Megosztás a következőn keresztül:

Önkiszolgáló csoportkezelés beállítása a Microsoft Entra-azonosítóban

A Microsoft Entra ID önkiszolgáló csoportkezelési funkciókat biztosít, amelyek lehetővé teszik a felhasználók számára saját biztonsági csoportok vagy Microsoft 365-csoportok létrehozását és kezelését. A csoport tulajdonosa jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja a csoporttagság ellenőrzését. Az önkiszolgáló csoportkezelési funkciók nem érhetők el levelezési biztonsági csoportokhoz vagy terjesztési listákhoz.

Önkiszolgáló csoporttagsági rendszer

Engedélyezheti a felhasználóknak, hogy biztonsági csoportokat hozzanak létre a megosztott erőforrásokhoz való hozzáférés kezeléséhez. A felhasználók biztonsági csoportokat hozhatnak létre a Microsoft Entra felügyeleti központ, a PowerShell használatával, vagy a Saját csoportok portálon.

Képernyőkép a Saját csoportok portálról.

Csak a csoport tulajdonosai frissíthetik a tagságot. Lehetővé teheti a csoporttulajdonosok számára, hogy jóváhagyják vagy megtagadják a tagsági kérelmeket a Saját csoportok portálról. A Saját csoportok portálon önkiszolgáló módon létrehozott biztonsági csoportokhoz minden felhasználó csatlakozhat, akár tulajdonos által jóváhagyott, akár automatikusan jóváhagyott. A Saját csoportok portálon a csoport létrehozásakor módosíthatja a tagsági beállításokat.

A Microsoft 365-csoportok együttműködési lehetőségeket biztosítanak a felhasználóknak. Csoportokat bármelyik Microsoft 365-alkalmazásban létrehozhat, például a SharePointban és a Microsoft Teamsben. Microsoft 365-csoportokat is létrehozhat az Azure Portalokon a Microsoft Graph PowerShell vagy a Saját csoportok portál használatával. A biztonsági csoportok és a Microsoft 365-csoportok közötti különbségről további információt a Csoportok ismertetése című témakörben talál.

Létrehozott csoportok: A biztonsági csoport alapértelmezett viselkedése A Microsoft 365-csoport alapértelmezett viselkedése
Microsoft Graph PowerShell Csak a tulajdonosok adhatnak hozzá tagokat.
Látható, de nem lehet belépni a MyApp-csoportok hozzáférési panelhez.		 Minden felhasználó csatlakozhat.
Azure Portal Csak a tulajdonosok adhatnak hozzá tagokat.
Látható, de nem érhető el a Saját csoportok portálon való csatlakozáshoz.
A tulajdonos nincs automatikusan hozzárendelve a csoport létrehozásakor.		 Minden felhasználó csatlakozhat.
Saját csoportok portál A felhasználók itt kezelhetik a csoportokat, és hozzáférést kérhetnek a csoportokhoz való csatlakozáshoz.
A tagsági beállítások a csoport létrehozásakor módosíthatók.		 Minden felhasználó csatlakozhat.
A tagsági beállítások a csoport létrehozásakor módosíthatók.

Önkiszolgáló csoportkezelési forgatókönyvek

Két forgatókönyv segít az önkiszolgáló csoportkezelés magyarázatában.

Delegált csoportkezelés

Ebben a példaforgatókönyvben a rendszergazda felügyeli a vállalat által használt SaaS-alkalmazásokhoz való hozzáférést. A hozzáférési jogosultságok kezelése nehézkes, ezért a rendszergazda megkéri a vállalat tulajdonosát, hogy hozzon létre egy új csoportot. A rendszergazda hozzáférést rendel az alkalmazáshoz az új csoporthoz, és hozzáadja a csoporthoz az alkalmazást már hozzáférő összes felhasználót. A vállalat tulajdonosa ezt követően további felhasználókat vehet fel a csoportba, akik automatikusan hozzáférést kapnak az alkalmazáshoz.

A vállalat tulajdonosának nem kell a rendszergazdára várnia a felhasználók hozzáférésének kezeléséhez. Ha a rendszergazda ugyanazzal az engedéllyel rendelkezik egy másik üzleti csoportban lévő vezetőnek, az adott személy a saját csoporttagok hozzáférését is kezelheti. Az üzlet tulajdonosa és a vezető nem tekintheti meg és nem kezelhetik egymás csoporttagságait. A rendszergazda továbbra is láthatja az összes olyan felhasználót, aki hozzáfér az alkalmazáshoz, és szükség esetén letiltja a hozzáférési jogosultságokat.

Feljegyzés

Delegált forgatókönyvek esetén a rendszergazdának rendelkeznie kell legalább egy kiemelt szerepkör-rendszergazdai Microsoft Entra-szerepkörrel .

Önkiszolgáló csoportkezelés

Ebben a példában két felhasználó rendelkezik egymástól függetlenül beállított SharePoint Online-webhelyekkel. Hozzáférést szeretnének adni egymás csapatainak a webhelyeikhez. A feladat elvégzéséhez létrehozhatnak egy csoportot a Microsoft Entra-azonosítóban. A SharePoint Online-ban mindegyikük kiválasztja ezt a csoportot, hogy hozzáférést biztosítson a webhelyeihez.

