在 Microsoft Entra ID 中建立可指派角色的群組

發行項
07/03/2024

透過 Microsoft Entra ID P1 或 P2，您可以建立可指派角色的群組，並將 Microsoft Entra 角色指派給這些群組。您可以將 [Microsoft Entra，可以將角色指派到群組] 設定為 [是]，或將 isAssignableToRole 屬性設定為 true，以建立可指派角色的新群組。可指派角色的群組不能是組動態成員資格群組類型的一部分。在 Microsoft Entra 中，單一租用戶最多可以有 500 個可指派角色的群組。

本文說明如何使用 Microsoft Entra 系統管理中心、PowerShell 或 Microsoft Graph API 來建立可指派角色的群組。

必要條件

Microsoft Entra ID P1 或 P2 授權
特殊權限角色管理員
使用 Microsoft Graph PowerShell 時的 Microsoft.Graph 模組
使用 Azure AD PowerShell 時的 Azure AD PowerShell 模組
針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。

Microsoft Entra 系統管理中心

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[群組]>[所有群組]。
選取新增群組。
在 [新增群組] 頁面上，提供群組類型、名稱和描述。
將 [可以將 Microsoft Entra 角色指派到群組] 設定為 [是]。

特殊授權角色管理員可以看到這個選項，因為這個角色可以設定這個選項。
選取群組的成員和擁有者。您也可以選擇將角色指派給群組，但是這裡不需要指派角色。
選取建立。

您會看到下列訊息：

建立可指派 Microsoft Entra 角色的群組是稍後無法變更的設定。您確定要新增這項功能嗎？
選取 [是]。

群組建立後即會擁有您指派的任何角色。

使用 New-MgGroup 命令，以建立可指派角色的群組。

此範例示範如何建立可指派安全性角色的群組。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

此範例示範如何建立可指派 Microsoft 365 角色的群組。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

使用 New-AzureADMSGroup 命令，以建立可指派角色的群組。

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

若是這種類型的群組，isPublic 一律為 false，而 isSecurityEnabled 一律為 true。

將某個群組的使用者和服務主體複製到可指派角色的群組

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

使用建立群組 API，以建立可指派角色的群組。