在 Microsoft Entra ID 中创建可分配角色的组

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 创建可分配角色的组。

凭借 Microsoft Entra ID P1 或 P2，可以创建可分配角色的组，并将 Microsoft Entra 角色分配给这些组。 通过将“可以将 Microsoft Entra 角色分配给组”设置为“是”，或者通过将 属性设置为 来创建新的可分配角色的组。 可分配角色的组不能是动态成员资格组类型的一部分。 在 Microsoft Entra 中，单个租户最多可以有 500 个可分配角色的组。

先决条件

• Microsoft Entra ID P1 或 P2 许可证
• 特权角色管理员
• 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
• 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息，请参阅使用 PowerShell 或 Graph 浏览器的先决条件。

创建可分配角色的组

管理中心

1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“组”>“所有组”。

3. 选择新建组。

4. 在 “新建组” 页上，提供组类型、名称和说明。

5. 将“可以将 Microsoft Entra 角色分配给组”设置为“是”。

   此选项对特权角色管理员可见，因为此角色可以设置此选项。

   

6. 选择该组的成员和所有者。 也可以选择将角色分配到组，但并不需要在此处分配角色。

7. 选择“创建” 。

   你会看到以下消息：

   创建可向其分配 Microsoft Entra 角色的组这一设置以后无法更改。 是否确定要添加此功能？

   

8. 选择 “是” 。

   该组创建完成，具有你可能已经分配给它的角色。

PowerShell

使用 New-MgGroup 命令创建可分配角色的组。

此示例演示如何创建可分配角色的安全组。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

此示例演示如何创建 Microsoft 365 可分配角色的组。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

使用创建组 API 创建可分配角色的组。

此示例演示如何创建可分配角色的安全组。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

响应

HTTP/1.1 201 Created

此示例演示如何创建 Microsoft 365 可分配角色的组。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

对于这种类型的组，isPublic 始终为 false，isSecurityEnabled 始终为 true。

后续步骤

• 分配 Microsoft Entra 角色
• 使用 Microsoft Entra 组管理角色分配
• 排查分配给组的 Microsoft Entra 角色的问题