Ha valaki hozzáférést szeretne, a Saját csoportok portálról kéri. A jóváhagyás után a felhasználók automatikusan hozzáférhetnek mindkét SharePoint Online-webhelyhez. Ezt követően egyikük dönthet úgy, hogy a webhelyhez hozzáféréssel rendelkező összes felhasználó számára egy adott SaaS-alkalmazáshoz is hozzáférést ad. A SaaS-alkalmazás rendszergazdája adhat hozzáférési jogot a SharePoint Online webhelyhez tartozó alkalmazáshoz. Ettől kezdve minden jóváhagyott kérés hozzáférést biztosít a két SharePoint Online-webhelyhez és az SaaS-alkalmazáshoz is.

Felhasználók önkiszolgálására elérhetővé tegyenek egy csoportot.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális rendszergazdaként.

  2. Válassza ki a Microsoft Entra ID.

  3. Először válassza az Összes csoport>Csoportok lehetőséget, majd válassza a Általános beállításokat.

    Feljegyzés

    Ez a beállítás csak a saját csoportok csoportadatainak elérését korlátozza. Nem korlátozza a csoportadatokhoz való hozzáférést más módszereken, például a Microsoft Graph API-hívásokon vagy a Microsoft Entra felügyeleti központon keresztül.

    Képernyőkép a Microsoft Entra-csoportok általános beállításairól.

    Feljegyzés

    Az önkiszolgáló csoportkezelés beállításával kapcsolatos módosítások jelenleg felülvizsgálat alatt állnak, és nem az eredeti terveknek megfelelően történnek. Az elavulási dátumot a jövőben jelentik be.

  4. Állítsa be, hogy a csoport tulajdonosai kezelhessék a csoporttagság-kérelmeket a hozzáférési panelen az "Igen" értékre.

  5. Állítsa a hozzáférési panel csoportfunkcióinak elérhetőségének korlátozását a felhasználók számára Nem értékre.

  6. Beállíthatja, hogy a felhasználók biztonsági csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.

    Erről a beállításról további információt a Csoportbeállítások című témakörben talál.

  7. Beállíthatja, hogy a felhasználók Microsoft 365-csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.

    Erről a beállításról további információt a Csoportbeállítások című témakörben talál.

Az Azure Portalon csoporttulajdonosként hozzárendelhető tulajdonosok használatával részletesebb hozzáférés-vezérlést érhet el a felhasználók önkiszolgáló csoportkezelése felett.

Ha a felhasználók csoportokat hozhatnak létre, a szervezet összes felhasználója létrehozhat új csoportokat. Alapértelmezett tulajdonosként ezután tagokat vehet fel ezekbe a csoportokba. Nem adhatja meg azokat a személyeket, akik saját csoportokat hozhatnak létre. Csak akkor adhat meg személyeket, ha egy másik csoporttagot csoporttulajdonossá szeretne tenni.

Feljegyzés

P1 vagy P2 Azonosítójú Microsoft Entra-licencre van szükség ahhoz, hogy a felhasználók biztonsági csoporthoz vagy Microsoft 365-csoporthoz csatlakozzanak, és hogy a tulajdonosok jóváhagyják vagy megtagadják a tagsági kérelmeket. A Microsoft Entra ID P1 vagy P2 licenc nélkül a felhasználók továbbra is kezelhetik csoportjukat a MyApp-csoportok hozzáférési panel. De nem hozhatnak létre tulajdonosi jóváhagyást igénylő csoportot, és nem kérhetnek csoporthoz való csatlakozást.

Csoportbeállítások

A csoportbeállítások segítségével szabályozhatja, hogy ki hozhat létre biztonsági és Microsoft 365-csoportokat.

Képernyőkép a Microsoft Entra biztonsági csoportok beállításának módosításáról.

Az alábbi táblázat segít eldönteni, hogy mely értékeket válassza.

Beállítás Érték A bérlőre gyakorolt hatás
A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. Igen A Microsoft Entra-szervezet minden felhasználója létrehozhat új biztonsági csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panelen is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba.
Nem A felhasználók nem hozhatnak létre biztonsági csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz.
A felhasználók Microsoft 365-csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. Igen A Microsoft Entra-szervezet minden felhasználója létrehozhat új Microsoft 365-csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panelen is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba.
Nem A felhasználók nem hozhatnak létre Microsoft 365-csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz.

Íme néhány további információ a csoportbeállításokról:

  • Ezek a beállítások érvénybe lépése akár 15 percet is igénybe vehet.
  • Ha engedélyezni szeretné a felhasználók egy részét, de nem az összeset a csoportok létrehozásához, hozzárendelhet hozzájuk egy olyan szerepkört, amely csoportokat hozhat létre, például csoportadminisztrátort.
  • Ezek a beállítások a felhasználókra vonatkoznak, és nincsenek hatással a szolgáltatásnevekre. Ha például rendelkezik olyan szolgáltatásnévvel, amely jogosult csoportok létrehozására, még akkor is, ha ezeket a beállításokat Nem értékre állítja, a szolgáltatásnév továbbra is létrehozhat csoportokat.

Csoportbeállítások konfigurálása a Microsoft Graph használatával

A Felhasználók Microsoft 365-csoportokat hozhatnak létre az Azure portálokon, API-ban vagy PowerShell-lel beállítás konfigurálásához Microsoft Graph használatával, konfigurálja az EnableGroupCreation objektumot az groupSettings objektumban. További információ: A csoportbeállítások áttekintése.

A(z) authorizationPolicy objektumban található allowedToCreateSecurityGroups tulajdonságának frissítésével konfigurálhatja a "Felhasználók biztonsági csoportokat hozhatnak létre az Azure portálokon, API-ban vagy PowerShell használatával" beállítást a Microsoft Graph segítségével.

Következő lépések

További információ a Microsoft Entra-azonosítóról: