Přiřazení rolí Microsoft Entra ke skupinám

  • Článek

Pro zjednodušení správy rolí můžete přiřadit role Microsoft Entra skupině místo jednotlivců. Tento článek popisuje, jak přiřadit role Microsoft Entra skupinám přiřaditelným rolím pomocí Centra pro správu Microsoft Entra, PowerShellu nebo rozhraní Microsoft Graph API.

Požadavky

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Centrum pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přiřazení role Microsoft Entra ke skupině se podobá přiřazování uživatelů a instančních objektů s tím rozdílem, že je možné použít pouze skupiny, které lze přiřadit role.

Tip

Tento postup platí pro zákazníky, kteří mají licenci Microsoft Entra ID P1. Pokud máte ve svém tenantovi licenci Microsoft Entra ID P2, měli byste místo toho postupovat podle kroků v části Přiřazení rolí Microsoft Entra ve službě Privileged Identity Management.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům>a správcům.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Výběrem názvu role otevřete roli. Nepřidávejte značku zaškrtnutí vedle role.

    Screenshot that shows selecting a role.

  4. Vyberte Přidat přiřazení.

    Pokud vidíte něco jiného než na následujícím snímku obrazovky, můžete mít Microsoft Entra ID P2. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v Privileged Identity Management.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Vyberte skupinu, kterou chcete přiřadit k této roli. Zobrazí se pouze skupiny s možností přiřazení role.

    Pokud skupina není uvedená, budete muset vytvořit skupinu s možností přiřazení role. Další informace naleznete v tématu Vytvoření skupiny přiřaditelné role v Microsoft Entra ID.

  6. Výběrem možnosti Přidat přiřaďte roli skupině.

PowerShell

Vytvoření skupiny s možností přiřazení rolí

Pomocí příkazu New-MgGroup vytvořte skupinu s možností přiřazení role.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Získejte definici role, kterou chcete přiřadit.

K získání definice role použijte příkaz Get-MgRoleManagementDirectoryRoleDefinition.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Vytvoření přiřazení role

K přiřazení role použijte příkaz New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Vytvoření skupiny s možností přiřazení rolí

Pomocí rozhraní API pro vytvoření skupiny vytvořte skupinu, která se dá přiřadit role.

Požádat

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Získejte definici role, kterou chcete přiřadit.

K získání definice role použijte rozhraní API List unifiedRoleDefinitions.

Požádat

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Vytvoření přiřazení role

K přiřazení role použijte rozhraní API Create unifiedRoleAssignment.

Požádat

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Další kroky