Создание группы с назначением роли в Microsoft Entra ID
С помощью идентификатора Microsoft Entra ID P1 или P2 можно создать группы с возможностью назначения ролей и назначить роли Microsoft Entra этим группам. Вы создаете новую группу с возможностью назначения ролей, задав роли Microsoft Entra, можно назначить группе "Да" или установив isAssignableToRole для свойства значение .true Группа, назначаемая ролем, не может иметь динамический тип членства, и вы можете создать не более 500 групп в одном клиенте.
В этой статье описывается, как создать группу с возможностью назначения ролей с помощью Центра администрирования Microsoft Entra, PowerShell или API Microsoft Graph.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2
- Администратор привилегированных ролей
- Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
- Модуль Azure AD PowerShell при использовании Azure AD PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к группам>удостоверений>Все группы.
Выберите Создать группу.
На странице "Новая группа" укажите тип группы, имя и описание.
Установка ролей Microsoft Entra может быть назначена группе"Да".
Этот параметр отображается только для привилегированных ролей Администратор istrator и глобальных Администратор istratorов, так как это только две роли, которые могут задать этот параметр.
Выберите участников и владельцев для группы. Вы также можете назначить роли группе, но на этом шаге назначение роли не требуется.
Нажмите кнопку создания.
Отобразится следующее сообщение:
Создание группы, к которой могут быть назначены роли Microsoft Entra, является параметром, который нельзя изменить позже. Вы уверены, что хотите добавить эту возможность?
Выберите Да.
Группа создается с любыми ролями, которые вы ей назначаете.
PowerShell
Используйте команду New-MgGroup для создания группы, назначаемой ролью.
В этом примере показано, как создать группу, назначаемую ролью безопасности.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
В этом примере показано, как создать группу, назначаемую ролем Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
API Microsoft Graph
Используйте API создания группы для создания группы, назначаемой ролью.
В этом примере показано, как создать группу, назначаемую ролью безопасности.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
В этом примере показано, как создать группу, назначаемую ролем Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Для группы этого типа параметр isPublic всегда будет иметь значение false и isSecurityEnabled всегда будет иметь значение true.