Przypisywanie ról usługi Microsoft Entra do grup

Aby uprościć zarządzanie rolami, możesz przypisać role firmy Microsoft Entra do grupy zamiast osób. W tym artykule opisano sposób przypisywania ról firmy Microsoft do grup z możliwością przypisywania ról przy użyciu centrum administracyjnego firmy Microsoft Entra, programu PowerShell lub interfejsu API programu Microsoft Graph.

Wymagania wstępne

• Licencja microsoft Entra ID P1
• Rola Administracja istratora ról uprzywilejowanych
• Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell
• Moduł programu PowerShell usługi Azure AD podczas korzystania z programu Azure AD PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Przypisywanie roli Entra firmy Microsoft do grupy jest podobne do przypisywania użytkowników i jednostek usługi, z wyjątkiem tego, że można używać tylko grup, które można przypisywać role.

Napiwek

Te kroki dotyczą klientów, którzy mają licencję Microsoft Entra ID P1. Jeśli masz licencję microsoft Entra ID P2 w dzierżawie, zamiast tego wykonaj kroki opisane w temacie Przypisywanie ról firmy Microsoft Entra w usłudze Privileged Identity Management.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

   

3. Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.

   

4. Wybierz pozycję Dodaj przypisania.

   Jeśli widzisz coś innego niż na poniższym zrzucie ekranu, być może masz identyfikator Microsoft Entra ID P2. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management.

   

5. Wybierz grupę, którą chcesz przypisać do tej roli. Wyświetlane są tylko grupy z możliwością przypisywania ról.

   Jeśli grupa nie znajduje się na liście, musisz utworzyć grupę z możliwością przypisania ról. Aby uzyskać więcej informacji, zobacz Create a role-assignable group in Microsoft Entra ID (Tworzenie grupy z możliwością przypisywania ról w identyfikatorze Entra firmy Microsoft).

6. Wybierz pozycję Dodaj , aby przypisać rolę do grupy.

PowerShell

Microsoft Graph PowerShell

Tworzenie grupy z możliwością przypisania do roli

Użyj polecenia New-MgGroup, aby utworzyć grupę z możliwością przypisywania ról.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Pobierz definicję roli, którą chcesz przypisać

Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać definicję roli.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Tworzenie przypisania roli

Aby przypisać rolę, użyj polecenia New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Azure AD PowerShell

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Tworzenie grupy z możliwością przypisania do roli

Użyj polecenia New-AzureADMSGroup, aby utworzyć grupę z możliwością przypisywania ról.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Pobierz definicję roli, którą chcesz przypisać

Użyj polecenia Get-AzureADMSRoleDefinition, aby uzyskać definicję roli.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Tworzenie przypisania roli

Aby przypisać rolę, użyj polecenia New-AzureADMSRoleAssignment.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Interfejsu API programu Microsoft Graph

Tworzenie grupy z możliwością przypisania do roli

Użyj interfejsu API tworzenia grupy , aby utworzyć grupę z możliwością przypisywania ról.

Zażądaj

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Pobierz definicję roli, którą chcesz przypisać

Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać definicję roli.

Zażądaj

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Tworzenie przypisania roli

Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .

Zażądaj

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Następne kroki

• Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra
• Rozwiązywanie problemów z rolami firmy Microsoft przypisanymi do grup