在 Microsoft Entra ID 中建立可指派角色的群組

本文說明如何使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 來建立可指派角色的群組。

透過 Microsoft Entra ID P1 或 P2，您可以建立可指派角色的群組，並將 Microsoft Entra 角色指派給這些群組。 您可以將 [Microsoft Entra，可以將角色指派到群組] 設定為 [是]，或將 isAssignableToRole 屬性設定為 true，以建立可指派角色的新群組。 可指派角色的群組不能是組動態成員資格群組類型的一部分。 在 Microsoft Entra 中，單一租用戶最多可以有 500 個可指派角色的群組。

必要條件

• Microsoft Entra ID P1 或 P2 授權
• 特殊權限角色管理員
• 使用 PowerShell 時，Microsoft Graph PowerShell 模組
• 針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。

建立可指派角色的群組

系統管理中心

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[群組]>[所有群組]。

3. 選取新增群組。

4. 在 [新增群組] 頁面上，提供群組類型、名稱和描述。

5. 將 [可以將 Microsoft Entra 角色指派到群組] 設定為 [是]。

   特殊授權角色管理員可以看到這個選項，因為這個角色可以設定這個選項。

   

6. 選取群組的成員和擁有者。 您也可以選擇將角色指派給群組，但是這裡不需要指派角色。

7. 選取 建立。

   您會看到下列訊息：

   建立可指派 Microsoft Entra 角色的群組是稍後無法變更的設定。 您確定要新增這項功能嗎？

   

8. 選取 [是]。

   群組建立後即會擁有您指派的任何角色。

PowerShell

使用 New-MgGroup 命令，以建立可指派角色的群組。

此範例示範如何建立可指派安全性角色的群組。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

此範例示範如何建立可指派 Microsoft 365 角色的群組。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

使用建立群組 API，以建立可指派角色的群組。

此範例示範如何建立可指派安全性角色的群組。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

回應

HTTP/1.1 201 Created

此範例示範如何建立可指派 Microsoft 365 角色的群組。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

針對這種類型的群組，isPublic 一律為 false，isSecurityEnabled 一律為 true。

下一步

• 指派 Microsoft Entra 角色
• 使用 Microsoft Entra 群組來管理角色指派
• 針對指派給群組的 Microsoft Entra 角色進行疑難排解