Azure AD：Powershell脚本可基于组创建角色

Question

我有一个独特的要求，需要您的帮助。 场景如下： 1.我们有一个分配了某些组的应用 2.我们需要创建一个与每个组相对应的角色。角色名称将与组名称相同。 3.然后，应将角色分配给相应的组。 4.需要为分配给该应用程序的所有组（而不是目录中的所有组）完成

据我了解，脚本的流程如下： 1.以应用程序ID为输入，并以空白CSV文件作为输入 2.根据应用程序ID提取分配给该应用程序的所有组。使用组名更新CSV文件。 3.对于CSV中的每个条目，创建一个与组名称相同的新角色。在同一迭代中，将此角色分配给应用程序中的该组。

我正在努力制作以上脚本。有人可以帮忙吗？ 提前致谢！ 3.

Answer 1

当前不支持将目录角色委派给组。您只能将目录角色分配给用户。您将需要手动将组成员与特定角色的角色成员同步，并为每个用户执行此操作。请参阅“用户语音”上的功能请求：https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/12938997-azuread-role-delegation-to-groups

您可能想使用RBAC（而不是目录角色）来控制目录用户和组对资源的访问。使用RBAC，您可以将访问权限分配给组和用户。下面的屏幕快照显示了如何分配对一个Azure AD组的访问权限：