Verwalten von Azure Active Directory-Gruppen und -Gruppenmitgliedschaften

Azure Active Directory-(Azure AD-)Gruppen werden verwendet, um Benutzer zu verwalten, die alle denselben Zugriff auf und dieselben Berechtigungen für Ressourcen benötigen, wie z. B. potenziell eingeschränkte Apps und Dienste. Anstatt einzelnen Benutzern spezielle Berechtigungen hinzuzufügen, erstellen Sie eine Gruppe, in der die speziellen Berechtigungen für jedes Mitglied dieser Gruppe angewendet werden.

In diesem Artikel werden grundlegende Gruppenszenarien behandelt, in denen einer einzelnen Ressource eine einzelne Gruppe hinzugefügt wird, und in denen Benutzer als Mitglieder dieser Gruppe hinzugefügt werden. Informationen zu komplexeren Szenarien wie z. B. zu dynamischen Mitgliedschaften und zur Erstellung von Regeln finden Sie in der Dokumentation zur Verwaltung von Azure Active Directory-Benutzern.

Erfahren Sie vor dem Hinzufügen von Gruppen und Mitgliedern mehr über Gruppen- und Mitgliedschaftstypen, um entscheiden zu können, welche Optionen Sie beim Erstellen einer Gruppe am besten verwenden.

Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern

Sie können eine einfache Gruppe erstellen und gleichzeitig Ihre Mitglieder über das Azure Active Directory-(Azure AD-)Portal hinzufügen. Azure AD-Rollen, die Gruppen verwalten können sind Gruppenadministrator, Benutzeradministrator, Administrator für privilegierte Rollen und Globaler Administrator. Überblick über die entsprechenden Azure AD-Rollen zum Verwalten von Gruppen

So erstellen Sie eine einfache Gruppe und fügen ihr Mitglieder hinzu:

  1. Melden Sie sich beim Azure-Portal an.

  2. Gehen Sie zu Azure Active Directory>Gruppen>Neue Gruppe.

    Screenshot der Seite „Azure AD-Gruppen“ mit hervorgehobener Option „Neue Gruppe“.

  3. Wählen Sie einen Gruppentyp aus. Weitere Informationen zu Gruppentypen finden Sie im Artikel über Gruppen- und Mitgliedschaftstypen.

    • Wenn Sie den Gruppentyp Microsoft 365 auswählen, wird die Option Gruppen-E-Mail-Adresse aktiviert.
  4. Geben Sie einen Gruppennamen. ein. Wählen Sie einen Namen, den Sie sich merken und der für die Gruppe Sinn macht. Es wird geprüft, ob der Name bereits verwendet wird. Wenn der Name bereits verwendet wird, werden Sie aufgefordert, den Namen Ihrer Gruppe zu ändern.

  5. Gruppen-E-Mail-Adresse: Nur für Microsoft 365-Gruppentypen verfügbar. Geben Sie eine E-Mail-Adresse manuell ein, oder verwenden Sie die E-Mail-Adresse, die aus dem von Ihnen bereitgestellten Gruppennamen erstellt wurde.

  6. Beschreibung der Gruppe. Fügen Sie ggf. eine Beschreibung zu Ihrer Gruppe hinzu.

  7. Setzen Sie die Einstellung Azure AD-Rollen können der Gruppe zugewiesen werden auf „Ja“, um den Mitgliedern dieser Gruppe Azure AD-Rollen zuzuweisen.

    • Diese Option ist nur mit Premium P1- oder P2-Lizenzen verfügbar.
    • Sie müssen über die Rolle Administrator für privilegierte Rollen oder die Rolle Globaler Administrator verfügen.
    • Wenn Sie diese Option aktivieren, wird als Mitgliedschaftstyp automatisch Zugewiesen ausgewählt.
    • Die Möglichkeit zum Hinzufügen von Rollen beim Erstellen der Gruppe wird dem Prozess hinzugefügt.
    • Weitere Informationen zu Gruppen, denen Rollen zugewiesen werden können.
  8. Wählen Sie einen Mitgliedschaftstyp aus. Weitere Informationen zu Mitgliedschaftstypen finden Sie im Artikel über Gruppen- und Mitgliedschaftstypen.

  9. Fügen Sie optional Besitzer oder Mitglieder hinzu. Mitglieder und Besitzer können nach dem Erstellen Ihrer Gruppe hinzugefügt werden.

    1. Wählen Sie den Link unter Besitzer oder Mitglieder aus, um eine Liste aller Benutzer in Ihrem Verzeichnis zu erstellen.
    2. Wählen Sie Benutzer aus der Liste aus, und wählen Sie dann unten im Fenster die Schaltfläche Auswählen aus.

    Screenshot der Auswahl von Mitgliedern für Ihre Gruppe während des Gruppenerstellungsvorgangs.

  10. Klicken Sie auf Erstellen. Ihre Gruppe ist erstellt und steht Ihnen zum Verwalten anderer Einstellungen zur Verfügung.

