Nastavení samoobslužné správy skupin v Microsoft Entra ID

Uživatelům můžete povolit vytváření a správu vlastních skupin zabezpečení nebo skupin Microsoftu 365 v MICROSOFT Entra ID. Vlastník skupiny může schválit nebo odepřít žádosti o členství a delegovat kontrolu nad členstvím ve skupině. Funkce samoobslužné správy skupin nejsou k dispozici pro skupiny zabezpečení s podporou pošty ani distribuční seznamy.

Samoobslužné členství ve skupinách

Uživatelům můžete povolit vytváření skupin zabezpečení, které slouží ke správě přístupu ke sdíleným prostředkům. Uživatelé můžou vytvářet skupiny zabezpečení na webu Azure Portal pomocí PowerShellu Azure Active Directory (Azure AD) nebo ze Přístupový panel skupiny MyApps.

Důležité

30. března 2024 se plánuje vyřazení Azure AD PowerShellu. Další informace najdete v aktualizaci vyřazení. Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Microsoft Graph PowerShell umožňuje přístup ke všem rozhraním Microsoft Graph API a je k dispozici v PowerShellu 7. Odpovědi na běžné dotazy na migraci najdete v nejčastějších dotazech k migraci.

Členství můžou aktualizovat jenom vlastníci skupiny, ale vlastníkům skupin můžete poskytnout možnost schválit nebo odepřít žádosti o členství ze skupin MyApps Přístupový panel. Skupiny zabezpečení vytvořené samoobslužnou službou prostřednictvím skupin MyApps Přístupový panel jsou k dispozici pro připojení pro všechny uživatele bez ohledu na to, jestli jsou schválené vlastníkem nebo automaticky schvalované. Ve skupinách MyApps Přístupový panel můžete při vytváření skupiny změnit možnosti členství.

Skupiny Microsoftu 365 poskytují uživatelům příležitosti pro spolupráci. Skupiny můžete vytvářet v libovolné z aplikací Microsoft 365, jako je SharePoint, Microsoft Teams a Planner. Skupiny Microsoftu 365 můžete vytvářet také na portálech Azure Portal pomocí Prostředí Microsoft Graph PowerShell nebo z Přístupový panel skupiny MyApps. Další informace o rozdílu mezi skupinami zabezpečení a skupinami Microsoftu 365 najdete v tématu Další informace o skupinách.

Skupiny vytvořené v Výchozí chování skupiny zabezpečení Výchozí chování skupiny Microsoft 365
Microsoft Graph PowerShell Členy můžou přidávat jenom vlastníci.
Viditelné, ale není dostupné pro připojení ke skupinám MyApp Přístupový panel.
Otevřete se pro připojení pro všechny uživatele.
Azure Portal Členy můžou přidávat jenom vlastníci.
Viditelné, ale není dostupné pro připojení ke skupinám MyApps Přístupový panel.
Vlastník není automaticky přiřazen při vytváření skupiny.
Otevřete se pro připojení pro všechny uživatele.
Skupiny MyApps Přístupový panel Otevřete se pro připojení pro všechny uživatele.
Možnosti členství je možné změnit při vytváření skupiny.
Otevřete se pro připojení pro všechny uživatele.
Možnosti členství je možné změnit při vytváření skupiny.

Scénáře samoobslužné správy skupin

Dva scénáře pomáhají vysvětlit samoobslužnou správu skupin.

Delegovaná správa skupin

V tomto ukázkovém scénáři spravuje správce přístup k aplikaci SaaS (software jako služba), kterou společnost používá. Správa přístupových práv je těžkopádná, takže správce požádá vlastníka firmy, aby vytvořil novou skupinu. Správce přiřadí aplikaci přístup k nové skupině a přidá ji do skupiny, ke které už mají přístup všichni uživatelé, kteří k aplikaci přistupují. Majitel firmy potom může přidat další uživatele a tito uživatelé budou automaticky přiřazeni k aplikaci.

Kvůli správě přístupu pro uživatele tak majitel firmy nemusí čekat na správce. Pokud správce udělí stejnému oprávnění manažerovi v jiné obchodní skupině, může tato osoba také spravovat přístup pro své členy skupiny. Vlastník firmy a nadřízený nemůžou zobrazit ani spravovat členství ve skupinách ostatních. Správce může stále zobrazit všechny uživatele, kteří mají přístup k aplikaci, a v případě potřeby zablokovat přístupová práva.

Samoobslužná správa skupin

V tomto ukázkovém scénáři mají dva uživatelé weby SharePointu Online, které nastavují nezávisle. Chtějí dát týmům navzájem přístup k jejich webům. K dosažení tohoto úkolu mohou vytvořit jednu skupinu v ID Microsoft Entra. V SharePointu Online každý z nich vybere tuto skupinu a poskytne přístup k jejich webům.

Když chce někdo získat přístup, požádá ho o přístup ze Přístupový panel skupiny MyApps. Po schválení získají přístup k oběma webům SharePointu Online automaticky. Později se jeden z nich rozhodne, že všichni uživatelé s přístupem k webu by měli získat přístup i k určité aplikaci SaaS. Správce aplikace SaaS může přidat přístupová práva k aplikacím na web SharePoint Online. Od té poté všechny žádosti, které jsou schváleny, poskytují přístup ke dvěma webům SharePointu Online a také k aplikaci SaaS.

Zpřístupnění skupiny pro uživatelskou samoobsluhu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň skupiny Správa istrator.

