Sdílet prostřednictvím


Nastavení samoobslužné správy skupin v Microsoft Entra ID

Uživatelům můžete povolit vytváření a správu vlastních skupin zabezpečení nebo skupin Microsoftu 365 v MICROSOFT Entra ID. Vlastník skupiny může schválit nebo odepřít žádosti o členství a delegovat kontrolu nad členstvím ve skupině. Funkce samoobslužné správy skupin nejsou k dispozici pro skupiny zabezpečení s podporou pošty ani distribuční seznamy.

Samoobslužné členství ve skupinách

Uživatelům můžete povolit vytváření skupin zabezpečení, které slouží ke správě přístupu ke sdíleným prostředkům. Uživatelé můžou vytvářet skupiny zabezpečení na webu Azure Portal pomocí PowerShellu azure Active Directory (Azure AD) nebo z portálu Moje skupiny.

Snímek obrazovky s portálem Moje skupiny

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

Členství můžou aktualizovat jenom vlastníci skupiny, ale vlastníkům skupin můžete poskytnout možnost schvalovat nebo odepřít žádosti o členství z portálu Moje skupiny. Skupiny zabezpečení vytvořené samoobslužnou službou prostřednictvím portálu Moje skupiny jsou k dispozici pro připojení pro všechny uživatele bez ohledu na to, jestli jsou schválené vlastníkem nebo automaticky schvalované. Na portálu Moje skupiny můžete při vytváření skupiny změnit možnosti členství.

Skupiny Microsoftu 365 poskytují uživatelům příležitosti pro spolupráci. Skupiny můžete vytvářet v libovolné z aplikací Microsoft 365, jako je SharePoint, Microsoft Teams a Planner. Skupiny Microsoftu 365 můžete vytvářet také na portálech Azure Portal pomocí Prostředí Microsoft Graph PowerShell nebo z portálu Moje skupiny. Další informace o rozdílu mezi skupinami zabezpečení a skupinami Microsoftu 365 najdete v tématu Další informace o skupinách.

Skupiny vytvořené v Výchozí chování skupiny zabezpečení Výchozí chování skupiny Microsoft 365
Microsoft Graph PowerShell Členy můžou přidávat jenom vlastníci.
Viditelné, ale není dostupné pro připojení ke skupinám MyApp Přístupový panel.
Otevřete se pro připojení pro všechny uživatele.
Azure Portal Členy můžou přidávat jenom vlastníci.
Viditelné, ale není dostupné pro připojení k portálu Moje skupiny.
Vlastník není automaticky přiřazen při vytváření skupiny.
Otevřete se pro připojení pro všechny uživatele.
Portál Moje skupiny Uživatelé můžou spravovat skupiny a požádat o přístup ke skupinám, aby se sem připojili.
Možnosti členství je možné změnit při vytváření skupiny.
Otevřete se pro připojení pro všechny uživatele.
Možnosti členství je možné změnit při vytváření skupiny.

Scénáře samoobslužné správy skupin

Dva scénáře pomáhají vysvětlit samoobslužnou správu skupin.

Delegovaná správa skupin

V tomto ukázkovém scénáři spravuje správce přístup k aplikaci SaaS (software jako služba), kterou společnost používá. Správa přístupových práv je těžkopádná, takže správce požádá vlastníka firmy, aby vytvořil novou skupinu. Správce přiřadí aplikaci přístup k nové skupině a přidá ji do skupiny, ke které už mají přístup všichni uživatelé, kteří k aplikaci přistupují. Majitel firmy potom může přidat další uživatele a tito uživatelé budou automaticky přiřazeni k aplikaci.

Kvůli správě přístupu pro uživatele tak majitel firmy nemusí čekat na správce. Pokud správce udělí stejnému oprávnění manažerovi v jiné obchodní skupině, může tato osoba také spravovat přístup pro své členy skupiny. Vlastník firmy a nadřízený nemůžou zobrazit ani spravovat členství ve skupinách ostatních. Správce může stále zobrazit všechny uživatele, kteří mají přístup k aplikaci, a v případě potřeby zablokovat přístupová práva.

Poznámka:

V případě delegovaných scénářů musí mít správce alespoň roli Správce privilegovaných rolí Microsoft Entra .

Samoobslužná správa skupin

V tomto ukázkovém scénáři mají dva uživatelé weby SharePointu Online, které nastavují nezávisle. Chtějí dát týmům navzájem přístup k jejich webům. K dosažení tohoto úkolu mohou vytvořit jednu skupinu v ID Microsoft Entra. V SharePointu Online každý z nich vybere tuto skupinu a poskytne přístup k jejich webům.

Když chce někdo získat přístup, požádá ho z portálu Moje skupiny. Po schválení získají přístup k oběma webům SharePointu Online automaticky. Později se jeden z nich rozhodne, že všichni uživatelé s přístupem k webu by měli získat přístup i k určité aplikaci SaaS. Správce aplikace SaaS může přidat přístupová práva k aplikacím na web SharePoint Online. Od té poté všechny žádosti, které jsou schváleny, poskytují přístup ke dvěma webům SharePointu Online a také k aplikaci SaaS.

Zpřístupnění skupiny pro uživatelskou samoobsluhu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.

  2. Vyberte Microsoft Entra ID.

  3. Vyberte Všechny skupiny> a pak vyberte Obecné nastavení.

    Poznámka:

    Toto nastavení omezuje přístup pouze k informacím o skupině v části Moje skupiny. Neomezuje přístup k informacím o skupinách prostřednictvím jiných metod, jako jsou volání rozhraní Microsoft Graph API nebo Centrum pro správu Microsoft Entra.

