Önkiszolgáló csoportkezelés beállítása a Microsoft Entra-azonosítóban
Engedélyezheti a felhasználóknak, hogy saját biztonsági csoportokat vagy Microsoft 365-csoportokat hozzanak létre és kezeljenek a Microsoft Entra-azonosítóban. A csoport tulajdonosa jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja a csoporttagság ellenőrzését. Az önkiszolgáló csoportkezelési funkciók nem érhetők el levelezési biztonsági csoportokhoz vagy terjesztési listákhoz.
Önkiszolgáló csoporttagság
Engedélyezheti a felhasználóknak, hogy biztonsági csoportokat hozzanak létre, amelyek a megosztott erőforrásokhoz való hozzáférés kezelésére szolgálnak. A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon az Azure Active Directory (Azure AD) PowerShell vagy a MyApps-csoportok hozzáférési panel használatával.
Fontos
Az Azure AD PowerShell a tervek szerint 2024. március 30-án elavul. További információkért olvassa el az elavulás frissítését. Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. A Microsoft Graph PowerShell minden Microsoft Graph API-hoz hozzáférést biztosít, és elérhető a PowerShell 7-ben. A gyakori migrálási lekérdezésekre adott válaszokért tekintse meg a migrálással kapcsolatos gyakori kérdéseket.
Csak a csoport tulajdonosai frissíthetik a tagságot, de a csoporttulajdonosok számára lehetővé teheti a MyApps-csoportok hozzáférési panel tagsági kérelmeinek jóváhagyását vagy elutasítását. Az önkiszolgáló, a MyApps-csoportok hozzáférési panel keresztül létrehozott biztonsági csoportok minden felhasználó számára elérhetők, akár tulajdonos által jóváhagyott, akár automatikusan támogatott. A MyApps-csoportok hozzáférési panel a csoport létrehozásakor módosíthatja a tagsági beállításokat.
A Microsoft 365-csoportok együttműködési lehetőségeket biztosítanak a felhasználóknak. Csoportokat bármely Microsoft 365-alkalmazásban létrehozhat, például a SharePointban, a Microsoft Teamsben és a Plannerben. Microsoft 365-csoportokat is létrehozhat az Azure Portalokon a Microsoft Graph PowerShell vagy a MyApps-csoportok hozzáférési panel használatával. A biztonsági csoportok és a Microsoft 365-csoportok közötti különbségről további információt a Csoportok ismertetése című témakörben talál.
| A következőben létrehozott csoportok: | A biztonsági csoport alapértelmezett viselkedése | A Microsoft 365-csoport alapértelmezett viselkedése |
|---|---|---|
| Microsoft Graph PowerShell | Csak a tulajdonosok adhatnak hozzá tagokat. Látható, de nem lehet csatlakozni a MyApp-csoportok hozzáférési panel. |
Nyissa meg az összes felhasználó számára való csatlakozáshoz. |
| Azure Portalra | Csak a tulajdonosok adhatnak hozzá tagokat. Látható, de nem lehet csatlakozni a MyApps-csoportok hozzáférési panel. A tulajdonos nincs automatikusan hozzárendelve a csoport létrehozásakor. |
Nyissa meg az összes felhasználó számára való csatlakozáshoz. |
| MyApps-csoportok hozzáférési panel | Nyissa meg az összes felhasználó számára való csatlakozáshoz. A tagsági beállítások a csoport létrehozásakor módosíthatók. |
Nyissa meg az összes felhasználó számára való csatlakozáshoz. A tagsági beállítások a csoport létrehozásakor módosíthatók. |
Önkiszolgáló csoportkezelési forgatókönyvek
Két forgatókönyv segít az önkiszolgáló csoportkezelés magyarázatában.
Delegált csoportkezelés
Ebben a példaforgatókönyvben a rendszergazda felügyeli a vállalat által használt szolgáltatásként (SaaS)-alkalmazásokhoz való hozzáférést. A hozzáférési jogosultságok kezelése nehézkes, ezért a rendszergazda megkéri a vállalat tulajdonosát, hogy hozzon létre egy új csoportot. A rendszergazda hozzáférést rendel az alkalmazáshoz az új csoporthoz, és hozzáadja a csoporthoz az alkalmazást már hozzáférő összes felhasználót. A vállalat tulajdonosa ezt követően további felhasználókat vehet fel a csoportba, akik automatikusan hozzáférést kapnak az alkalmazáshoz.
A vállalat tulajdonosának nem kell a rendszergazdára várnia a felhasználók hozzáférésének kezeléséhez. Ha a rendszergazda ugyanazzal az engedéllyel rendelkezik egy másik üzleti csoportban lévő vezetőnek, az adott személy a saját csoporttagok hozzáférését is kezelheti. Az üzlet tulajdonosa és a vezető nem tekintheti meg és nem kezelhetik egymás csoporttagságait. A rendszergazda továbbra is láthatja az összes olyan felhasználót, aki hozzáfér az alkalmazáshoz, és szükség esetén letiltja a hozzáférési jogosultságokat.
Önkiszolgáló csoportkezelés
Ebben a példában két felhasználó rendelkezik egymástól függetlenül beállított SharePoint Online-webhelyekkel. Hozzáférést szeretnének adni egymás csapatainak a webhelyeikhez. A feladat elvégzéséhez létrehozhatnak egy csoportot a Microsoft Entra-azonosítóban. A SharePoint Online-ban mindegyikük kiválasztja ezt a csoportot, hogy hozzáférést biztosítson a webhelyeihez.
