Einrichten der Self-Service-Gruppenverwaltung in Microsoft Entra ID

Sie können Benutzern die Erstellung und Verwaltung ihrer eigenen Sicherheitsgruppen oder Microsoft 365-Gruppen in Microsoft Entra ID ermöglichen. Der Besitzer der Gruppe kann Mitgliedschaftsanforderungen genehmigen oder ablehnen sowie die Steuerung der Gruppenmitgliedschaft delegieren. Self-Service-Funktionen zur Gruppenverwaltung sind nicht für E-Mail-aktivierte Sicherheitsgruppen oder Verteilerlisten verfügbar.

Self-Service-Gruppenmitgliedschaft

Sie können Benutzern das Erstellen von Sicherheitsgruppen gestatten, die zum Verwalten des Zugriffs auf freigegebene Ressourcen verwendet werden. Sicherheitsgruppen können von Benutzern in Azure-Portalen, mithilfe von Azure AD PowerShell oder über den MyApps-Gruppenzugriffsbereich erstellt werden.

Wichtig

Bei Azure AD PowerShell ist die Einstellung der Unterstützung für den 30. März 2024 geplant. Weitere Informationen zu den Einstellungsplänen finden Sie im Update zu veralteten Komponenten. Es wird empfohlen, weiterhin zu Microsoft Graph PowerShell zu migrieren. Dies ist das empfohlene Modul für die Interaktion mit Microsoft Entra ID. Darüber hinaus ermöglicht Microsoft Graph PowerShell den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Weitere Informationen finden Sie unter Upgrade von Azure AD PowerShell auf Microsoft Graph PowerShell.

Nur die Besitzer der Gruppe können die Mitgliedschaft aktualisieren, aber Sie können Gruppenbesitzern die Möglichkeit geben, Mitgliedschaftsanforderungen über den MyApps-Gruppenzugriffsbereich zu genehmigen oder zu verweigern. Ein Beitritt zu im MyApps-Gruppenzugriffsbereich nach dem Self-Service-Prinzip erstellten Sicherheitsgruppen ist für alle vom Besitzer genehmigten sowie automatisch genehmigten Benutzer möglich. Im MyApps-Gruppenzugriffsbereich können Sie beim Erstellen einer Gruppe die Mitgliedschaftsoptionen ändern.

Microsoft 365-Gruppen bieten Ihren Benutzern Möglichkeiten zur Zusammenarbeit. Sie können in jeder der Microsoft 365-Anwendungen wie SharePoint, Microsoft Teams und Planner Gruppen erstellen. Microsoft 365-Gruppen können auch in Azure-Portalen mithilfe von Microsoft Graph PowerShell oder über den MyApps-Gruppenzugriffsbereich erstellt werden. Weitere Informationen zum Unterschied zwischen Sicherheitsgruppen und Microsoft 365-Gruppen finden Sie unter Wissenswertes vor dem Erstellen einer Gruppe.

Erstellte Gruppen in Standardverhalten von Sicherheitsgruppen Standardverhalten von Microsoft 365-Gruppen
Microsoft Graph PowerShell Nur Besitzer können Mitglieder hinzufügen.
Sichtbar, aber nicht für den Beitritt im MyApps-Gruppenzugriffsbereich verfügbar
Beitritt aller Benutzer ist möglich.
Azure portal Nur Besitzer können Mitglieder hinzufügen.
Sichtbar, aber nicht für den Beitritt im MyApps-Gruppenzugriffsbereich verfügbar
Besitzer wird bei der Gruppenerstellung nicht automatisch zugewiesen.
Beitritt aller Benutzer ist möglich.
MyApps-Gruppenzugriffsbereich Beitritt aller Benutzer ist möglich.
Mitgliedschaftsoptionen können bei der Erstellung der Gruppe geändert werden.
Beitritt aller Benutzer ist möglich.
Mitgliedschaftsoptionen können bei der Erstellung der Gruppe geändert werden.

Szenarien der Self-Service-Gruppenverwaltung

Zwei Szenarien helfen bei der Erläuterung der Self-Service-Gruppenverwaltung.

