Criar um grupo atribuível a função no Microsoft Entra ID

Este artigo descreve como criar um grupo atribuível de função usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.

Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis a funções e atribuir funções do Microsoft Entra a esses grupos. Você cria um novo grupo atribuível de função definindo que as funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou definindo a isAssignableToRole propriedade definida como true. Um grupo atribuível por função não pode fazer parte de um tipo de grupo de associação dinâmica. No Microsoft Entra, um único locatário pode ter um máximo de 500 grupos atribuíveis por função.

Pré-requisitos

• Licença do Microsoft Entra ID P1 ou P2
• Administrador de Funções com Privilégios
• módulo de do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Criar um grupo com atribuição de função

Centro de administração

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até >Todos os grupos.

3. Selecione Novo grupo.

4. Na página Novo Grupo, forneça o tipo, o nome e a descrição do grupo.

5. Definir funções do Microsoft Entra pode ser atribuído ao grupo como Sim.

   Essa opção é visível para Administradores de Função Privilegiada porque essa função pode definir essa opção.

   

6. Selecione os membros e proprietários do grupo. Você também tem a opção de atribuir funções ao grupo, mas atribuir uma função não é necessário aqui.

7. Selecione Criar.

   Você verá a seguinte mensagem:

   Criar um grupo ao qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar esse recurso?

   

8. Selecione Yes (Sim).

   O grupo é criado com quaisquer funções que você possa ter atribuído a ele.

PowerShell

Use o comando New-MgGroup para criar um grupo atribuível a funções.

Este exemplo mostra como criar um grupo atribuível de função de segurança.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

Use a API Criar grupo para criar um grupo atribuível por função.

Este exemplo mostra como criar um grupo atribuível de função de segurança.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Resposta

HTTP/1.1 201 Created

Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Para este tipo de grupo, isPublic é sempre falso e isSecurityEnabled é sempre verdadeiro.

Próximos passos

• Atribuir funções do Microsoft Entra
• Utilizar os grupos do Microsoft Entra para gerir atribuições de funções
• Solucionar problemas de funções do Microsoft Entra atribuídas a grupos