Asignación de roles de Microsoft Entra a grupos

Para simplificar la administración de roles, puede asignar roles de Microsoft Entra a un grupo en lugar de a usuarios. Este artículo describe cómo asignar roles de Microsoft Entra a grupos asignables de roles mediante el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph API.

Requisitos previos

• Licencia P1 de Microsoft Entra ID
• Rol de Administrador de roles con privilegios
• Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
• Módulo de PowerShell de Azure AD al usar Azure AD PowerShell
• Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

La asignación de un rol de Microsoft Entra a un grupo es similar a la asignación de usuarios y entidades de seguridad de servicio, salvo que solo se pueden usar los grupos que admiten la asignación de roles.

Sugerencia

Estos pasos se aplican a los clientes que tienen una licencia P1 de Microsoft Entra ID. En cambio, si tiene una licencia P2 de Microsoft Entra ID en el inquilino, deberá seguir los pasos descritos en Asignación de roles de Microsoft Entra en Privileged Identity Management.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

2. Vaya a Identidad>Roles y administradores>Roles y administradores.

   

3. Seleccione el nombre del rol para abrir el rol. No agregue una marca de verificación junto al rol.

   

4. Seleccione Agregar asignaciones.

   Si ve algo diferente de la captura de pantalla siguiente, es posible que tenga la licencia P2 de Microsoft Entra ID. Para más información, consulte Asignación de roles de recursos de Microsoft Entra en Privileged Identity Management.

   

5. Seleccione el grupo que desea asignar a este rol. Solo se muestran grupos a los que se pueden asignar roles.

   Si el grupo no aparece en la lista, deberá crear un grupo asignable a roles. Para más información, consulte Creación de un grupo al que se pueden asignar roles en Microsoft Entra ID.

6. Seleccione Agregar para asignar el rol al grupo.

PowerShell

PowerShell de Microsoft Graph

Creación de un grupo al que se pueden asignar roles

Use el comando New-MgGroup para crear un grupo asignación de roles.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Obtención de la definición de roles a la que desea asignar

Use el comando Get-MgRoleManagementDirectoryRoleDefinition para obtener una definición de rol.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Crear una asignación de rol

Use el comando New-MgRoleManagementDirectoryRoleAssignment para asignar el rol.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Azure AD PowerShell

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Creación de un grupo al que se pueden asignar roles

Use el comando New-AzureADMSGroup para crear un grupo asignable a roles.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Obtención de la definición de roles a la que desea asignar

Use el comando Get-AzureADMSRoleDefinition para obtener una definición de rol.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Crear una asignación de rol

Use el comando New-AzureADMSRoleAssignment para asignar el rol.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Creación de un grupo al que se pueden asignar roles

Use la API Crear grupo para crear un grupo asignación de roles.

Solicitud

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Respuesta

HTTP/1.1 201 Created

Obtención de la definición de roles a la que desea asignar

Use List unifiedRoleDefinitions API para obtener una definición de roles.

Solicitud

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Respuesta

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Creación de la asignación de roles

Use Create unifiedRoleAssignment API para asignar roles.

Solicitud

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Respuesta

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Pasos siguientes

• Uso de grupos de Microsoft Entra para administrar asignaciones de roles
• Solución de problemas de roles de Microsoft Entra asignados a grupos