向组分配 Azure AD 角色

本部分介绍 IT 管理员如何将 Azure Active Directory (Azure AD) 角色分配到 Azure AD 组。

先决条件

  • Azure AD Premium P1 或 P2 许可证
  • 特权角色管理员或全局管理员
  • 使用 PowerShell 时需要 AzureAD 模块
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

Azure 门户

向 Azure AD 角色分配组类似于分配用户和服务主体,只不过只能使用可分配角色的组。 在 Azure 门户中,只显示可分配角色的组。

  1. 登录到 Azure 门户

  2. 选择“Azure Active Directory” > “角色和管理员”,然后选择要分配的角色 。

  3. 在“角色名称”页上,选择 >“添加分配”。

    添加新的角色分配

  4. 选择组。 仅显示可分配给 Azure AD 角色的组。

    对于新的角色分配,仅显示可分配的组。

  5. 选择 添加

有关分配角色权限的详细信息,请参阅将管理员和非管理员角色分配给用户

PowerShell

创建可分配给角色的组

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $true -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

获取要分配的角色的角色定义

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

创建角色分配

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

创建可被分配 Azure AD 角色的组

POST https://microsoftgraph.chinacloudapi.cn/beta/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [],
"mailEnabled": false,
"securityEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"isAssignableToRole": true
}

获取角色定义

GET https://microsoftgraph.chinacloudapi.cn/beta/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

创建角色分配

POST https://microsoftgraph.chinacloudapi.cn/beta/roleManagement/directory/roleAssignments
{
"principalId":"<Object Id of Group>",
"roleDefinitionId":"<ID of role definition>",
"directoryScopeId":"/"
}

后续步骤