Amikor valaki hozzáférést szeretne, a MyApps-csoportoktól kéri a hozzáférési panel. A jóváhagyás után a felhasználók automatikusan hozzáférhetnek mindkét SharePoint Online-webhelyhez. Ezt követően egyikük dönthet úgy, hogy a webhelyhez hozzáféréssel rendelkező összes felhasználó számára egy adott SaaS-alkalmazáshoz is hozzáférést ad. A SaaS-alkalmazás rendszergazdája adhat hozzáférési jogot a SharePoint Online webhelyhez tartozó alkalmazáshoz. Ettől kezdve minden jóváhagyott kérés hozzáférést biztosít a két SharePoint Online-webhelyhez és az SaaS-alkalmazáshoz is.
Csoport elérhetővé tétele önkiszolgáló felhasználói tevékenységhez
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább csoportként Rendszergazda istratorként.
Válassza ki a Microsoft Entra ID.
Válassza az Összes csoportcsoport>, majd az Általános beállítások lehetőséget.
Feljegyzés
Ez a beállítás csak a saját csoportok csoportadatainak elérését korlátozza. Nem korlátozza a csoportadatokhoz való hozzáférést más módszereken, például a Microsoft Graph API-hívásokon vagy a Microsoft Entra felügyeleti központon keresztül.
Feljegyzés
2024 júniusában a Felhasználók hozzáférésének korlátozása a Saját csoportokhoz beállítás a Saját csoportok biztonsági csoportok megtekintésének és szerkesztésének korlátozása beállításra módosul. Ha a beállítás jelenleg Igen értékre van állítva, a felhasználók 2024 júniusában hozzáférhetnek a Saját csoportokhoz, de nem láthatják a biztonsági csoportokat.
A Csoporttulajdonosok csoporttagság-kérelmeket a hozzáférési panel Igen értékre kezelheti.
A hozzáférési panel csoportfunkcióinak hozzáférésének korlátozása a felhasználó számára nem értékre.
Beállíthatja, hogy a felhasználók biztonsági csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.
Erről a beállításról további információt a Csoportbeállítások című témakörben talál.
Beállíthatja, hogy a felhasználók Microsoft 365-csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.
Erről a beállításról további információt a Csoportbeállítások című témakörben talál.
Az Azure Portalon csoporttulajdonosként hozzárendelhető tulajdonosok használatával részletesebb hozzáférés-vezérlést érhet el a felhasználók önkiszolgáló csoportkezelése felett.
Ha a felhasználók csoportokat hozhatnak létre, a szervezet összes felhasználója létrehozhat új csoportokat. Alapértelmezett tulajdonosként ezután tagokat vehet fel ezekbe a csoportokba. Nem adhatja meg azokat a személyeket, akik saját csoportokat hozhatnak létre. Csak akkor adhat meg személyeket, ha egy másik csoporttagot csoporttulajdonossá szeretne tenni.
Feljegyzés
P1 vagy P2 Azonosítójú Microsoft Entra-licencre van szükség ahhoz, hogy a felhasználók biztonsági csoporthoz vagy Microsoft 365-csoporthoz csatlakozzanak, és hogy a tulajdonosok jóváhagyják vagy megtagadják a tagsági kérelmeket. A Microsoft Entra ID P1 vagy P2 licenc nélkül a felhasználók továbbra is kezelhetik csoportjukat a MyApp-csoportok hozzáférési panel. De nem hozhatnak létre tulajdonosi jóváhagyást igénylő csoportot, és nem kérhetnek csoporthoz való csatlakozást.
Csoportbeállítások
A csoportbeállítások segítségével szabályozhatja, hogy ki hozhat létre biztonsági és Microsoft 365-csoportokat.
Az alábbi táblázat segít eldönteni, hogy mely értékeket válassza.
| Beállítás | Érték | A bérlőre gyakorolt hatás |
|---|---|---|
| A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. | Igen | A Microsoft Entra-szervezet minden felhasználója létrehozhat új biztonsági csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panel is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba. |
| Nem | A felhasználók nem hozhatnak létre biztonsági csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz. | |
| A felhasználók Microsoft 365-csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. | Igen | A Microsoft Entra-szervezet minden felhasználója létrehozhat új Microsoft 365-csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panel is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba. |
| Nem | A felhasználók nem hozhatnak létre M365-csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz. |
Íme néhány további információ a csoportbeállításokról:
- Ezek a beállítások érvénybe lépése akár 15 percet is igénybe vehet.
- Ha engedélyezni szeretné a felhasználók egy részét, de nem az összeset a csoportok létrehozásához, hozzárendelheti őket egy olyan szerepkörhöz, amely csoportokat hozhat létre, például csoportok Rendszergazda istrator.
- Ezek a beállítások a felhasználókra vonatkoznak, és nincsenek hatással a szolgáltatásnevekre. Ha például rendelkezik olyan szolgáltatásnévvel, amely jogosult csoportok létrehozására, még akkor is, ha ezeket a beállításokat Nem értékre állítja, a szolgáltatásnév továbbra is létrehozhat csoportokat.
Csoportbeállítások konfigurálása a Microsoft Graph használatával
A Felhasználók konfigurálásához biztonsági csoportokat hozhat létre az Azure Portalokon, api-ban vagy PowerShell-beállításban a Microsoft Graph használatával, konfigurálja az EnableGroupCreation objektum objektumát groupSettings . További információ: A csoportbeállítások áttekintése.
A Felhasználók konfigurálásához biztonsági csoportokat hozhat létre az Azure Portalokon, API-ban vagy PowerShell-beállításban a Microsoft Graph használatával, frissítse az allowedToCreateSecurityGroupsauthorizationPolicy objektum tulajdonságátdefaultUserRolePermissions.
Következő lépések
További információ a Microsoft Entra-azonosítóról: