Microsoft Entra ID'de rol atanabilir grup oluşturma

Microsoft Entra ID P1 veya P2 ile rol atanabilir gruplar oluşturabilir ve Microsoft Entra rollerini bu gruplara atayabilirsiniz. Microsoft Entra rolleri gruba Evet olarak atanabilir veya özelliği olarak ayarlanarak trueisAssignableToRole yeni bir rol atanabilir grupoluşturursunuz. Rol atanabilir grup dinamik üyelik türünde olamaz ve tek bir kiracıda en fazla 500 grup oluşturabilirsiniz.

Bu makalede, Microsoft Entra yönetim merkezi, PowerShell veya Microsoft Graph API'sini kullanarak rol atanabilir bir grubun nasıl oluşturulacağı açıklanır.

Önkoşullar

• Microsoft Entra Kimlik P1 veya P2 lisansı
• Ayrıcalıklı Rol Yöneticisi
• Microsoft Graph PowerShell kullanırken Microsoft.Graph modülü
• Azure AD PowerShell kullanırken Azure AD PowerShell modülü
• Microsoft Graph API için Graph gezginini kullanırken yönetici onayı

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Microsoft Entra yönetim merkezi

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

2. Kimlik>Grupları>Tüm gruplar'a göz atın.

3. Yeni Grup seçeneğini belirleyin.

4. Yeni Grup sayfasında grup türü, ad ve açıklama girin.

5. Microsoft Entra rollerinin grubaEvet olarak atanabileceğini ayarlayın.

   Bu seçenek yalnızca Ayrıcalıklı Rol Yönetici istrator'lar ve Genel Yönetici istrator'lar tarafından görülebilir çünkü bunlar yalnızca bu seçeneği ayarlayan iki roldür.

   

6. Grubun üyelerini ve sahiplerini seçin. Ayrıca gruba rol atama seçeneğiniz de vardır, ancak burada rol atamanız gerekmez.

7. Oluştur’u seçin.

   Aşağıdaki iletiyi görürsünüz:

   Microsoft Entra rollerinin atanabileceği bir grup oluşturmak, daha sonra değiştirilemeyen bir ayardır. Bu özelliği eklemek istediğinizden emin misiniz?

   

8. Evet'i seçin.

   Grup, kendisine atamış olabileceğiniz rollerle oluşturulur.

PowerShell

Microsoft Graph PowerShell

Rol atanabilir bir grup oluşturmak için New-MgGroup komutunu kullanın.

Bu örnekte, Güvenlik rolü atanabilir grubu oluşturma gösterilmektedir.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Bu örnekte, Microsoft 365 rol atanabilir grubu oluşturma gösterilmektedir.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Azure AD PowerShell

Rol atanabilir bir grup oluşturmak için New-AzureADMSGroup komutunu kullanın.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

Bu tür bir grup için her isPublic zaman false olur ve isSecurityEnabled her zaman doğru olur.

Bir grubun kullanıcılarını ve hizmet sorumlularını rol atanabilir bir gruba kopyalama

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

Rol atanabilir bir grup oluşturmak için Grup oluşturma API'sini kullanın.

Bu örnekte, Güvenlik rolü atanabilir grubu oluşturma gösterilmektedir.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Bu örnekte, Microsoft 365 rol atanabilir grubu oluşturma gösterilmektedir.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Bu tür bir grup için her isPublic zaman false olur ve isSecurityEnabled her zaman doğru olur.

Sonraki adımlar

• Microsoft Entra rollerini gruplara atama
• Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma
• Gruplara atanan Microsoft Entra rolleriyle ilgili sorunları giderme