Créer un groupe attribuable à des rôles dans Microsoft Entra ID

Cet article explique comment créer un groupe assignable à un rôle à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’API Microsoft Graph.

Avec Microsoft Entra ID P1 ou P2, vous pouvez créer des groupes attribuables à des rôles et attribuer des rôles Microsoft Entra à ces groupes. Vous créez un nouveau groupe attribuable à des rôles en définissant les rôles Microsoft Entra pouvant être attribués au groupe sur Oui ou en définissant la propriété isAssignableToRole sur true. Un groupe assignable en rôle ne peut pas faire partie d’un type de groupe d’appartenance dynamique. Dans Microsoft Entra, un seul locataire peut avoir un maximum de 500 groupes assignables en rôle.

Prérequis

• Licence Microsoft Entra ID P1 ou P2
• Administrateur de rôle privilégié
• Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
• Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Créer un groupe assignable à un rôle

centre d’administration

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

2. Accédez à Identité>Groupes>Tous les groupes.

3. Cliquez sur Nouveau groupe.

4. Dans la page Nouveau groupe, indiquez le type de groupe, le nom et la description.

5. Définissez Les rôles Microsoft Entra peuvent être attribués au groupe sur Oui.

   Cette option est visible par les Administrateurs de rôle privilégié, car ce rôle peut définir cette option.

   

6. Sélectionnez les membres et les propriétaires du groupe. Vous avez également la possibilité d’attribuer des rôles au groupe. Dans le cas présent, ce n’est pas nécessaire.

7. Sélectionnez Create (Créer).

   Le message suivant s'affiche :

   La création d'un groupe auquel des rôles Microsoft Entra peuvent être attribués est un paramètre qui ne peut pas être modifié ultérieurement. Voulez-vous vraiment ajouter cette fonctionnalité ?

   

8. Sélectionnez Oui.

   Le groupe est créé avec tous les rôles que vous lui avez attribués.

PowerShell

Utilisez la commande New-MgGroup pour créer un groupe pouvant faire l’objet d’une attribution de rôle.

Cet exemple montre comment créer un groupe pouvant se voir attribuer des rôles.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Cet exemple montre comment créer un groupe pouvant se voir attribuer Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

API Graph

Utilisez l’API Créer un groupe pour créer un groupe pouvant faire l’objet d’une attribution de rôle.

Cet exemple montre comment créer un groupe pouvant se voir attribuer des rôles.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Réponse

HTTP/1.1 201 Created

Cet exemple montre comment créer un groupe pouvant se voir attribuer Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Pour ce type de groupe, isPublic est toujours faux et isSecurityEnabled est toujours vrai.

Étapes suivantes

• Attribuer des rôles Microsoft Entra
• Utiliser les groupes Microsoft Entra pour gérer les attributions de rôles
• Dépanner les rôles Microsoft Entra attribués aux groupes