Microsoft Entra rollerini gruplara atama

Rol yönetimini basitleştirmek için, Microsoft Entra rollerini kişiler yerine bir gruba atayabilirsiniz. Bu makalede, Microsoft Entra yönetim merkezi, PowerShell veya Microsoft Graph API'sini kullanarak rol atanabilir gruplara Microsoft Entra rollerinin nasıl atandığı açıklanmaktadır.

Önkoşullar

• Microsoft Entra Id P1 lisansı
• Ayrıcalıklı Rol Yönetici istrator rolü
• Microsoft Graph PowerShell kullanırken Microsoft.Graph modülü
• Azure AD PowerShell kullanırken Azure AD PowerShell modülü
• Microsoft Graph API için Graph gezginini kullanırken yönetici onayı

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Microsoft Entra yönetim merkezi

Bir gruba Microsoft Entra rolü atamak, yalnızca rol atanabilir grupların kullanılabilmesi dışında kullanıcı ve hizmet sorumluları atamaya benzer.

1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

2. Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.

   

3. Rolü açmak için rol adını seçin. Rolün yanına onay işareti eklemeyin.

   

4. Atama ekle’yi seçin.

   Aşağıdaki ekran görüntüsünden farklı bir şey görürseniz Microsoft Entra Id P2'niz olabilir. Daha fazla bilgi için bkz . Privileged Identity Management'ta Microsoft Entra rollerini atama.

   

5. Bu role atamak istediğiniz grubu seçin. Yalnızca rol atanabilir gruplar görüntülenir.

   Grup listelenmiyorsa rol atanabilir bir grup oluşturmanız gerekir. Daha fazla bilgi için bkz . Microsoft Entra Id'de rol atanabilir grup oluşturma.

6. Rolü gruba atamak için Ekle'yi seçin.

PowerShell

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Rol atanabilir grup oluşturma

Rol atanabilir bir grup oluşturmak için Grup oluşturma API'sini kullanın.

İste

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

Atamak istediğiniz rol tanımını alma

Rol tanımı almak için List unifiedRoleDefinitions API'sini kullanın.

İste

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Rol atamasını oluşturma

Rolü atamak için UnifiedRoleAssignment API'sini oluşturun.

İste

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Sonraki adımlar

• Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma
• Gruplara atanan Microsoft Entra rolleriyle ilgili sorunları giderme