在 Microsoft Entra ID 中建立可指派角色的群組

使用 Microsoft Entra ID P1 或 P2，您可以建立 可指派角色的群組 ，並將 Microsoft Entra 角色指派給這些群組。 您可以藉由將 Microsoft Entra 角色設定為 [是]，或將 isAssignableToRole 屬性設定true為 ，以建立新的可指派角色群組。 可指派角色的群組不能是動態成員資格類型，而且您可以在單一租使用者中建立最多500個群組。

本文說明如何使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph API 建立可指派角色的群組。

必要條件

• Microsoft Entra ID P1 或 P2 授權
• 特殊權限角色管理員
• 使用 Microsoft Graph PowerShell 時的 Microsoft.Graph 模組
• 使用 Azure AD PowerShell 時，Azure AD PowerShell 模組
• 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊，請參閱 使用PowerShell或 Graph 總管的必要條件。

Microsoft Entra 系統管理中心

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

1. 以至少具特殊許可權的角色 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別群組>] [所有群組]。

3. 選取新增群組。

4. 在 [ 新增群組 ] 頁面上，提供群組類型、名稱和描述。

5. 將 Microsoft Entra 角色指派給群組 為 [是]。

   只有 Privileged Role 管理員 istrators 和 Global 管理員 istrators 可以看到此選項，因為這些角色只有兩個角色可以設定此選項。

   

6. 選取群組的成員和擁有者。 您也可以選擇將角色指派給群組，但在這裡不需要指派角色。

7. 選取 建立。

   您會看到下列訊息：

   建立可指派 Microsoft Entra 角色的群組是稍後無法變更的設定。 您確定要新增這項功能嗎？

   

8. 選取 [是] 。

   群組會以您可能已指派的任何角色來建立。

PowerShell

Microsoft Graph PowerShell

使用 New-MgGroup 命令來建立可指派角色的群組。

此範例示範如何建立安全性角色可指派的群組。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

此範例示範如何建立 Microsoft 365 可指派角色的群組。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

使用 New-AzureADMSGroup 命令來建立可指派角色的群組。

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

針對這種類型的群組， isPublic 一律為 false，而且 isSecurityEnabled 一律為 true。

將一個群組的用戶和服務主體複製到可指派角色的群組

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

使用建立 群組 API 來建立可指派角色的群組。

此範例示範如何建立安全性角色可指派的群組。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

此範例示範如何建立 Microsoft 365 可指派角色的群組。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

針對這種類型的群組， isPublic 一律為 false，而且 isSecurityEnabled 一律為 true。

下一步

• 將 Microsoft Entra 角色指派給群組
• 使用 Microsoft Entra 群組來管理角色指派
• 針對指派給群組的 Microsoft Entra 角色進行疑難解答