Delegierte Gruppenverwaltung

In diesem Beispiel gehen wir von einem Administrator aus, der den Zugriff auf eine SaaS-Anwendung (Software as a Service) verwaltet, die im Unternehmen verwendet wird. Die Verwaltung dieser Zugriffsrechte wird immer mühsamer, und der Administrator bittet den Geschäftsinhaber, eine neue Gruppe zu erstellen. Der Administrator weist den Zugriff auf die Anwendung der neuen Gruppe zu und fügt der Gruppe alle Personen zu, die bereits auf die Anwendung zugreifen. Der Geschäftsinhaber kann dann weitere Benutzer hinzufügen, und die Benutzer erhalten automatisch Zugriff auf die Anwendung.

Der Geschäftsinhaber muss nicht warten, bis der Administrator die Verwaltungsschritte für den Zugriff der Benutzer durchgeführt hat. Wenn der Administrator einem Manager in einer anderen Geschäftseinheit die gleiche Berechtigung erteilt, kann diese Person ebenfalls den Zugriff für ihre eigenen Gruppenmitglieder verwalten. Weder der Geschäftsinhaber noch der Manager kann die Gruppenmitgliedschaften des jeweils anderen anzeigen oder verwalten. Der Administrator kann weiterhin alle Benutzer anzeigen, die auf die Anwendung zugreifen können, und kann die Zugriffsrechte bei Bedarf blockieren.

Self-Service-Gruppenverwaltung

In diesem Beispiel gehen wir von zwei Benutzern aus, die beide über unabhängig voneinander eingerichtete SharePoint Online-Websites verfügen. Sie möchten dem anderen Team jeweils Zugriff auf ihre Websites gewähren. Um diese Aufgabe auszuführen, können sie eine Gruppe in der Microsoft Entra-ID erstellen. In SharePoint Online wählt jeder diese Gruppe aus, um Zugriff auf ihre Websites zu ermöglichen.

Wenn jemand Zugriff möchte, fordert er ihn im MyApps-Gruppenzugriffsbereich an. Nach der Genehmigung erhalten sie automatisch Zugriff auf beide SharePoint Online-Websites. Später entscheidet einer der Hauptbenutzer, dass alle Personen, die auf die Website zugreifen, auch Zugriff auf eine bestimmte SaaS-Anwendung erhalten sollen. Der Administrator der SaaS-Anwendung kann der SharePoint Online-Website Zugriffsrechte für die Anwendung hinzufügen. Anschließend können alle Personen, deren Zugriff genehmigt wird, auf die beiden SharePoint Online-Websites und diese SaaS-Anwendung zugreifen.

Einrichten einer Gruppe für Self-Service durch Benutzer

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie Alle Gruppen>Gruppen und dann Allgemeine Einstellungen aus.

    Hinweis

    Diese Einstellung schränkt nur den Zugriff auf Gruppeninformationen in Meine Gruppen ein. Der Zugriff auf Gruppeninformationen über andere Methoden wie Microsoft Graph-API-Aufrufe oder das Microsoft Entra Admin Center wird nicht eingeschränkt.

    Screenshot that shows Microsoft Entra groups General settings.

    Hinweis

    Im Juni 2024 ändert sich die Einstellung Benutzerzugriff auf MyGroups einschränken zu Fähigkeit von Benutzern einschränken, Sicherheitsgruppen in MyGroups anzuzeigen und zu bearbeiten. Wenn die Einstellung derzeit auf Ja festgelegt ist, können Endbenutzer*innen ab Juni 2024 auf MyGroups zugreifen, aber keine Sicherheitsgruppen anzeigen.

  4. Legen Sie Besitzer können Anforderungen für eine Gruppenmitgliedschaft im Zugriffspanel verwalten auf Ja fest.

  5. Legen Sie Benutzerfähigkeit zum Zugriff auf Gruppenfunktionen im Zugriffsbereich einschränken auf Nein fest.

  6. Legen Sie Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen auf Ja oder Nein fest.

    Weitere Informationen zu dieser Einstellung finden Sie unter Gruppeneinstellungen.

  7. Legen Sie Benutzer können Microsoft 365-Gruppen in Azure-Portalen, API oder PowerShell erstellen auf Ja oder Nein fest.

    Weitere Informationen zu dieser Einstellung finden Sie unter Gruppeneinstellungen.

Sie können auch Besitzer, die im Azure-Portal Mitglieder als Gruppenbesitzer zuweisen können, verwenden, um eine detailliertere Zugriffssteuerung über die Gruppenverwaltung nach dem Self-Service-Prinzip für Ihre Benutzer zu erreichen.

