Criar um grupo com atribuição de funções no Microsoft Entra ID

Este artigo descreve como criar um grupo atribuível de função usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.

Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis a funções e atribuir funções do Microsoft Entra a esses grupos. Você cria um novo grupo atribuível de função ao definir que as funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou ao configurar a propriedade isAssignableToRole para true. Um grupo ao qual podem ser atribuídos papéis não pode ser parte de um tipo de grupo de associação dinâmica. No Microsoft Entra, um único locatário pode ter um máximo de 500 grupos atribuíveis por função.

Pré-requisitos

• Licença do Microsoft Entra ID P1 ou P2
• Administrador de Funções com Privilégios
• módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao utilizar o Explorador do Graph para a API da Microsoft Graph

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Criar um grupo com atribuição de função

Centro de administração

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue para Identity>Groups>Todos os grupos.

3. Selecione Novo grupo.

4. Na página Novo Grupo, forneça o tipo, o nome e a descrição do grupo.

5. Defina as funções do Microsoft Entra para serem atribuídas ao grupo como Sim.

   Essa opção é visível para Administradores de Função Privilegiada porque essa função pode definir essa opção.

   

6. Selecione os membros e proprietários do grupo. Você também tem a opção de atribuir funções ao grupo, mas atribuir uma função não é necessário aqui.

7. Selecione Criar.

   Você verá a seguinte mensagem:

   Criar um grupo ao qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar esse recurso?

   

8. Selecione Yes (Sim).

   O grupo é criado com quaisquer funções que você possa ter atribuído a ele.

PowerShell

Use o comando New-MgGroup para criar um grupo atribuível a funções.

Este exemplo mostra como criar um grupo atribuível de função de segurança.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

Use a API Criar grupo para criar um grupo atribuível por função.

Este exemplo mostra como criar um grupo ao qual se podem atribuir funções de segurança.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Resposta

HTTP/1.1 201 Created

Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Para este tipo de grupo, isPublic é sempre falso e isSecurityEnabled é sempre verdadeiro.

Próximos passos

• Atribuir funções do Microsoft Entra
• Utilizar os grupos do Microsoft Entra para gerir atribuições de funções
• Solucionar problemas de funções do Microsoft Entra atribuídas a grupos