Compartir a través de


Asignación de roles de Microsoft Entra a grupos

Para simplificar la administración de roles, puede asignar roles de Microsoft Entra a un grupo en lugar de a usuarios. Este artículo describe cómo asignar roles de Microsoft Entra a grupos asignables de roles mediante el centro de administración de Microsoft Entra, PowerShell o Microsoft Graph API.

Requisitos previos

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

La asignación de un rol de Microsoft Entra a un grupo es similar a la asignación de usuarios y entidades de seguridad de servicio, salvo que solo se pueden usar los grupos que admiten la asignación de roles.

Sugerencia

Estos pasos se aplican a los clientes que tienen una licencia P1 de Microsoft Entra ID. En cambio, si tiene una licencia P2 de Microsoft Entra ID en el inquilino, deberá seguir los pasos descritos en Asignación de roles de Microsoft Entra en Privileged Identity Management.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Roles y administradores.

    Captura de pantalla de la página de roles y administradores en Microsoft Entra ID.

  3. Seleccione el nombre del rol para abrir el rol. No agregue una marca de verificación junto al rol.

    Captura de pantalla que muestra la selección de un rol.

  4. Seleccione Agregar asignaciones.

    Si ve algo diferente de la captura de pantalla siguiente, es posible que tenga la licencia P2 de Microsoft Entra ID. Para más información, consulte Asignación de roles de recursos de Microsoft Entra en Privileged Identity Management.

    Captura de Panel de agregar asignaciones para asignar roles a los usuarios o grupos.

  5. Seleccione el grupo que desea asignar a este rol. Solo se muestran grupos a los que se pueden asignar roles.

    Si el grupo no aparece en la lista, deberá crear un grupo asignable a roles. Para más información, consulte Creación de un grupo al que se pueden asignar roles en Microsoft Entra ID.

  6. Seleccione Agregar para asignar el rol al grupo.

PowerShell

Creación de un grupo al que se pueden asignar roles

Use el comando New-MgGroup para crear un grupo asignación de roles.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Obtención de la definición de roles a la que desea asignar

Use el comando Get-MgRoleManagementDirectoryRoleDefinition para obtener una definición de rol.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Crear una asignación de rol

Use el comando New-MgRoleManagementDirectoryRoleAssignment para asignar el rol.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Creación de un grupo al que se pueden asignar roles

Use la API Crear grupo para crear un grupo asignación de roles.

Solicitud

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Respuesta

HTTP/1.1 201 Created

Obtención de la definición de roles a la que desea asignar

Use List unifiedRoleDefinitions API para obtener una definición de roles.

Solicitud

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Respuesta

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Creación de la asignación de roles

Use Create unifiedRoleAssignment API para asignar roles.

Solicitud

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Respuesta

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Pasos siguientes