Wenn Benutzer Gruppen erstellen können, dürfen alle Benutzer in Ihrer Organisation neue Gruppen erstellen. Als Standardbesitzer können sie dann Mitglieder zu diesen Gruppen hinzufügen. Sie können keine Personen angeben, die ihre eigenen Gruppen erstellen können. Sie können lediglich Personen angeben, die ein anderes Gruppenmitglied als Gruppenbesitzer festlegen.

Hinweis

Eine Microsoft Entra ID P1- oder P2-Lizenz ist erforderlich, damit Benutzer den Beitritt zu einer Sicherheitsgruppe oder Microsoft 365-Gruppe anfordern und Besitzer Mitgliedsanforderungen genehmigen oder ablehnen können. Auch ohne eine Microsoft Entra ID P1- oder P2-Lizenz können Benutzer ihre Gruppen im „MyApp Groups"-Zugriffsbereich verwalten. Sie können jedoch keine Gruppe erstellen, die die Genehmigung des Besitzers erfordert, und sie können nicht dazu auffordern, einer Gruppe beizutreten.

Gruppeneinstellungen

Mithilfe von Gruppeneinstellungen können Sie steuern, wer Sicherheits- und Microsoft 365-Gruppen erstellen kann.

Screenshot that shows Microsoft Entra security groups setting change.

Die folgende Tabelle hilft Ihnen bei der Entscheidung, welche Werte Sie auswählen müssen.

Einstellung Wert Auswirkung auf Ihren Mandanten
Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen. Ja Alle Benutzer in Ihrer Microsoft Entra-Organisation können im Azure-Portal, in der API oder in PowerShell neue Sicherheitsgruppen erstellen und diesen Gruppen Mitglieder hinzufügen. Diese neuen Gruppen werden auch für alle Benutzer im Zugriffsbereich angezeigt. Wenn die Richtlinieneinstellung der Gruppe dies zulässt, können andere Benutzer Anforderungen in Bezug auf den Beitritt zu diesen Gruppen erstellen.
Nein Benutzer können keine Sicherheitsgruppen erstellen und keine vorhandenen Gruppen ändern, deren Besitzer sie sind. Sie können aber trotzdem die Mitgliedschaften dieser Gruppen verwalten und Anforderungen anderer Benutzer zum Beitreten zu diesen Gruppen genehmigen.
Benutzer können Microsoft 365-Gruppen im Azure-Portal, API oder PowerShell erstellen. Ja Alle Benutzer in Ihrer Microsoft Entra-Organisation können im Azure-Portal, in der API oder in PowerShell neue Microsoft 365-Gruppen erstellen und diesen Gruppen Mitglieder hinzufügen. Diese neuen Gruppen werden auch für alle Benutzer im Zugriffsbereich angezeigt. Wenn die Richtlinieneinstellung der Gruppe dies zulässt, können andere Benutzer Anforderungen in Bezug auf den Beitritt zu diesen Gruppen erstellen.
Nein Benutzer können keine Microsoft 365-Gruppen erstellen und keine vorhandenen Gruppen ändern, deren Besitzer sie sind. Sie können aber trotzdem die Mitgliedschaften dieser Gruppen verwalten und Anforderungen anderer Benutzer zum Beitreten zu diesen Gruppen genehmigen.

Im Folgenden finden Sie einige zusätzliche Details zu diesen Gruppeneinstellungen:

  • Es kann bis zu 15 Minuten dauern, bis die Einstellung wirksam wird.
  • Wenn Sie einigen, aber nicht allen Benutzern das Erstellen von Gruppen ermöglichen möchten, können Sie diesen Benutzern eine Rolle mit der Berechtigung zum Erstellen von Gruppen zuweisen, beispielsweise Gruppenadministrator.
  • Diese Einstellungen gelten für Benutzer und wirken sich nicht auf Dienstprinzipale aus. Wenn Sie beispielsweise über einen Dienstprinzipal mit Berechtigungen zum Erstellen von Gruppen verfügen, kann der Dienstprinzipal auch dann weiterhin Gruppen erstellen, wenn Sie diese Einstellungen auf Nein festlegen.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Um die Einstellung Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen mit Microsoft Graph zu konfigurieren, konfigurieren Sie das Objekt EnableGroupCreation im Objekt groupSettings. Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen.

Um die Einstellung Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen mit Microsoft Graph zu konfigurieren, aktualisieren Sie die allowedToCreateSecurityGroupsEigenschaft defaultUserRolePermissions im authorizationPolicy-Objekt.

Nächste Schritte

Weitere Informationen über Microsoft Entra ID finden Sie unter: