Share via


Önkiszolgáló csoportkezelés beállítása a Microsoft Entra-azonosítóban

Engedélyezheti a felhasználóknak, hogy saját biztonsági csoportokat vagy Microsoft 365-csoportokat hozzanak létre és kezeljenek a Microsoft Entra-azonosítóban. A csoport tulajdonosa jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja a csoporttagság ellenőrzését. Az önkiszolgáló csoportkezelési funkciók nem érhetők el levelezési biztonsági csoportokhoz vagy terjesztési listákhoz.

Önkiszolgáló csoporttagság

Engedélyezheti a felhasználóknak, hogy biztonsági csoportokat hozzanak létre, amelyek a megosztott erőforrásokhoz való hozzáférés kezelésére szolgálnak. A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon az Azure Active Directory (Azure AD) PowerShell vagy a MyApps-csoportok hozzáférési panel használatával.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Csak a csoport tulajdonosai frissíthetik a tagságot, de a csoporttulajdonosok számára lehetővé teheti a MyApps-csoportok hozzáférési panel tagsági kérelmeinek jóváhagyását vagy elutasítását. Az önkiszolgáló, a MyApps-csoportok hozzáférési panel keresztül létrehozott biztonsági csoportok minden felhasználó számára elérhetők, akár tulajdonos által jóváhagyott, akár automatikusan támogatott. A MyApps-csoportok hozzáférési panel a csoport létrehozásakor módosíthatja a tagsági beállításokat.

A Microsoft 365-csoportok együttműködési lehetőségeket biztosítanak a felhasználóknak. Csoportokat bármely Microsoft 365-alkalmazásban létrehozhat, például a SharePointban, a Microsoft Teamsben és a Plannerben. Microsoft 365-csoportokat is létrehozhat az Azure Portalokon a Microsoft Graph PowerShell vagy a MyApps-csoportok hozzáférési panel használatával. A biztonsági csoportok és a Microsoft 365-csoportok közötti különbségről további információt a Csoportok ismertetése című témakörben talál.

A következőben létrehozott csoportok: A biztonsági csoport alapértelmezett viselkedése A Microsoft 365-csoport alapértelmezett viselkedése
Microsoft Graph PowerShell Csak a tulajdonosok adhatnak hozzá tagokat.
Látható, de nem lehet csatlakozni a MyApp-csoportok hozzáférési panel.
Nyissa meg az összes felhasználó számára való csatlakozáshoz.
Azure Portalra Csak a tulajdonosok adhatnak hozzá tagokat.
Látható, de nem lehet csatlakozni a MyApps-csoportok hozzáférési panel.
A tulajdonos nincs automatikusan hozzárendelve a csoport létrehozásakor.
Nyissa meg az összes felhasználó számára való csatlakozáshoz.
MyApps-csoportok hozzáférési panel A felhasználók itt kezelhetik a csoportokat, és hozzáférést kérhetnek a csoportokhoz való csatlakozáshoz.
A tagsági beállítások a csoport létrehozásakor módosíthatók.
Nyissa meg az összes felhasználó számára való csatlakozáshoz.
A tagsági beállítások a csoport létrehozásakor módosíthatók.

Önkiszolgáló csoportkezelési forgatókönyvek

Két forgatókönyv segít az önkiszolgáló csoportkezelés magyarázatában.

Delegált csoportkezelés

Ebben a példaforgatókönyvben a rendszergazda felügyeli a vállalat által használt szolgáltatásként (SaaS)-alkalmazásokhoz való hozzáférést. A hozzáférési jogosultságok kezelése nehézkes, ezért a rendszergazda megkéri a vállalat tulajdonosát, hogy hozzon létre egy új csoportot. A rendszergazda hozzáférést rendel az alkalmazáshoz az új csoporthoz, és hozzáadja a csoporthoz az alkalmazást már hozzáférő összes felhasználót. A vállalat tulajdonosa ezt követően további felhasználókat vehet fel a csoportba, akik automatikusan hozzáférést kapnak az alkalmazáshoz.

A vállalat tulajdonosának nem kell a rendszergazdára várnia a felhasználók hozzáférésének kezeléséhez. Ha a rendszergazda ugyanazzal az engedéllyel rendelkezik egy másik üzleti csoportban lévő vezetőnek, az adott személy a saját csoporttagok hozzáférését is kezelheti. Az üzlet tulajdonosa és a vezető nem tekintheti meg és nem kezelhetik egymás csoporttagságait. A rendszergazda továbbra is láthatja az összes olyan felhasználót, aki hozzáfér az alkalmazáshoz, és szükség esetén letiltja a hozzáférési jogosultságokat.

Önkiszolgáló csoportkezelés

Ebben a példában két felhasználó rendelkezik egymástól függetlenül beállított SharePoint Online-webhelyekkel. Hozzáférést szeretnének adni egymás csapatainak a webhelyeikhez. A feladat elvégzéséhez létrehozhatnak egy csoportot a Microsoft Entra-azonosítóban. A SharePoint Online-ban mindegyikük kiválasztja ezt a csoportot, hogy hozzáférést biztosítson a webhelyeihez.

Amikor valaki hozzáférést szeretne, a MyApps-csoportoktól kéri a hozzáférési panel. A jóváhagyás után a felhasználók automatikusan hozzáférhetnek mindkét SharePoint Online-webhelyhez. Ezt követően egyikük dönthet úgy, hogy a webhelyhez hozzáféréssel rendelkező összes felhasználó számára egy adott SaaS-alkalmazáshoz is hozzáférést ad. A SaaS-alkalmazás rendszergazdája adhat hozzáférési jogot a SharePoint Online webhelyhez tartozó alkalmazáshoz. Ettől kezdve minden jóváhagyott kérés hozzáférést biztosít a két SharePoint Online-webhelyhez és az SaaS-alkalmazáshoz is.

