Microsoft Entra ID'de rol atanabilir grup oluşturma
Microsoft Entra ID P1 veya P2 ile rol atanabilir gruplar oluşturabilir ve Microsoft Entra rollerini bu gruplara atayabilirsiniz. Microsoft Entra rolleri gruba Evet olarak atanabilir veya özelliği olarak ayarlanarak true
isAssignableToRole
yeni bir rol atanabilir grup oluşturursunuz. Rol atanabilir grup, dinamik üyelik grubu türünün parçası olamaz. Microsoft Entra'da tek bir kiracıda en fazla 500 rol atanabilir grup olabilir.
Bu makalede, Microsoft Entra yönetim merkezi, PowerShell veya Microsoft Graph API'sini kullanarak rol atanabilir bir grubun nasıl oluşturulacağı açıklanır.
Önkoşullar
- Microsoft Entra Kimlik P1 veya P2 lisansı
- Ayrıcalıklı Rol Yöneticisi
- Microsoft Graph PowerShell kullanırken Microsoft.Graph modülü
- Azure AD PowerShell kullanırken Azure AD PowerShell modülü
- Microsoft Graph API için Graph gezginini kullanırken yönetici onayı
Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.
Microsoft Entra yönetim merkezi
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.
Kimlik>Grupları>Tüm gruplar'a göz atın.
Yeni Grup seçeneğini belirleyin.
Yeni Grup sayfasında grup türü, ad ve açıklama girin.
Microsoft Entra rollerinin gruba Evet olarak atanabileceğini ayarlayın.
Bu rol bu seçeneği ayarlayabildiği için bu seçenek Ayrıcalıklı Rol Yöneticileri'ne görünür.
Grubun üyelerini ve sahiplerini seçin. Ayrıca gruba rol atama seçeneğiniz de vardır, ancak burada rol atamanız gerekmez.
Oluştur'u belirleyin.
Aşağıdaki iletiyi görürsünüz:
Microsoft Entra rollerinin atanabileceği bir grup oluşturmak, daha sonra değiştirilemeyen bir ayardır. Bu özelliği eklemek istediğinizden emin misiniz?
Evet'i seçin.
Grup, kendisine atamış olabileceğiniz rollerle oluşturulur.
PowerShell
Rol atanabilir bir grup oluşturmak için New-MgGroup komutunu kullanın.
Bu örnekte, Güvenlik rolü atanabilir grubu oluşturma gösterilmektedir.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Bu örnekte, Microsoft 365 rol atanabilir grubu oluşturma gösterilmektedir.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
Rol atanabilir bir grup oluşturmak için Grup oluşturma API'sini kullanın.
Bu örnekte, Güvenlik rolü atanabilir grubu oluşturma gösterilmektedir.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Bu örnekte, Microsoft 365 rol atanabilir grubu oluşturma gösterilmektedir.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Bu tür bir grup için her isPublic
zaman false olur ve isSecurityEnabled
her zaman doğru olur.