Erstellen einer Gruppe in Microsoft Entra ID, der Rollen zugewiesen werden können

In diesem Artikel wird beschrieben, wie Sie eine rollenzuweisungsfähige Gruppe mithilfe des Microsoft Entra Admin Centers, der Microsoft Graph PowerShell oder der Microsoft Graph-API erstellen.

Mit Microsoft Entra ID P1 oder P2 können Sie Gruppen erstellen, denen Rollen zugewiesen werden können, und diesen Gruppen Microsoft Entra-Rollen zuweisen. Sie erstellen eine neue Gruppe, der Rollen zugewiesen werden können, indem Sie Microsoft Entra-Rollen können der Gruppe zugewiesen werden auf Ja oder die Eigenschaft isAssignableToRole auf true festlegen. Eine Gruppe, der Rollen zugewiesen werden können, kann nicht dem Typ dynamische Mitgliedschaftsgruppe angehören. In Microsoft Entra kann ein einzelner Mandant maximal 500 rollenzuweisungsfähige Gruppen haben.

Voraussetzungen

• P1- oder P2-Lizenz für Microsoft Entra ID
• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Erstellen einer rollenzuweisenden Gruppe

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

3. Wählen Sie Neue Gruppe aus.

4. Geben Sie auf der Seite Neue Gruppe Gruppentyp, Name und Beschreibung an.

5. Legen Sie Microsoft Entra-Rollen können der Gruppe zugewiesen werden auf Ja fest.

   Diese Option ist für Administratoren für privilegierte Rollen sichtbar, da diese Rolle diese Option festlegen kann.

   

6. Wählen Sie die Mitglieder und Besitzer der Gruppe aus. Sie haben auch die Möglichkeit, der Gruppe Rollen zuzuweisen, dies ist hier allerdings nicht erforderlich.

7. Wählen Sie Erstellen aus.

   Die folgende Meldung wird angezeigt:

   Das Erstellen einer Gruppe, der Microsoft Entra-Rollen zugewiesen werden können, ist eine Einstellung, die später nicht mehr geändert werden kann. Sind Sie sicher, dass Sie diese Funktion hinzufügen möchten?

   

8. Wählen Sie Ja.

   Die Gruppe wird mit allen Rollen erstellt, die Sie ihr zugewiesen haben.

PowerShell

Verwenden Sie den Befehl New-MgGroup, um eine Gruppe zu erstellen, der Rollen zugewiesen werden können.

In diesem Beispiel wird gezeigt, wie Sie eine Gruppe erstellen, der eine Sicherheitsrolle zugewiesen werden kann.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

In diesem Beispiel wird gezeigt, wie Sie eine Microsoft 365-Rollen zuweisbare Gruppe erstellen.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph-API

Verwenden Sie die APIGruppe erstellen, um eine Gruppe zu erstellen, der Rollen zugewiesen werden können.

In diesem Beispiel wird gezeigt, wie Sie eine Gruppe erstellen, der eine Sicherheitsrolle zugewiesen werden kann.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Antwort

HTTP/1.1 201 Created

In diesem Beispiel wird gezeigt, wie Sie eine Microsoft 365-Rollen zuweisbare Gruppe erstellen.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Für diese Art von Gruppe ist isPublic immer "false" und isSecurityEnabled ist immer wahr.

Nächste Schritte

• Zuweisen von Microsoft Entra-Rollen
• Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen
• Behandeln von Problemen bei Microsoft Entra-Rollen, die Gruppen zugewiesen sind