Erstellen und Verwalten von Gruppen

  • 8 Minuten

Eine Microsoft Entra-Gruppe vereinfacht die Organisation von Benutzer*innen und die Verwaltung von Berechtigungen. Mithilfe von Gruppen können Ressourcenbesitzer*innen (oder Besitzer*innen des Microsoft Entra-Verzeichnisses) allen Gruppenmitgliedern gleichzeitig Zugriffsberechtigungen erteilen anstatt einzeln. Mit einer Gruppe können Sie eine Sicherheitsgrenze definieren und anschließend bestimmte Benutzer*innen hinzufügen und entfernen, um ihnen ohne großen Aufwand den Zugriff zu gewähren oder zu verweigern. Microsoft Entra ID unterstützt sogar die Möglichkeit, die Mitgliedschaft anhand von Regeln zu definieren, wie etwa die Zugehörigkeit von Benutzer*innen zu einer Abteilung oder die Position, die sie haben.

Mit Microsoft Entra ID können Sie zwei verschiedene Arten von Gruppen definieren:

  1. Sicherheitsgruppe: Dies ist der gängigste Gruppentyp, mit dem der Zugriff von Mitgliedern und Computern auf freigegebene Ressourcen für eine Gruppe von Benutzer*innen verwaltet werden kann. Beispielsweise können Sie eine Sicherheitsgruppe für eine bestimmte Sicherheitsrichtlinie erstellen. Auf diese Weise können Sie allen Mitgliedern gleichzeitig mehrere Berechtigungen erteilen, anstatt diese jedem Mitglied einzeln hinzufügen zu müssen. Für diese Option ist ein*e Microsoft Entra-Administrator*in erforderlich.

  2. Microsoft 365-Gruppen bieten eine Möglichkeit für die Zusammenarbeit, indem Mitgliedern beispielsweise der Zugriff auf freigegebene Postfächer, Kalender, Dateien und SharePoint-Websites gewährt wird. Mit dieser Option können Sie auch Personen außerhalb Ihrer Organisation Zugriff auf die Gruppe gewähren. Diese Option ist sowohl für Benutzer als auch für Administratoren verfügbar.

Anzeigen verfügbarer Gruppen

Sie können alle Gruppen anzeigen, indem Sie auf dem Microsoft Entra-Dashboard im Abschnitt Verwalten auf Gruppen klicken. Bei einer neuen Installation von Microsoft Entra ID sind keine Gruppen definiert.

Screenshot that depicts all the existing groups.

Hinzufügen von Gruppen zu Microsoft Entra ID

Zum Erstellen von Gruppen stehen Ihnen in Microsoft Entra ID dieselben Optionen zur Verfügung wie beim Erstellen von Benutzer*innen. Die einfachste Möglichkeit zum Erstellen von Gruppen ist über das Azure-Portal. Wählen Sie dabei den Gruppentyp aus (Sicherheit oder Microsoft 365), und weisen Sie einen eindeutigen Gruppennamen, eine Beschreibung und einen Mitgliedschaftstyp zu.

Screenshot of the Create Group feature in the Azure portal.

Im Feld „Mitgliedschaftstyp“ können Sie einen der folgenden Werte festlegen:

  1. Zugewiesen (statisch): Die Gruppe enthält von Ihnen ausgewählte Benutzer oder Gruppen.

  2. Dynamischer Benutzer: Hier können Sie Regeln auf der Grundlage von Merkmalen erstellen, um dynamische Gruppenmitgliedschaften basierend auf Attributen zu aktivieren. Gehört ein Benutzer beispielsweise der Vertriebsabteilung an, wird er dynamisch der Gruppe „Vertrieb“ zugewiesen.

    Sie können Sicherheitsgruppen für Geräte oder Benutzer*innen verwenden, Microsoft 365-Gruppen dagegen können nur für Benutzergruppen verwendet werden. Sollte ein Benutzer oder eine Benutzerin später die Abteilung wechseln, wird er bzw. sie automatisch aus der Gruppe entfernt. Für dieses Feature ist eine Microsoft Entra ID P1-Lizenz erforderlich.

  3. Dynamisches Gerät: Hier können Sie Regeln auf der Grundlage von Merkmalen erstellen, um dynamische Gruppenmitgliedschaften basierend auf Attributen zu aktivieren. Wenn z. B. das Gerät eines Benutzers mit der Serviceabteilung verknüpft ist, wird das Gerät dynamisch der Servicegruppe zugewiesen.

    Sie können Sicherheitsgruppen für Geräte oder Benutzer*innen verwenden, Microsoft 365-Gruppen dagegen können nur für Benutzergruppen verwendet werden. Wenn sich die Zuordnung des Geräts zu einer bestimmten Abteilung in der Zukunft ändert, wird es automatisch aus der Gruppe entfernt. Für dieses Feature ist eine Microsoft Entra ID P1-Lizenz erforderlich.

Zuletzt können Sie eine*n oder mehrere Gruppenbesitzer*innen zur Verwaltung der Gruppe auswählen sowie ein oder mehrere Mitglieder, die der Gruppe angehören sollen. Beide können sowohl andere Gruppen als auch einzelne Benutzer enthalten.

Erstellen von Gruppen mithilfe von Skripts

Sie können auch Microsoft Graph PowerShell verwenden, um eine Gruppe mithilfe des Befehls "New-MgGroup " hinzuzufügen, wie hier gezeigt:

New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False

Ändern der Mitgliedschaft bei einer Gruppe

Nachdem eine Gruppe erstellt wurde, können Sie Benutzer*innen (oder Gruppen) hinzufügen oder daraus entfernen, indem Sie die Gruppenmitgliedschaft bearbeiten. Wählen Sie die Gruppe aus, und verwenden Sie die Optionen im Abschnitt Verwalten.

Screenshot showing the group-management options.