在 Microsoft Entra ID 中创建可分配角色的组

1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>组>所有组。

3. 选择 “新建”组。

4. 在 “新建组” 页上，提供组类型、名称和说明。

5. 将“可以将 Microsoft Entra 角色分配给组”设置为“是”。

   此选项对特权角色管理员可见，因为此角色可以设置此选项。

   

6. 选择该组的成员和所有者。 也可以选择将角色分配到组，但并不需要在此处分配角色。

7. 选择“创建” 。

   你会看到以下消息：

   创建可向其分配 Microsoft Entra 角色的组这一设置以后无法更改。 是否确定要添加此功能？

   

8. 选择“ 是”。

   该组创建完成，具有你可能已经分配给它的角色。

使用 New-MgGroup 命令创建可分配角色的组。

此示例演示如何创建可分配角色的安全组。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

此示例演示如何创建 Microsoft 365 可分配角色的组。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

使用 “创建组 API” 创建可分配角色的组。

此示例演示如何创建可分配角色的安全组。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

响应

HTTP/1.1 201 Created

此示例演示如何创建 Microsoft 365 可分配角色的组。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

对于这种类型的组，isPublic 始终为 false，isSecurityEnabled 始终为 true。