在 Microsoft Entra ID 中创建可分配角色的组

项目
11/30/2023

凭借 Microsoft Entra ID P1 或 P2，可以创建可分配角色的组，并将 Microsoft Entra 角色分配给这些组。通过将“可以将 Microsoft Entra 角色分配给组”设置为“是”，或者通过将 isAssignableToRole 属性设置为 true 来创建新的可分配角色的组。可分配角色的组不能是动态成员身份类型，在单个租户中最多可以创建 500 个组。

本文介绍如何使用 Microsoft Entra 管理中心、PowerShell 或 Microsoft Graph API 创建可分配角色的组。

先决条件

Microsoft Entra ID P1 或 P2 许可证
特权角色管理员
使用 Microsoft Graph PowerShell 时需要 Microsoft.Graph 模块
使用 Azure AD PowerShell 时的 Azure AD PowerShell 模块
将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息，请参阅使用 PowerShell 或 Graph 浏览器的先决条件。

Microsoft Entra 管理中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
选择新建组。
在“新建组”页面上，提供组的类型、名称和说明。
将“可以将 Microsoft Entra 角色分配给组”设置为“是”。

只有特权角色管理员和全局管理员才能看到此选项，因为只有这两个角色可以设置此选项。
选择该组的成员和所有者。也可以选择将角色分配到组，但并不需要在此处分配角色。
选择“创建” 。

你会看到以下消息：

创建可向其分配 Microsoft Entra 角色的组这一设置以后无法更改。是否确定要添加此功能？
选择 “是” 。

该组创建完成，具有你可能已经分配给它的角色。

使用 New-MgGroup 命令创建可分配角色的组。

此示例演示如何创建可分配角色的安全组。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

此示例演示如何创建 Microsoft 365 可分配角色的组。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

使用 New-AzureADMSGroup 命令创建可分配角色的组。

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

对于这种类型的组，isPublic 将始终为 false，isSecurityEnabled 将始终为 true。

将一个组的用户和服务主体复制到可分配角色的组中

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator or Global Administrator. Only these two roles can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

使用创建组 API 创建可分配角色的组。