Asignación de roles de Microsoft Entra a grupos
Para simplificar la administración de roles, puede asignar roles de Microsoft Entra a un grupo en lugar de a usuarios. Este artículo describe cómo asignar roles de Microsoft Entra a grupos asignables de roles mediante el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph API.
Requisitos previos
- Licencia P1 de Microsoft Entra ID
- Rol de Administrador de roles con privilegios
- Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
- Módulo de PowerShell de Azure AD al usar Azure AD PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Centro de administración de Microsoft Entra
Sugerencia
Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.
La asignación de un rol de Microsoft Entra a un grupo es similar a la asignación de usuarios y entidades de seguridad de servicio, salvo que solo se pueden usar los grupos que admiten la asignación de roles.
Sugerencia
Estos pasos se aplican a los clientes que tienen una licencia P1 de Microsoft Entra ID. En cambio, si tiene una licencia P2 de Microsoft Entra ID en el inquilino, deberá seguir los pasos descritos en Asignación de roles de Microsoft Entra en Privileged Identity Management.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Roles y administradores.
Seleccione el nombre del rol para abrir el rol. No agregue una marca de verificación junto al rol.
Seleccione Agregar asignaciones.
Si ve algo diferente de la captura de pantalla siguiente, es posible que tenga la licencia P2 de Microsoft Entra ID. Para más información, consulte Asignación de roles de recursos de Microsoft Entra en Privileged Identity Management.
Seleccione el grupo que desea asignar a este rol. Solo se muestran grupos a los que se pueden asignar roles.
Si el grupo no aparece en la lista, deberá crear un grupo asignable a roles. Para más información, consulte Creación de un grupo al que se pueden asignar roles en Microsoft Entra ID.
Seleccione Agregar para asignar el rol al grupo.
PowerShell
Creación de un grupo al que se pueden asignar roles
Use el comando New-MgGroup para crear un grupo asignación de roles.
Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Obtención de la definición de roles a la que desea asignar
Use el comando Get-MgRoleManagementDirectoryRoleDefinition para obtener una definición de rol.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Crear una asignación de rol
Use el comando New-MgRoleManagementDirectoryRoleAssignment para asignar el rol.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
Microsoft Graph API
Creación de un grupo al que se pueden asignar roles
Use la API Crear grupo para crear un grupo asignación de roles.
Solicitud
POST https://graph.microsoft.com/v1.0/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Respuesta
HTTP/1.1 201 Created
Obtención de la definición de roles a la que desea asignar
Use List unifiedRoleDefinitions API para obtener una definición de roles.
Solicitud
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Respuesta
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Creación de la asignación de roles
Use Create unifiedRoleAssignment API para asignar roles.
Solicitud
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of Group>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/"
}
Respuesta
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
"id": "<Role assignment ID>",
"roleDefinitionId": "<ID of role definition>",
"principalId": "<Object ID of Group>",
"directoryScopeId": "/"
}