  2. Vyberte Microsoft Entra ID.

  3. Vyberte Všechny skupiny> a pak vyberte Obecné nastavení.

    Poznámka:

    Toto nastavení omezuje přístup pouze k informacím o skupině v části Moje skupiny. Neomezuje přístup k informacím o skupinách prostřednictvím jiných metod, jako jsou volání rozhraní Microsoft Graph API nebo Centrum pro správu Microsoft Entra.

    Screenshot that shows Microsoft Entra groups General settings.

    Poznámka:

    V červnu 2024 se nastavení Omezit přístup uživatelů k mým skupinám změní tak, aby uživatelé mohli zobrazovat a upravovat skupiny zabezpečení v mých skupinách. Pokud je nastavení aktuálně nastavené na Ano, uživatelé budou mít přístup k mým skupinám v červnu 2024, ale nebudou moct zobrazit skupiny zabezpečení.

  4. Nastavení Vlastníci můžou spravovat žádosti o členství ve skupinách v Přístupový panel na Ano.

  5. Nastavte možnost Omezit uživatelům přístup k funkcím skupin v Přístupový panel na Ne.

  6. Nastavte uživatele, kteří můžou vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo PowerShell na ano nebo ne.

    Další informace o tomto nastavení najdete v tématu Nastavení skupiny.

  7. Nastavení uživatelů může vytvářet skupiny Microsoft 365 na webu Azure Portal, rozhraní API nebo PowerShell na ano nebo ne.

    Další informace o tomto nastavení najdete v tématu Nastavení skupiny.

Můžete také použít vlastníky, kteří můžou členy přiřazovat jako vlastníky skupin na webu Azure Portal , abyste dosáhli podrobnějšího řízení přístupu nad samoobslužnou správou skupin pro vaše uživatele.

Když můžou uživatelé vytvářet skupiny, můžou vytvářet nové skupiny všichni uživatelé ve vaší organizaci. Jako výchozí vlastník pak může do těchto skupin přidávat členy. Nemůžete určit jednotlivce, kteří můžou vytvářet vlastní skupiny. Jednotlivce můžete zadat jenom pro vytvoření jiného člena skupiny jako vlastníka skupiny.

Poznámka:

Licence Microsoft Entra ID P1 nebo P2 se vyžaduje, aby uživatelé požádali o připojení ke skupině zabezpečení nebo skupině Microsoft 365 a aby vlastníci mohli schválit nebo odepřít žádosti o členství. Bez licence Microsoft Entra ID P1 nebo P2 můžou uživatelé dál spravovat své skupiny v Přístupový panel MyApp Groups. Nemůžou ale vytvořit skupinu, která vyžaduje schválení vlastníka, a nemůžou požádat o připojení ke skupině.

Nastavení skupin

Nastavení skupiny umožňuje řídit, kdo může vytvářet skupiny zabezpečení a Skupiny Microsoftu 365.

Screenshot that shows Microsoft Entra security groups setting change.

Následující tabulka vám pomůže rozhodnout, které hodnoty se mají zvolit.

Nastavení Hodnota Vliv na vašeho tenanta
Uživatelé můžou vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo PowerShellu. Ano Všichni uživatelé ve vaší organizaci Microsoft Entra mohou vytvářet nové skupiny zabezpečení a přidávat do nich členy na webu Azure Portal, rozhraní API nebo PowerShellu. Tyto nové skupiny se také zobrazí v Přístupový panel pro všechny ostatní uživatele. Pokud to nastavení zásad skupiny umožňuje, můžou ostatní uživatelé vytvářet žádosti o připojení k těmto skupinám.
No Uživatelé nemůžou vytvářet skupiny zabezpečení. Stále můžou spravovat členství ve skupinách, pro které jsou vlastníkem, a schvalovat žádosti ostatních uživatelů, aby se připojili ke svým skupinám.
Uživatelé můžou vytvářet skupiny Microsoft 365 na webu Azure Portal, rozhraní API nebo PowerShellu. Ano Všichni uživatelé ve vaší organizaci Microsoft Entra mohou vytvářet nové skupiny Microsoftu 365 a přidávat do nich členy na webu Azure Portal, rozhraní API nebo PowerShellu. Tyto nové skupiny se také zobrazí v Přístupový panel pro všechny ostatní uživatele. Pokud to nastavení zásad skupiny umožňuje, můžou ostatní uživatelé vytvářet žádosti o připojení k těmto skupinám.
No Uživatelé nemůžou vytvářet skupiny M365. Stále můžou spravovat členství ve skupinách, pro které jsou vlastníkem, a schvalovat žádosti ostatních uživatelů, aby se připojili ke svým skupinám.

Tady je několik dalších podrobností o těchto nastaveních skupiny:

  • Platnost těchto nastavení může trvat až 15 minut.
  • Pokud chcete některé, ale ne všechny uživatele povolit k vytváření skupin, můžete těmto uživatelům přiřadit roli, která může vytvářet skupiny, například skupiny Správa istrator.
  • Tato nastavení platí pro uživatele a nemají vliv na instanční objekty. Pokud jste například měli instanční objekt s oprávněními k vytváření skupin, i když jste tato nastavení nastavili na Ne, instanční objekt může i nadále vytvářet skupiny.

Konfigurace nastavení skupiny pomocí Microsoft Graphu

Konfigurace uživatelů může vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo nastavení PowerShellu pomocí Microsoft GraphuEnableGroupCreation, nakonfigurovat objekt v objektugroupSettings. Další informace najdete v tématu Přehled nastavení skupiny.

Chcete-li nakonfigurovat uživatele mohou vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo nastavení PowerShellu pomocí Microsoft Graphu, aktualizujte allowedToCreateSecurityGroups vlastnost defaultUserRolePermissions v objektu authorizationPolicy .

Další kroky

Další informace o MICROSOFT Entra ID naleznete v tématu: