Tworzenie grupy z możliwością przypisywania ról w identyfikatorze Microsoft Entra

W tym artykule opisano sposób tworzenia grupy z możliwością przypisania ról przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph.

Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Możesz utworzyć nową grupę z możliwością przypisania ról, ustawiając opcję Role Microsoft Entra mogą być przypisane do grupy na Tak lub ustawiając właściwość isAssignableToRole na true. Grupa z możliwością przypisywania ról nie może być częścią dynamicznego typu grupy członkostwa. W firmie Microsoft Entra jedna dzierżawa może mieć maksymalnie 500 grup z możliwością przypisywania ról.

Wymagania wstępne

• Licencja Microsoft Entra ID P1 lub P2
• Administrator ról uprzywilejowanych
• moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Tworzenie grupy z możliwością przypisywania ról

centrum administracyjne

1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator ról uprzywilejowanych.

2. Przejdź do Tożsamość>Grupy>Wszystkie grupy.

3. Wybierz pozycję Nowa grupa.

4. Na stronie Nowa grupa podaj typ grupy, nazwę i opis.

5. Ustaw role Microsoft Entra tak, aby można było przypisać je do grupy na Tak.

   Ta opcja jest widoczna dla administratorów ról uprzywilejowanych, ponieważ ta rola może ustawić tę opcję.

   

6. Wybierz członków i właścicieli grupy. Istnieje również możliwość przypisania ról do grupy, ale przypisywanie roli nie jest wymagane w tym miejscu.

7. Wybierz pozycję Utwórz.

   Zostanie wyświetlony następujący komunikat:

   Tworzenie grupy, do której można przypisać role Entra firmy Microsoft, jest ustawieniem, którego nie można zmienić później. Czy na pewno chcesz dodać tę funkcję?

   

8. Wybierz opcję Tak.

   Grupa jest tworzona z dowolnymi rolami, które mogły zostać do niej przypisane.

PowerShell

Użyj polecenia New-MgGroup, aby utworzyć grupę z możliwością przypisywania ról.

W tym przykładzie pokazano, jak utworzyć grupę, do której można przypisywać role zabezpieczeń.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

Użyj interfejsu API tworzenia grupy , aby utworzyć grupę z możliwością przypisywania ról.

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról zabezpieczeń.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Odpowiedź

HTTP/1.1 201 Created

W tym przykładzie pokazano, jak utworzyć grupę z możliwością przypisywania ról na platformie Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

W przypadku tego typu grupy isPublic jest zawsze fałszem, a isSecurityEnabled jest zawsze prawdziwe.

Następne kroki

• Przypisz role Microsoft Entra
• Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra
• Rozwiązywanie problemów z rolami Microsoft Entra przypisanymi do grup