Atribuir funções do Microsoft Entra a grupos

Para simplificar o gerenciamento de funções, você pode atribuir funções do Microsoft Entra a um grupo em vez de indivíduos. Este artigo descreve como atribuir funções do Microsoft Entra a grupos atribuíveis por função usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.

Pré-requisitos

• Licença do Microsoft Entra ID P1
• Função privilegiada Função de administrador
• Módulo Microsoft.Graph ao usar o Microsoft Graph PowerShell
• Módulo do Azure AD PowerShell ao usar o Azure AD PowerShell
• Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

A atribuição de uma função do Microsoft Entra a um grupo é semelhante à atribuição de usuários e entidades de serviço, exceto que apenas grupos atribuíveis a funções podem ser usados.

Gorjeta

Estas etapas se aplicam a clientes que têm uma licença do Microsoft Entra ID P1. Se você tiver uma licença do Microsoft Entra ID P2 em seu locatário, deverá seguir as etapas em Atribuir funções do Microsoft Entra no Privileged Identity Management.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Identity>Roles & admins>Roles & admins.

   

3. Selecione o nome da função para abri-la. Não adicione uma marca de seleção ao lado da função.

   

4. Selecione Adicionar atribuições.

   Se vir algo diferente da captura de ecrã seguinte, poderá ter o Microsoft Entra ID P2. Para obter mais informações, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.

   

5. Selecione o grupo que deseja atribuir a essa função. Somente grupos atribuíveis a funções são exibidos.

   Se o grupo não estiver listado, você precisará criar um grupo atribuível por função. Para obter mais informações, consulte Criar um grupo atribuível de função na ID do Microsoft Entra.

6. Selecione Adicionar para atribuir a função ao grupo.

PowerShell

Microsoft Graph PowerShell

Criar um grupo ao qual se pode atribuir funções

Use o comando New-MgGroup para criar um grupo atribuível a funções.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Obter a definição de função que você deseja atribuir

Use o comando Get-MgRoleManagementDirectoryRoleDefinition para obter uma definição de função.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Criar uma atribuição de função

Use o comando New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Azure AD PowerShell

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Criar um grupo ao qual se pode atribuir funções

Use o comando New-AzureADMSGroup para criar um grupo atribuível por função.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Obter a definição de função que você deseja atribuir

Use o comando Get-AzureADMSRoleDefinition para obter uma definição de função.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Criar uma atribuição de função

Use o comando New-AzureADMSRoleAssignment para atribuir a função.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Criar um grupo ao qual se pode atribuir funções

Use a API Criar grupo para criar um grupo atribuível por função.

Pedir

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Obter a definição de função que você deseja atribuir

Use a API List unifiedRoleDefinitions para obter uma definição de função.

Pedir

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Criar a atribuição de função

Use a API Create unifiedRoleAssignment para atribuir a função.

Pedir

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Próximos passos

• Utilizar os grupos do Microsoft Entra para gerir atribuições de funções
• Solucionar problemas de funções do Microsoft Entra atribuídas a grupos