Vytvoření skupiny s možností přiřazení rolí v Microsoft Entra ID

Pomocí Microsoft Entra ID P1 nebo P2 můžete vytvářet skupiny s možností přiřazení role a přiřazovat k těmto skupinám role Microsoft Entra. Novou skupinu přiřaditelnou rolí vytvoříte nastavením rolí Microsoft Entra role lze přiřadit ke skupině ano nebo nastavením vlastnosti nastavenou isAssignableToRole na truehodnotu . Přiřaditelná skupina rolí nemůže být součástí dynamického typu skupiny členství. V Microsoft Entra může mít jeden tenant maximálně 500 skupin přiřazených rolí.

Tento článek popisuje, jak vytvořit skupinu s možností přiřazení role pomocí Centra pro správu Microsoft Entra, PowerShellu nebo rozhraní Microsoft Graph API.

Požadavky

• Licence Microsoft Entra ID P1 nebo P2
• Správce privilegovaných rolí
• Modul Microsoft.Graph při použití Prostředí Microsoft Graph PowerShell
• Modul Azure AD PowerShell při použití Azure AD PowerShellu
• Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

2. Přejděte do skupin>identit>Všechny skupiny.

3. Vyberte Nová skupina.

4. Na stránce Nová skupina zadejte typ skupiny, název a popis.

5. Nastavte role Microsoft Entra ke skupině na Ano.

   Tato možnost je viditelná pro správce privilegovaných rolí, protože tato role může tuto možnost nastavit.

   

6. Vyberte členy a vlastníky skupiny. Máte také možnost přiřazovat role ke skupině, ale tady není potřeba přiřadit roli.

7. Vyberte Vytvořit.

   Zobrazí se následující zpráva:

   Vytvoření skupiny, ke které lze přiřadit role Microsoft Entra, je nastavení, které nelze později změnit. Opravdu chcete tuto funkci přidat?

   

8. Vyberte Ano.

   Skupina se vytvoří s libovolnými rolemi, které jste k ní možná přiřadili.

PowerShell

Microsoft Graph PowerShell

Pomocí příkazu New-MgGroup vytvořte skupinu s možností přiřazení role.

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role zabezpečení.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role Microsoftu 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

Pomocí příkazu New-AzureADMSGroup vytvořte skupinu, která se dá přiřadit role.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Pro tento typ skupiny isPublic bude vždy false a isSecurityEnabled vždy bude true.

Zkopírování uživatelů a instančních objektů jedné skupiny do skupiny s možností přiřazení role

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

Pomocí rozhraní API pro vytvoření skupiny vytvořte skupinu, která se dá přiřadit role.

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role zabezpečení.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Tento příklad ukazuje, jak vytvořit skupinu s možností přiřazení role Microsoftu 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Pro tento typ skupiny isPublic bude vždy false a isSecurityEnabled vždy bude true.

Další kroky

• Přiřazení rolí Microsoft Entra ke skupinám
• Použití skupin Microsoft Entra ke správě přiřazení rolí
• Řešení potíží s rolemi Microsoft Entra přiřazenými ke skupinám