Tilldela Microsoft Entra-roller till grupper

  • Artikel

För att förenkla rollhanteringen kan du tilldela Microsoft Entra-roller till en grupp i stället för enskilda personer. I den här artikeln beskrivs hur du tilldelar Microsoft Entra-roller till rolltilldelningsbara grupper med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph API.

Förutsättningar

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Microsoft Entra administrationscenter

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Att tilldela en Microsoft Entra-roll till en grupp liknar att tilldela användare och tjänstens huvudnamn, förutom att endast grupper som är rolltilldelningsbara kan användas.

Dricks

De här stegen gäller för kunder som har en Microsoft Entra ID P1-licens. Om du har en Microsoft Entra ID P2-licens i din klientorganisation bör du i stället följa stegen i Tilldela Microsoft Entra-roller i Privileged Identity Management.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Välj rollnamnet för att öppna rollen. Lägg inte till någon bock bredvid rollen.

    Screenshot that shows selecting a role.

  4. Välj Lägg till tilldelningar.

    Om du ser något annat än följande skärmbild kan du ha Microsoft Entra ID P2. Mer information finns i Tilldela Microsoft Entra-roller i Privileged Identity Management.

    Screenshot of Add assignments pane to assign role to users or groups.

  5. Välj den grupp som du vill tilldela till den här rollen. Endast rolltilldelningsbara grupper visas.

    Om gruppen inte visas måste du skapa en rolltilldelningsbar grupp. Mer information finns i Skapa en rolltilldelningsbar grupp i Microsoft Entra-ID.

  6. Välj Lägg till för att tilldela rollen till gruppen.

PowerShell

Skapa en rolltilldelningsbar grupp

Använd kommandot New-MgGroup för att skapa en rolltilldelningsbar grupp.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Hämta den rolldefinition som du vill tilldela

Använd kommandot Get-MgRoleManagementDirectoryRoleDefinition för att hämta en rolldefinition.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Skapa en rolltilldelning

Använd kommandot New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Skapa en rolltilldelningsbar grupp

Använd API:et Skapa grupp för att skapa en rolltilldelningsbar grupp.

Begär

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Hämta den rolldefinition som du vill tilldela

Använd API:et List unifiedRoleDefinitions för att hämta en rolldefinition.

Begär

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Skapa rolltilldelningen

Använd API:et Create unifiedRoleAssignment för att tilldela rollen.

Begär

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Nästa steg