Skapa en rolltilldelningsbar grupp i Microsoft Entra ID
Med Microsoft Entra ID P1 eller P2 kan du skapa rolltilldelningsbara grupper och tilldela Microsoft Entra-roller till dessa grupper. Du skapar en ny rolltilldelningsbar grupp genom att ange Microsoft Entra-roller kan tilldelas gruppen till Ja eller genom att ange isAssignableToRole egenskapen inställd på true. En rolltilldelningsbar grupp kan inte vara en del av en grupptyp för dynamiskt medlemskap . I Microsoft Entra kan en enskild klientorganisation ha högst 500 rolltilldelningsbara grupper.
I den här artikeln beskrivs hur du skapar en rolltilldelningsbar grupp med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph API.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens
- Administratör för privilegierad roll
- Microsoft.Graph-modul när du använder Microsoft Graph PowerShell
- Azure AD PowerShell-modul när du använder Azure AD PowerShell
- Administratörsmedgivande när Graph Explorer för Microsoft Graph API används
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Microsoft Entra administrationscenter
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identitetsgrupper>>Alla grupper.
Välj Ny grupp.
På sidan Ny grupp anger du grupptyp, namn och beskrivning.
Ange Microsoft Entra-roller kan tilldelas gruppen till Ja.
Det här alternativet är synligt för privilegierade rolladministratörer eftersom den här rollen kan ange det här alternativet.
Välj medlemmar och ägare för gruppen. Du har också möjlighet att tilldela roller till gruppen, men att tilldela en roll krävs inte här.
Välj Skapa.
Följande meddelande visas:
Att skapa en grupp som Microsoft Entra-roller kan tilldelas till är en inställning som inte kan ändras senare. Vill du lägga till den här funktionen?
Välj Ja.
Gruppen skapas med alla roller som du har tilldelat den.
PowerShell
Använd kommandot New-MgGroup för att skapa en rolltilldelningsbar grupp.
Det här exemplet visar hur du skapar en rolltilldelningsbar grupp för säkerhet.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Det här exemplet visar hur du skapar en rolltilldelningsbar grupp i Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
Använd API:et Skapa grupp för att skapa en rolltilldelningsbar grupp.
Det här exemplet visar hur du skapar en rolltilldelningsbar grupp för säkerhet.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Det här exemplet visar hur du skapar en rolltilldelningsbar grupp i Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
För den här typen av grupp isPublic är det alltid falskt och isSecurityEnabled kommer alltid att vara sant.