Crie um grupo atribuível a funções no Azure Active Directory

Você só pode atribuir uma função a um grupo que foi criado com a propriedade "isAssignableToRole" definida como true ou que foi criado no portal do Azure com a opção Funções do Azure Active Directory podem ser atribuídas ao grupo ativada. Esse atributo de grupo permite que uma função seja atribuída a um grupo no Azure Active Directory (Azure AD). Este artigo descreve como criar esse tipo especial de grupo. Observação: um grupo com a propriedade isAssignableToRole definida como true não pode ser do tipo de associação dinâmica. Para mais informações, confira Usar grupos do Azure AD para gerenciar atribuições de função.

Pré-requisitos

  • Licença do Azure AD Premium P1 ou P2
  • Administrador de função com privilégios ou Administrador global
  • Módulo AzureAD ao usar o PowerShell
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Portal do Azure

  1. Entre no portal do Azure ou no Centro de Administração do Azure AD.

  2. Selecione Azure Active Directory>Grupos>Todos os grupos>Novo grupo.

    Open Azure Active Directory and create a new group.

  3. Na guia Novo grupo, forneça o tipo, o nome e a descrição do grupo.

  4. Ative Funções do Azure Active Directory podem ser atribuídas ao grupo. Essa opção é visível somente para administradores de função com privilégios e administradores globais, porque elas são as únicas funções que podem ativar a opção.

    Make the new group eligible for role assignment

  5. Selecione os membros e os proprietários do grupo. Você também pode atribuir funções ao grupo, mas a atribuição de funções não é necessária aqui.

    Add members to the role-assignable group and assign roles.

  6. Depois de especificar os membros e os proprietários, selecione Criar.

    The Create button is at the bottom of the page.

O grupo é criado com quaisquer funções que você atribuiu a ele.

PowerShell

Criar um grupo que possa ser atribuído à função

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Para esse tipo de grupo, isPublic sempre será false e isSecurityEnabled será sempre true.

Copie os usuários e as entidades de serviço de um grupo para um grupo atribuível a funções

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

API do Microsoft Graph

Criar um grupo atribuível a funções no Azure Active Directory

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "securityEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "visibility" : "Private"
}

Para esse tipo de grupo, isPublic sempre será false e isSecurityEnabled será sempre true.

Próximas etapas