在 Microsoft Entra ID 中建立可指派角色的群組
使用 Microsoft Entra ID P1 或 P2,您可以建立 可指派角色的群組 ,並將 Microsoft Entra 角色指派給這些群組。 您可以藉由將 Microsoft Entra 角色設定為 [是],或將 isAssignableToRole
屬性設定true
為 ,以建立新的可指派角色群組。 可指派角色的群組不能是動態成員資格類型,而且您可以在單一租使用者中建立最多500個群組。
本文說明如何使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph API 建立可指派角色的群組。
必要條件
- Microsoft Entra ID P1 或 P2 授權
- 特殊權限角色管理員
- 使用 Microsoft Graph PowerShell 時的 Microsoft.Graph 模組
- 使用 Azure AD PowerShell 時,Azure AD PowerShell 模組
- 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意
如需詳細資訊,請參閱 使用PowerShell或 Graph 總管的必要條件。
Microsoft Entra 系統管理中心
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少具特殊許可權的角色 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
選取新增群組。
在 [ 新增群組 ] 頁面上,提供群組類型、名稱和描述。
將 Microsoft Entra 角色指派給群組 為 [是]。
只有 Privileged Role 管理員 istrators 和 Global 管理員 istrators 可以看到此選項,因為這些角色只有兩個角色可以設定此選項。
選取群組的成員和擁有者。 您也可以選擇將角色指派給群組,但在這裡不需要指派角色。
選取 建立。
您會看到下列訊息:
建立可指派 Microsoft Entra 角色的群組是稍後無法變更的設定。 您確定要新增這項功能嗎?
選取 [是] 。
群組會以您可能已指派的任何角色來建立。
PowerShell
使用 New-MgGroup 命令來建立可指派角色的群組。
此範例示範如何建立安全性角色可指派的群組。
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
此範例示範如何建立 Microsoft 365 可指派角色的群組。
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
使用建立 群組 API 來建立可指派角色的群組。
此範例示範如何建立安全性角色可指派的群組。
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
此範例示範如何建立 Microsoft 365 可指派角色的群組。
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
針對這種類型的群組, isPublic
一律為 false,而且 isSecurityEnabled
一律為 true。