Menetapkan peran Microsoft Entra ke grup

  • Artikel

Untuk menyederhanakan manajemen peran, Anda dapat menetapkan peran Microsoft Entra ke grup, bukan individu. Artikel ini menjelaskan cara menetapkan peran Microsoft Entra ke grup yang dapat ditetapkan peran menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph API.

Prasyarat

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Pusat admin Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Menetapkan peran Microsoft Entra ke grup mirip dengan menetapkan pengguna dan perwakilan layanan kecuali bahwa hanya grup yang dapat ditetapkan peran yang dapat digunakan.

Tip

Langkah-langkah ini berlaku untuk pelanggan yang memiliki lisensi Microsoft Entra ID P1. Jika Anda memiliki lisensi Microsoft Entra ID P2 di penyewa, Anda harus mengikuti langkah-langkah dalam Menetapkan peran Microsoft Entra dalam Privileged Identity Management.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri Peran Identitas>& Peran admin>& admin.

    Cuplikan layar halaman Peran dan administrator di ID Microsoft Entra.

  3. Pilih nama peran untuk membuka peran. Jangan tambahkan tanda centang di samping peran.

    Cuplikan layar yang memperlihatkan memilih peran.

  4. Pilih Tambahkan penugasan.

    Jika Anda melihat sesuatu yang berbeda dari cuplikan layar berikut, Anda mungkin memiliki Microsoft Entra ID P2. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra di Privileged Identity Management.

    Cuplikan layar panel Tambahkan tugas untuk menetapkan peran kepada pengguna atau grup.

  5. Pilih grup yang ingin Anda tetapkan ke peran ini. Hanya grup yang dapat ditetapkan peran yang ditampilkan.

    Jika grup tidak tercantum, Anda harus membuat grup yang dapat ditetapkan peran. Untuk informasi selengkapnya, lihat Membuat grup yang dapat ditetapkan peran di ID Microsoft Entra.

  6. Pilih Tambahkan untuk menetapkan peran ke grup.

PowerShell

Membuat grup yang dapat diberi peran

Gunakan perintah New-MgGroup untuk membuat grup yang dapat ditetapkan peran.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Dapatkan definisi peran yang ingin Anda tetapkan

Gunakan perintah Get-MgRoleManagementDirectoryRoleDefinition untuk mendapatkan definisi peran.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Membuat penetapan peran

Gunakan perintah New-MgRoleManagementDirectoryRoleAssignment untuk menetapkan peran.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

API Microsoft Graph

Membuat grup yang dapat diberi peran

Gunakan BUAT API grup untuk membuat grup yang dapat ditetapkan peran.

Permintaan

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Respons

HTTP/1.1 201 Created

Dapatkan definisi peran yang ingin Anda tetapkan

Gunakan List unifiedRoleDefinitions API untuk mendapatkan definisi peran.

Permintaan

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Respons

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Membuat penetapan peran

Gunakan API Create unifiedRoleAssignment untuk menetapkan peran.

Permintaan

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Respons

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Langkah berikutnya