    Snímek obrazovky znázorňující obecné nastavení skupin Microsoft Entra

    Poznámka:

    Změny týkající se nastavení samoobslužné správy skupin, původně naplánované na červen 2024, jsou aktuálně zkontrolovány a nebudou probíhat podle původního plánu. Datum vyřazení bude oznámeno v budoucnu.

  4. Nastavení Vlastníci můžou spravovat žádosti o členství ve skupinách v Přístupový panel na Ano.

  5. Nastavte možnost Omezit uživatelům přístup k funkcím skupin v Přístupový panel na Ne.

  6. Nastavte uživatele, kteří můžou vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo PowerShell na ano nebo ne.

    Další informace o tomto nastavení najdete v tématu Nastavení skupiny.

  7. Nastavení uživatelů může vytvářet skupiny Microsoft 365 na webu Azure Portal, rozhraní API nebo PowerShell na ano nebo ne.

    Další informace o tomto nastavení najdete v tématu Nastavení skupiny.

Můžete také použít vlastníky, kteří můžou členy přiřazovat jako vlastníky skupin na webu Azure Portal , abyste dosáhli podrobnějšího řízení přístupu nad samoobslužnou správou skupin pro vaše uživatele.

Když můžou uživatelé vytvářet skupiny, můžou vytvářet nové skupiny všichni uživatelé ve vaší organizaci. Jako výchozí vlastník pak může do těchto skupin přidávat členy. Nemůžete určit jednotlivce, kteří můžou vytvářet vlastní skupiny. Jednotlivce můžete zadat jenom pro vytvoření jiného člena skupiny jako vlastníka skupiny.

Poznámka:

Licence Microsoft Entra ID P1 nebo P2 se vyžaduje, aby uživatelé požádali o připojení ke skupině zabezpečení nebo skupině Microsoft 365 a aby vlastníci mohli schválit nebo odepřít žádosti o členství. Bez licence Microsoft Entra ID P1 nebo P2 můžou uživatelé dál spravovat své skupiny v Přístupový panel MyApp Groups. Nemůžou ale vytvořit skupinu, která vyžaduje schválení vlastníka, a nemůžou požádat o připojení ke skupině.

Nastavení skupin

Nastavení skupiny umožňuje řídit, kdo může vytvářet skupiny zabezpečení a Skupiny Microsoftu 365.

Snímek obrazovky znázorňující změnu nastavení skupin zabezpečení Microsoft Entra

Následující tabulka vám pomůže rozhodnout, které hodnoty se mají zvolit.

Nastavení Hodnota Vliv na vašeho tenanta
Uživatelé můžou vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo PowerShellu. Ano Všichni uživatelé ve vaší organizaci Microsoft Entra mohou vytvářet nové skupiny zabezpečení a přidávat do nich členy na webu Azure Portal, rozhraní API nebo PowerShellu. Tyto nové skupiny se také zobrazí v Přístupový panel pro všechny ostatní uživatele. Pokud to nastavení zásad skupiny umožňuje, můžou ostatní uživatelé vytvářet žádosti o připojení k těmto skupinám.
No Uživatelé nemůžou vytvářet skupiny zabezpečení. Stále můžou spravovat členství ve skupinách, pro které jsou vlastníkem, a schvalovat žádosti ostatních uživatelů, aby se připojili ke svým skupinám.
Uživatelé můžou vytvářet skupiny Microsoft 365 na webu Azure Portal, rozhraní API nebo PowerShellu. Ano Všichni uživatelé ve vaší organizaci Microsoft Entra mohou vytvářet nové skupiny Microsoftu 365 a přidávat do nich členy na webu Azure Portal, rozhraní API nebo PowerShellu. Tyto nové skupiny se také zobrazí v Přístupový panel pro všechny ostatní uživatele. Pokud to nastavení zásad skupiny umožňuje, můžou ostatní uživatelé vytvářet žádosti o připojení k těmto skupinám.
No Uživatelé nemůžou vytvářet skupiny M365. Stále můžou spravovat členství ve skupinách, pro které jsou vlastníkem, a schvalovat žádosti ostatních uživatelů, aby se připojili ke svým skupinám.

Tady je několik dalších podrobností o těchto nastaveních skupiny:

  • Platnost těchto nastavení může trvat až 15 minut.
  • Pokud chcete povolit některé, ale ne všechny uživatele k vytváření skupin, můžete těmto uživatelům přiřadit roli, která může vytvářet skupiny, například správce skupin.
  • Tato nastavení platí pro uživatele a nemají vliv na instanční objekty. Pokud jste například měli instanční objekt s oprávněními k vytváření skupin, i když jste tato nastavení nastavili na Ne, instanční objekt může i nadále vytvářet skupiny.

Konfigurace nastavení skupiny pomocí Microsoft Graphu

Pokud chcete konfigurovat skupiny Microsoft 365 na portálech Azure Portal, rozhraní API nebo PowerShellu pomocí Microsoft Graphu, nakonfigurujte EnableGroupCreation objekt v objektu groupSettings . Další informace najdete v tématu Přehled nastavení skupiny.

Chcete-li nakonfigurovat uživatele mohou vytvářet skupiny zabezpečení na webu Azure Portal, rozhraní API nebo nastavení PowerShellu pomocí Microsoft Graphu, aktualizujte allowedToCreateSecurityGroups vlastnost defaultUserRolePermissions v objektu authorizationPolicy .

Další kroky

Další informace o MICROSOFT Entra ID naleznete v tématu: