чтобы получить определение роли, используйте команду Get-MgRoleManagementDirectoryRoleDefinition .

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Создание назначения роли

Чтобы назначить роль, используйте команду New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

API Microsoft Graph

Создание группы с назначением роли

Используйте API создания группы для создания группы, назначаемой ролью.

Запросить

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Получение определения роли, которую вы хотите назначить

Используйте API List unifiedRoleDefinitions для получения определения роли.

Запросить

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Создание назначения роли

Чтобы назначить роль, используйте API Create unifiedRoleAssignment.

Запросить

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Следующие шаги