그룹에 Microsoft Entra 역할 할당
역할 관리를 간소화하기 위해 개인 대신 그룹에 Microsoft Entra 역할을 할당할 수 있습니다. 이 문서에서는 Microsoft Entra 관리 센터, PowerShell 또는 Microsoft Graph API를 사용하여 역할 할당 가능 그룹에 Microsoft Entra 역할을 할당하는 방법을 설명합니다.
필수 조건
- Microsoft Entra ID P1 라이선스
- 권한 있는 역할 관리자 역할
- Microsoft Graph PowerShell 사용 시 Microsoft.Graph 모듈
- Azure AD PowerShell을 사용할 때 Azure AD PowerShell 모듈
- Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의
자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.
Microsoft Entra 관리 센터
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
Microsoft Entra 역할을 그룹에 할당하는 것은 역할 할당 가능 그룹만 사용할 수 있다는 점을 제외하고 사용자 및 서비스 주체를 할당하는 것과 비슷합니다.
팁
이러한 단계는 Microsoft Entra ID P1 라이선스가 있는 고객에게 적용됩니다. 테넌트에 Microsoft Entra ID P2 라이선스가 있는 경우 대신 Privileged Identity Management에서의 Microsoft Entra 역할 할당 단계를 따라야 합니다.
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자>역할 및 관리자로 이동합니다.
역할 이름을 선택하여 역할을 엽니다. 역할 옆에 확인 표시를 추가하지 마세요.
할당 추가를 선택합니다.
다음 스크린샷과 다른 내용이 표시되면 Microsoft Entra ID P2를 보유한 것일 수 있습니다. 자세한 내용은 Privileged Identity Management에서 Microsoft Entra 역할 할당을 참조하세요.
이 역할에 할당할 그룹을 선택합니다. 역할 할당 가능 그룹만 표시됩니다.
그룹이 나열되지 않은 경우 역할 할당 가능 그룹을 만들어야 합니다. 자세한 내용은 Microsoft Entra ID에서 역할 할당 가능 그룹 만들기를 참조하세요.
추가를 선택하여 그룹에 역할을 할당합니다.
PowerShell
역할 할당 가능 그룹 만들기
역할 할당 가능 그룹을 만들려면 New-MgGroup 명령을 사용합니다.
Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
할당하려는 역할 정의 가져오기
Get-MgRoleManagementDirectoryRoleDefinition 명령을 사용하여 역할 정의를 가져옵니다.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
역할 할당 만들기
New-MgRoleManagementDirectoryRoleAssignment 명령을 사용하여 역할을 할당합니다.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
Microsoft Graph API
역할 할당 가능 그룹 만들기
역할을 할당할 수 있는 그룹을 만들려면 그룹 만들기 API를 사용합니다.
Request
POST https://graph.microsoft.com/v1.0/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
응답
HTTP/1.1 201 Created
할당하려는 역할 정의 가져오기
List unifiedRoleDefinitions API를 사용하여 역할 정의를 가져옵니다.
Request
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
응답
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
역할 할당 만들기
Create unifiedRoleAssignment API를 사용하여 역할을 할당합니다.
Request
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of Group>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/"
}
응답
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
"id": "<Role assignment ID>",
"roleDefinitionId": "<ID of role definition>",
"principalId": "<Object ID of Group>",
"directoryScopeId": "/"
}