Asignación de roles de Azure AD a grupos

En esta sección se describe cómo un administrador de TI puede asignar el rol de Azure Active Directory (Azure AD) a un grupo de Azure AD.

Requisitos previos

  • Una licencia de Azure AD Premium P1 o P2
  • Administrador global o administrador de roles con privilegios
  • Módulo AzureAD al usar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Portal de Azure

La asignación de un grupo a un rol de Azure AD es similar a la asignación de usuarios y entidades de seguridad de servicio, salvo que solo se pueden usar los grupos que admiten la asignación de roles. En Azure Portal, solo se muestran los grupos a los que se pueden asignar roles.

  1. Inicie sesión en Azure Portal o en el centro de administración de Azure AD.

  2. Seleccione los roles de Azure Active Directoryy los administradores y, después, seleccione el rol que desee asignar.

  3. En la página del nombre de rol, seleccione Agregar asignación.

    Add the new role assignment

  4. Seleccione el grupo. Solo se muestran los grupos a los que se pueden asignar roles de Azure AD.

    Only groups that are assignable are shown for a new role assignment.

  5. Seleccione Agregar.

Para obtener más información sobre la asignación de permisos de roles, consulte Asignar roles de administrador y no administrador a los usuarios.

PowerShell

Creación de un grupo al que se pueda asignar un rol

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

Obtención de la definición de roles para el rol que quiera asignar

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Crear una asignación de rol

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Creación de un grupo al que se pueda asignar un rol de Azure AD

POST https://graph.microsoft.com/beta/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [],
"mailEnabled": false,
"securityEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"isAssignableToRole": true
}

Obtención de la definición de rol

GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Creación de la asignación de roles

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
{
"principalId":"<Object Id of Group>",
"roleDefinitionId":"<ID of role definition>",
"directoryScopeId":"/"
}

Pasos siguientes