Een rol toewijsbare groep maken in Microsoft Entra ID
Met Microsoft Entra ID P1 of P2 kunt u rollentoewijzingsgroepen maken en Microsoft Entra-rollen toewijzen aan deze groepen. U maakt een nieuwe roltoewijzingsgroep door Microsoft Entra-rollen in te stellen , kan worden toegewezen aan de groep op Ja of door de isAssignableToRole eigenschap in te truestellen op . Een roltoewijzingsgroep kan niet van dynamisch lidmaatschapstype zijn en u kunt maximaal 500 groepen maken in één tenant.
In dit artikel wordt beschreven hoe u een roltoewijsbare groep maakt met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph API.
Vereisten
- Licentie voor Microsoft Entra ID P1 of P2
- Beheerder voor bevoorrechte rollen
- Microsoft.Graph-module bij gebruik van Microsoft Graph PowerShell
- Azure AD PowerShell-module bij het gebruik van Azure AD PowerShell
- U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API
Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.
Microsoft Entra-beheercentrum
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
Blader naar Identiteitsgroepen>>Alle groepen.
Selecteer Nieuwe groep.
Geef op de pagina Nieuwe groep het groepstype, de naam en de beschrijving op.
Microsoft Entra-rollen instellen kan worden toegewezen aan de groep op Ja.
Deze optie is alleen zichtbaar voor bevoorrechte rollen Beheer istrators en globale Beheer istrators, omdat dit slechts twee rollen zijn die deze optie kunnen instellen.
Selecteer de leden en eigenaren voor de groep. U hebt ook de mogelijkheid om rollen toe te wijzen aan de groep, maar het toewijzen van een rol is hier niet vereist.
Selecteer Maken.
U ziet het volgende bericht:
Het maken van een groep waaraan Microsoft Entra-rollen kunnen worden toegewezen, is een instelling die later niet kan worden gewijzigd. Weet u zeker dat u deze mogelijkheid wilt toevoegen?
Selecteer Ja.
De groep wordt gemaakt met alle rollen die u eraan hebt toegewezen.
PowerShell
Gebruik de opdracht New-MgGroup om een roltoewijzingsgroep te maken.
In dit voorbeeld ziet u hoe u een beveiligingsroltoewijzingsgroep maakt.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
In dit voorbeeld ziet u hoe u een microsoft 365-groep maakt waaraan rollen kunnen worden toegewezen.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
Gebruik de GROEPS-API maken om een roltoewijzingsgroep te maken.
In dit voorbeeld ziet u hoe u een beveiligingsroltoewijzingsgroep maakt.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
In dit voorbeeld ziet u hoe u een microsoft 365-groep maakt waaraan rollen kunnen worden toegewezen.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Voor dit type groep isPublic is altijd onwaar en isSecurityEnabled altijd waar.