Deaktivieren der Begrüßungs-E-Mail für Gruppen

Eine Willkommensbenachrichtigung wird an alle Benutzer unabhängig von der Art ihrer Mitgliedschaft gesendet, wenn sie einer neuen Microsoft 365-Gruppe hinzugefügt worden sind. Wenn sich ein Attribut eines Benutzers oder Geräts ändert, werden alle dynamischen Gruppenregeln in der Organisation verarbeitet, um mögliche Änderungen an der Mitgliedschaft zu ermitteln. Hinzugefügte Benutzer erhalten dann ebenfalls eine Begrüßungsnachricht. Sie können dieses Verhalten in Exchange PowerShell deaktivieren.

Hinzufügen oder Entfernen von Mitgliedern und Besitzern

Mitglieder und Besitzer können zu vorhandenen Azure AD-Gruppen hinzugefügt und aus ihnen entfernt werden. Der Prozess ist für Mitglieder und Besitzer derselbe. Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um Mitglieder und Besitzer hinzufügen und entfernen zu können.

Müssen Sie mehrere Mitglieder gleichzeitig hinzufügen? Erfahren Sie mehr über die Option zum Hinzufügen von Mitgliedern in einem Massenvorgang.

Hinzufügen von Mitgliedern oder Besitzern einer Gruppe:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Azure Active Directory>Gruppen.

  3. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  4. Wählen Sie entweder Mitglieder oder Besitzer aus.

    Screenshot der Seite „Gruppenübersicht“ mit hervorgehobenen Menüoptionen „Mitglieder“ und „Besitzer“.

  5. Wählen Sie + Hinzufügen (Mitglieder oder Besitzer) aus.

  6. Scrollen Sie durch die Liste, oder geben Sie einen Namen in das Suchfeld ein. Sie können mehrere Namen auf einmal auswählen. Wählen Sie die Schaltfläche Auswählen aus, wenn Sie bereit sind.

    Die Seite Gruppenübersicht wird aktualisiert und zeigt danach die Anzahl der Mitglieder an, die nun der Gruppe hinzugefügt sind.

Entfernen von Mitgliedern oder Besitzern einer Gruppe:

  1. Wechseln Sie zu Azure Active Directory>Gruppen.

  2. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  3. Wählen Sie entweder Mitglieder oder Besitzer aus.

  4. Aktivieren Sie das Kontrollkästchen neben einem Namen aus der Liste, und wählen Sie die Schaltfläche Entfernen aus.

    Screenshot von Gruppenmitgliedern mit ausgewähltem Namen und hervorgehobener Schaltfläche „Entfernen“.

Bearbeiten von Gruppeneinstellungen

Mit Azure AD können Sie den Namen, die Beschreibung und den Mitgliedschaftstyp einer Gruppe ändern. Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um die Einstellungen einer Gruppe bearbeiten zu können.

So bearbeiten Sie Ihre Gruppeneinstellungen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Azure Active Directory>Gruppen. Die Seite Gruppen – Alle Gruppen wird mit allen Ihren aktiven Gruppen angezeigt.

  3. Scrollen Sie durch die Liste, oder geben Sie einen Gruppennamen in das Suchfeld ein. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  4. Wählen Sie aus dem Menü an der Seite Eigenschaften aus.

    Screenshot der Seite „Gruppenübersicht“ mit hervorgehobener Menüoption „Eigenschaften“.

  5. Aktualisieren Sie die Informationen unter Allgemeine Einstellungen nach Bedarf, einschließlich:

    • Gruppenname. Bearbeiten Sie den vorhandenen Gruppennamen.

    • Beschreibung der Gruppe. Bearbeiten Sie die vorhandene Gruppenbeschreibung.

    • Gruppentyp. Sie können den Typ der Gruppe nach deren Erstellung nicht mehr ändern. Um den Gruppentyp zu ändern, müssen Sie die Gruppe löschen und eine neue erstellen.

    • Mitgliedschaftstyp. Ändern Sie den Typs der Mitgliedschaft. Wenn Sie Option Azure AD-Rollen können der Gruppe zugewiesen werden aktiviert haben, können Sie den Mitgliedschaftstyp nicht ändern. Weitere Informationen zu den verfügbaren Mitgliedschaftstypen finden Sie im Artikel über Gruppen- und Mitgliedschaftstypen.

    • Objekt-ID Sie können die Objekt-ID nicht ändern, aber Sie können sie kopieren, um sie in Ihren PowerShell-Befehlen für die Gruppe zu verwenden. Weitere Informationen zur Verwendung von PowerShell-Cmdlets finden Sie unter Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen.

Hinzufügen oder Entfernen einer Gruppe zu bzw. aus einer anderen Gruppe

Sie können eine bestehende Sicherheitsgruppe zu einer anderen Sicherheitsgruppe hinzufügen (dieser Vorgang wird auch als Schachteln von Gruppen bezeichnet), indem Sie eine Mitgliedergruppe (Untergruppe) und eine übergeordnete Gruppe erstellen. Die Mitgliedergruppe übernimmt die Attribute und Eigenschaften der übergeordneten Gruppe, wodurch Sie Zeit bei der Konfiguration sparen. Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um die Gruppenmitgliedschaft bearbeiten zu können.

