Tilldela Microsoft Entra-roller till grupper
För att förenkla rollhanteringen kan du tilldela Microsoft Entra-roller till en grupp i stället för enskilda personer. I den här artikeln beskrivs hur du tilldelar Microsoft Entra-roller till rolltilldelningsbara grupper med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph API.
Förutsättningar
- Microsoft Entra ID P1-licens
- Rollen Privilegierad rolladministratör
- Microsoft.Graph-modul när du använder Microsoft Graph PowerShell
- Azure AD PowerShell-modul när du använder Azure AD PowerShell
- Administratörsmedgivande när Graph Explorer för Microsoft Graph API används
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Microsoft Entra administrationscenter
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Att tilldela en Microsoft Entra-roll till en grupp liknar att tilldela användare och tjänstens huvudnamn, förutom att endast grupper som är rolltilldelningsbara kan användas.
Dricks
De här stegen gäller för kunder som har en Microsoft Entra ID P1-licens. Om du har en Microsoft Entra ID P2-licens i din klientorganisation bör du i stället följa stegen i Tilldela Microsoft Entra-roller i Privileged Identity Management.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identitetsroller>och administratörsroller>och administratörer.
Välj rollnamnet för att öppna rollen. Lägg inte till någon bock bredvid rollen.
Välj Lägg till tilldelningar.
Om du ser något annat än följande skärmbild kan du ha Microsoft Entra ID P2. Mer information finns i Tilldela Microsoft Entra-roller i Privileged Identity Management.
Välj den grupp som du vill tilldela till den här rollen. Endast rolltilldelningsbara grupper visas.
Om gruppen inte visas måste du skapa en rolltilldelningsbar grupp. Mer information finns i Skapa en rolltilldelningsbar grupp i Microsoft Entra-ID.
Välj Lägg till för att tilldela rollen till gruppen.
PowerShell
Skapa en rolltilldelningsbar grupp
Använd kommandot New-MgGroup för att skapa en rolltilldelningsbar grupp.
Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Hämta den rolldefinition som du vill tilldela
Använd kommandot Get-MgRoleManagementDirectoryRoleDefinition för att hämta en rolldefinition.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Skapa en rolltilldelning
Använd kommandot New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
Microsoft Graph API
Skapa en rolltilldelningsbar grupp
Använd API:et Skapa grupp för att skapa en rolltilldelningsbar grupp.
Begär
POST https://graph.microsoft.com/v1.0/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Response
HTTP/1.1 201 Created
Hämta den rolldefinition som du vill tilldela
Använd API:et List unifiedRoleDefinitions för att hämta en rolldefinition.
Begär
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Response
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Skapa rolltilldelningen
Använd API:et Create unifiedRoleAssignment för att tilldela rollen.
Begär
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of Group>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/"
}
Response
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
"id": "<Role assignment ID>",
"roleDefinitionId": "<ID of role definition>",
"principalId": "<Object ID of Group>",
"directoryScopeId": "/"
}