Vytvoření skupiny s možností přiřazení rolí v Microsoft Entra ID

Tento článek popisuje, jak vytvořit skupinu s možností přiřazení role pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.

Pomocí Microsoft Entra ID P1 nebo P2 můžete vytvářet skupiny s možností přiřazení role a přiřazovat k těmto skupinám role Microsoft Entra. Novou skupinu přiřaditelnou rolí vytvoříte nastavením rolí Microsoft Entra role lze přiřadit ke skupině anonebo nastavením vlastnosti nastavenou isAssignableToRole na truehodnotu . Přiřaditelná skupina rolí nemůže být součástí dynamického typu skupiny členství. V Microsoft Entra může mít jeden tenant maximálně 500 skupin přiřazených rolí.

Požadavky

• Licence Microsoft Entra ID P1 nebo P2
• Správce privilegovaných rolí
• modulu PowerShellu pro Microsoft Graph při použití PowerShellu
• Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Vytvoření skupiny s možností přiřazení role

Centrum pro správu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

2. Přejděte do

3. Vyberte Nová skupina.

4. Na stránce Nová skupina zadejte typ, název a popis skupiny.

5. Nastavte role Microsoft Entra ke skupině na Ano.

   Tato možnost je viditelná pro správce privilegovaných rolí, protože tato role může tuto možnost nastavit.

   

6. Vyberte členy a vlastníky skupiny. Máte také možnost přiřazovat role ke skupině, ale tady není potřeba přiřadit roli.

7. Vyberte Vytvořit.

   Zobrazí se následující zpráva:

   Vytvoření skupiny, ke které lze přiřadit role Microsoft Entra, je nastavení, které nelze později změnit. Opravdu chcete tuto funkci přidat?

   

8. Vyberte Ano.

   Skupina se vytvoří s libovolnými rolemi, které jste k ní možná přiřadili.

PowerShell

Pomocí příkazu New-MgGroup vytvořte skupinu s možností přiřazení role.

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role zabezpečení.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role Microsoftu 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

rozhraní Graph API

Pomocí rozhraní API pro vytvoření skupiny vytvořte skupinu, která se dá přiřadit role.

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role zabezpečení.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Odpověď

HTTP/1.1 201 Created

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role Microsoftu 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Pro tento typ skupiny je isPublic vždy false a isSecurityEnabled je vždy true.

Další kroky

• Přiřazení rolí Microsoft Entra
• Použití skupin Microsoft Entra ke správě přiřazení rolí
• Řešení potíží s rolemi Microsoft Entra přiřazenými ke skupinám