Zurzeit wird Folgendes nicht unterstützt:

  • Hinzufügen von Gruppen zu einer mit der lokalen Active Directory-Instanz synchronisierten Gruppe
  • Hinzufügen von Sicherheitsgruppen zu Microsoft 365-Gruppen
  • Hinzufügen von Microsoft 365-Gruppen zu Sicherheitsgruppen oder anderen Microsoft 365-Gruppen
  • Zuweisen von Apps zu geschachtelten Gruppen
  • Anwenden von Lizenzen auf geschachtelte Gruppen
  • Hinzufügen von Verteilergruppen in geschachtelten Szenarien
  • Hinzufügen von Sicherheitsgruppen als Mitglieder von E-Mail-aktivierten Sicherheitsgruppen.
  • Hinzufügen von Gruppen als Mitglieder einer Gruppe, der Rollen zugewiesen werden können

Hinzufügen einer Gruppe zu einer anderen Gruppe

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Azure Active Directory>Gruppen.

  3. Suchen Sie auf der Seite Gruppen – Alle Gruppen nach der Gruppe, die Mitglied einer anderen Gruppe werden soll, und wählen Sie sie aus.

    Hinweis

    Sie können Ihre Gruppe jeweils nur einer anderen Gruppe als Mitglied hinzufügen. Im Suchfeld Gruppe auswählen werden keine Platzhalterzeichen unterstützt.

  4. Wählen Sie auf der Seite „Gruppenübersicht“ aus dem Menü an der Seite Gruppenmitgliedschaften aus.

  5. Wählen Sie + Mitgliedschaften hinzufügen aus.

  6. Suchen Sie nach der Gruppe, deren Mitglied Ihre Gruppe sein soll, und wählen Sie Auswählen aus.

    Für diese Übung fügen wir der Gruppe „MDM-Richtlinie – Alle Org“ „MDM-Richtlinie – Westen“ hinzu, sodass „MDM-Richtlinie – Westen“ alle Eigenschaften und Konfigurationen der Gruppe „MDM-Richtlinie – Alle Org“ erbt.

    Screenshot der Aufnahme einer Gruppe als Mitglied einer anderen Gruppe durch Auswahl von „Gruppenmitgliedschaft“ aus dem Menü an der Seite und hervorgehobener Option „Mitgliedschaft hinzufügen“.

Jetzt können Sie die Seite „MDM-Richtlinie – Westen – Gruppenmitgliedschaften“ anzeigen, um sich die Beziehung zwischen Gruppe und Mitglied anzusehen.

Für eine detailliertere Ansicht der Beziehung zwischen Gruppe und Mitglied wählen Sie den Namen der übergeordneten Gruppe (MDM-Richtlinie – Alle Org.) aus und schauen sich die Details auf der Seite „MDM-Richtlinie – Westen“ an.

Entfernen einer Gruppe aus einer anderen Gruppe

Sie können eine vorhandene Sicherheitsgruppe aus einer anderen Sicherheitsgruppe entfernen. Durch das Entfernen der Gruppe werden jedoch auch alle geerbten Attribute und Eigenschaften ihrer Mitglieder entfernt.

  1. Suchen Sie auf der Seite Gruppen – Alle Gruppen die Gruppe, die als Mitglied einer anderen Gruppe entfernt werden soll, und wählen Sie sie aus.

  2. Wählen Sie auf der Seite „Gruppenübersicht“ Gruppenmitgliedschaften aus.

  3. Wählen Sie die übergeordnete Gruppe auf der Seite Gruppenmitgliedschaften aus.

  4. Wählen Sie Entfernen.

    Für diese Übung entfernen wir jetzt „MDM-Richtlinie – Westen" aus der Gruppe „MDM-Richtlinie – Alle Org.".

    Screenshot der Seite „Gruppenmitgliedschaft“ mit Mitglieds- und Gruppendetails und hervorgehobener Option „Mitgliedschaft entfernen“.

Löschen einer Gruppe

Für das Löschen einer Azure AD-Gruppe kann es verschiedene Gründe geben. Häufig liegt jedoch einer der folgenden Gründe vor:

  • Wählen Sie den falschen Gruppentyp aus.

  • Es wurde versehentlich eine bereits vorhandene Gruppe hinzugefügt.

  • Die Gruppe wird nicht mehr benötigt.

Um eine Gruppe löschen zu können, benötigen Sie die Rolle Gruppenadministrator oder Benutzeradministrator.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Azure Active Directory>Gruppen.

  3. Suchen Sie die Gruppe, die Sie löschen möchten, und wählen Sie sie aus.

  4. Klicken Sie auf Löschen.

    Die Gruppe wird aus dem Azure Active Directory-Mandanten gelöscht.

Nächste Schritte