Csoport elérhetővé tétele önkiszolgáló felhasználói tevékenységhez

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább csoportként Rendszergazda istratorként.

  2. Válassza ki a Microsoft Entra ID.

  3. Válassza az Összes csoportcsoport>, majd az Általános beállítások lehetőséget.

    Feljegyzés

    Ez a beállítás csak a saját csoportok csoportadatainak elérését korlátozza. Nem korlátozza a csoportadatokhoz való hozzáférést más módszereken, például a Microsoft Graph API-hívásokon vagy a Microsoft Entra felügyeleti központon keresztül.

    Képernyőkép a Microsoft Entra-csoportok általános beállításairól.

    Feljegyzés

    2024 júniusában a Felhasználók hozzáférésének korlátozása a Saját csoportokhoz beállítás a Saját csoportok biztonsági csoportok megtekintésének és szerkesztésének korlátozása beállításra módosul. Ha a beállítás jelenleg Igen értékre van állítva, a felhasználók 2024 júniusában hozzáférhetnek a Saját csoportokhoz, de nem láthatják a biztonsági csoportokat.

  4. A Csoporttulajdonosok csoporttagság-kérelmeket a hozzáférési panel Igen értékre kezelheti.

  5. A hozzáférési panel csoportfunkcióinak hozzáférésének korlátozása a felhasználó számára nem értékre.

  6. Beállíthatja, hogy a felhasználók biztonsági csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.

    Erről a beállításról további információt a Csoportbeállítások című témakörben talál.

  7. Beállíthatja, hogy a felhasználók Microsoft 365-csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.

    Erről a beállításról további információt a Csoportbeállítások című témakörben talál.

Az Azure Portalon csoporttulajdonosként hozzárendelhető tulajdonosok használatával részletesebb hozzáférés-vezérlést érhet el a felhasználók önkiszolgáló csoportkezelése felett.

Ha a felhasználók csoportokat hozhatnak létre, a szervezet összes felhasználója létrehozhat új csoportokat. Alapértelmezett tulajdonosként ezután tagokat vehet fel ezekbe a csoportokba. Nem adhatja meg azokat a személyeket, akik saját csoportokat hozhatnak létre. Csak akkor adhat meg személyeket, ha egy másik csoporttagot csoporttulajdonossá szeretne tenni.

Feljegyzés

P1 vagy P2 Azonosítójú Microsoft Entra-licencre van szükség ahhoz, hogy a felhasználók biztonsági csoporthoz vagy Microsoft 365-csoporthoz csatlakozzanak, és hogy a tulajdonosok jóváhagyják vagy megtagadják a tagsági kérelmeket. A Microsoft Entra ID P1 vagy P2 licenc nélkül a felhasználók továbbra is kezelhetik csoportjukat a MyApp-csoportok hozzáférési panel. De nem hozhatnak létre tulajdonosi jóváhagyást igénylő csoportot, és nem kérhetnek csoporthoz való csatlakozást.

Csoportbeállítások

A csoportbeállítások segítségével szabályozhatja, hogy ki hozhat létre biztonsági és Microsoft 365-csoportokat.

Képernyőkép a Microsoft Entra biztonsági csoportok beállításának módosításáról.

Az alábbi táblázat segít eldönteni, hogy mely értékeket válassza.

Beállítás Érték A bérlőre gyakorolt hatás
A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. Igen A Microsoft Entra-szervezet minden felhasználója létrehozhat új biztonsági csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panel is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba.
Nem A felhasználók nem hozhatnak létre biztonsági csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz.
A felhasználók Microsoft 365-csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. Igen A Microsoft Entra-szervezet minden felhasználója létrehozhat új Microsoft 365-csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panel is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba.
Nem A felhasználók nem hozhatnak létre M365-csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz.

Íme néhány további információ a csoportbeállításokról:

  • Ezek a beállítások érvénybe lépése akár 15 percet is igénybe vehet.
  • Ha engedélyezni szeretné a felhasználók egy részét, de nem az összeset a csoportok létrehozásához, hozzárendelheti őket egy olyan szerepkörhöz, amely csoportokat hozhat létre, például csoportok Rendszergazda istrator.
  • Ezek a beállítások a felhasználókra vonatkoznak, és nincsenek hatással a szolgáltatásnevekre. Ha például rendelkezik olyan szolgáltatásnévvel, amely jogosult csoportok létrehozására, még akkor is, ha ezeket a beállításokat Nem értékre állítja, a szolgáltatásnév továbbra is létrehozhat csoportokat.

Csoportbeállítások konfigurálása a Microsoft Graph használatával

A Felhasználók konfigurálásához biztonsági csoportokat hozhat létre az Azure Portalokon, api-ban vagy PowerShell-beállításban a Microsoft Graph használatával, konfigurálja az EnableGroupCreation objektum objektumát groupSettings . További információ: A csoportbeállítások áttekintése.

A Felhasználók konfigurálásához biztonsági csoportokat hozhat létre az Azure Portalokon, API-ban vagy PowerShell-beállításban a Microsoft Graph használatával, frissítse az allowedToCreateSecurityGroupsauthorizationPolicy objektum tulajdonságátdefaultUserRolePermissions.

Következő lépések

További információ a Microsoft Entra-azonosítóról: