Creare un gruppo assegnabile al ruolo in Microsoft Entra ID

Con Microsoft Entra ID P1 o P2, è possibile creare gruppi assegnabili a ruoli, nonché assegnare ruoli Microsoft Entra a tali gruppi. Per creare un nuovo gruppo assegnabile al ruolo, impostare I ruoli di Microsoft Entra possono essere assegnati al gruppo su Sì o impostare la isAssignableToRole proprietà su true. Un gruppo assegnabile a ruoli non può far parte di un tipo di gruppo di appartenenza dinamico. In Microsoft Entra un singolo tenant può avere un massimo di 500 gruppi assegnabili a ruoli.

Questo articolo descrive come creare un gruppo assegnabile a ruoli usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API Microsoft Graph.

Prerequisiti

• Licenza Microsoft Entra ID P1 o P2
• Amministratore dei ruoli con privilegi
• Modulo Microsoft.Graph quando si usa PowerShell di Microsoft Graph
• Modulo PowerShell di Azure AD quando si usa PowerShell di Azure AD
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità>Gruppi>Tutti i gruppi.

3. Selezionare Nuovo gruppo.

4. Nella pagina Nuovo gruppo, specificare il tipo di gruppo, il nome e la descrizione.

5. Impostare I ruoli di Microsoft Entra possono essere assegnati al gruppo su Sì

   Questa opzione è visibile agli amministratori del ruolo con privilegi perché questo ruolo può impostare questa opzione.

   

6. Selezionare il membri e i proprietari del gruppo. Esiste anche l'opzione per assegnare i ruoli al gruppo, ma l'assegnazione di un ruolo non è necessaria qui.

7. Seleziona Crea.

   Verrà visualizzato il messaggio seguente:

   La creazione di un gruppo a cui è possibile assegnare i ruoli di Microsoft Entra è un'impostazione che non può essere modificata in un secondo momento. Aggiungere questa funzionalità?

   

8. Selezionare Sì.

   Il gruppo viene creato con tutti i ruoli a cui potrebbe essere stato assegnato.

PowerShell

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

API di Microsoft Graph

Usare l'API Crea gruppo per creare un gruppo assegnabile a ruoli.

In questo esempio viene illustrato come creare un gruppo assegnabile a ruoli di sicurezza.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Questo esempio illustra come creare un gruppo assegnabile a ruoli di Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Per questo tipo di gruppo, isPublic sarà sempre Falso e isSecurityEnabled sarà sempre Vero.

Passaggi successivi

• Assegnare i ruoli di Microsoft Entra ai gruppi
• Utilizzare i gruppi Microsoft Entra per gestire le assegnazioni di ruolo
• Risolvere i problemi relativi ai ruoli di Microsoft Entra assegnati ai gruppi