Skapa en rolltilldelningsbar grupp i Microsoft Entra ID

Med Microsoft Entra ID P1 eller P2 kan du skapa rolltilldelningsbara grupper och tilldela Microsoft Entra-roller till dessa grupper. Du skapar en ny rolltilldelningsbar grupp genom att ange Microsoft Entra-roller kan tilldelas gruppen till Ja eller genom att ange isAssignableToRole egenskapen inställd på true. En rolltilldelningsbar grupp kan inte vara av dynamisk medlemskapstyp och du kan skapa högst 500 grupper i en enda klientorganisation.

I den här artikeln beskrivs hur du skapar en rolltilldelningsbar grupp med hjälp av administrationscentret för Microsoft Entra, PowerShell eller Microsoft Graph API.

Förutsättningar

• Microsoft Entra ID P1- eller P2-licens
• Administratör för privilegierad roll
• Microsoft.Graph-modul när du använder Microsoft Graph PowerShell
• Azure AD PowerShell-modul när du använder Azure AD PowerShell
• Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Administrationscenter för Microsoft Entra

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Identitetsgrupper>>Alla grupper.

3. Välj Ny grupp.

4. På sidan Ny grupp anger du grupptyp, namn och beskrivning.

5. Ange Microsoft Entra-roller kan tilldelas gruppen tillJa.

   Det här alternativet är endast synligt för privilegierade rolladministratörer och globala administratörer eftersom det bara är två roller som kan ange det här alternativet.

   

6. Välj medlemmar och ägare för gruppen. Du har också möjlighet att tilldela roller till gruppen, men att tilldela en roll krävs inte här.

7. Välj Skapa.

   Följande meddelande visas:

   Att skapa en grupp som Microsoft Entra-roller kan tilldelas till är en inställning som inte kan ändras senare. Vill du lägga till den här funktionen?

   

8. Välj Ja.

   Gruppen skapas med alla roller som du har tilldelat den.

PowerShell

Microsoft Graph PowerShell

Använd kommandot New-MgGroup för att skapa en rolltilldelningsbar grupp.

Det här exemplet visar hur du skapar en rolltilldelningsbar grupp för säkerhet.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Det här exemplet visar hur du skapar en rolltilldelningsbar grupp i Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

Använd kommandot New-AzureADMSGroup för att skapa en rolltilldelningsbar grupp.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

För den här typen av grupp isPublic är det alltid falskt och isSecurityEnabled kommer alltid att vara sant.

Kopiera en grupps användare och tjänstens huvudnamn till en rolltilldelningsbar grupp

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

Använd API:et Skapa grupp för att skapa en rolltilldelningsbar grupp.

Det här exemplet visar hur du skapar en rolltilldelningsbar grupp för säkerhet.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Det här exemplet visar hur du skapar en rolltilldelningsbar grupp i Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

För den här typen av grupp isPublic är det alltid falskt och isSecurityEnabled kommer alltid att vara sant.

Nästa steg

• Tilldela Microsoft Entra-roller till grupper
• Använda molngrupper för att hantera rolltilldelningar i Microsoft Entra
• Felsöka Microsoft Entra-roller som tilldelats till grupper