向组分配 Azure AD 角色

本部分介绍 IT 管理员如何将 Azure Active Directory (Azure AD) 角色分配到 Azure AD 组。

先决条件

  • Azure AD Premium P1 或 P2 许可证
  • 特权角色管理员或全局管理员
  • 使用 PowerShell 时需要 AzureAD 模块
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

Azure 门户

向 Azure AD 角色分配组类似于分配用户和服务主体,只不过只能使用可分配角色的组。 在 Azure 门户中,只显示可分配角色的组。

  1. 登录到 Azure 门户

  2. 选择“Azure Active Directory”>“角色和管理员”,然后选择要分配的角色 。

  3. 在“角色名称”页上,选择 >“添加分配”。

    添加新的角色分配

  4. 选择组。 仅显示可分配给 Azure AD 角色的组。

    对于新的角色分配,仅显示可分配的组。

  5. 选择 添加

有关分配角色权限的详细信息,请参阅将管理员和非管理员角色分配给用户

PowerShell

创建可分配给角色的组

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

获取要分配的角色的角色定义

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

创建角色分配

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

创建可被分配 Azure AD 角色的组

使用 Create group API 创建组。

POST https://microsoftgraph.chinacloudapi.cn/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

获取角色定义

使用 List unifiedRoleDefinitions API 获取角色定义。

GET https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

创建角色分配

使用 Create unifiedRoleAssignment API 分配角色。

POST https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object Id of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

后续步骤