Назначение ролей Microsoft Entra группам
Чтобы упростить управление ролями, можно назначить роли Microsoft Entra группе вместо отдельных пользователей. В этой статье описывается назначение ролей Microsoft Entra группам с возможностью назначения ролей с помощью Центра администрирования Microsoft Entra, PowerShell или API Microsoft Graph.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1
- Роль привилегированной роли Администратор istrator
- Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
- Модуль Azure AD PowerShell при использовании Azure AD PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Назначение роли Microsoft Entra группе аналогично назначению пользователей и субъектов-служб, за исключением того, что можно использовать только группы, назначаемые ролями.
Совет
Эти действия применяются к клиентам с лицензией Microsoft Entra ID P1. Если у вас есть лицензия Microsoft Entra ID P2 в клиенте, выполните действия, описанные в разделе "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам.>
Выберите имя роли, чтобы открыть роль. Не добавляйте знак проверка рядом с ролью.
Щелкните Добавить назначения.
Если вы видите что-то отличается от следующего снимка экрана, возможно, у вас есть идентификатор Microsoft Entra ID P2. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.
Выберите группу, которую вы хотите назначить этой роли. Отображаются только группы, назначаемые ролью.
Если группа не указана, необходимо создать группу с возможностью назначения ролей. Дополнительные сведения см. в разделе "Создание группы с возможностью назначения ролей" в идентификаторе Microsoft Entra ID.
Нажмите кнопку "Добавить ", чтобы назначить роль группе.
PowerShell
Создание группы с назначением роли
Используйте команду New-MgGroup для создания группы, назначаемой ролью.
Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Получение определения роли, которую вы хотите назначить
Чтобы получить определение роли, используйте команду Get-MgRoleManagementDirectoryRoleDefinition .
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Создание назначения роли
Чтобы назначить роль, используйте команду New-MgRoleManagementDirectoryRoleAssignment.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
API Microsoft Graph
Создание группы с назначением роли
Используйте API создания группы для создания группы, назначаемой ролью.
Запросить
POST https://graph.microsoft.com/v1.0/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Response
HTTP/1.1 201 Created
Получение определения роли, которую вы хотите назначить
Используйте API List unifiedRoleDefinitions для получения определения роли.
Запросить
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Response
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Создание назначения роли
Чтобы назначить роль, используйте API Create unifiedRoleAssignment.
Запросить
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of Group>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/"
}
Response
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
"id": "<Role assignment ID>",
"roleDefinitionId": "<ID of role definition>",
"principalId": "<Object ID of Group>",
"directoryScopeId": "/"
}