Önkiszolgáló csoportkezelés beállítása a Microsoft Entra-azonosítóban
Engedélyezheti a felhasználóknak, hogy saját biztonsági csoportokat vagy Microsoft 365-csoportokat hozzanak létre és kezeljenek a Microsoft Entra-azonosítóban. A csoport tulajdonosa jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja a csoporttagság ellenőrzését. Az önkiszolgáló csoportkezelési funkciók nem érhetők el levelezési biztonsági csoportokhoz vagy terjesztési listákhoz.
Önkiszolgáló csoporttagság
Engedélyezheti a felhasználóknak, hogy biztonsági csoportokat hozzanak létre, amelyek a megosztott erőforrásokhoz való hozzáférés kezelésére szolgálnak. A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon az Azure Active Directory (Azure AD) PowerShell vagy a Saját csoportok portál használatával.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Csak a csoport tulajdonosai frissíthetik a tagságot, de a csoporttulajdonosoknak lehetősége van jóváhagyni vagy megtagadni a tagsági kérelmeket a Saját csoportok portálról. A Saját csoportok portálon önkiszolgálóan létrehozott biztonsági csoportok minden felhasználó számára elérhetők, akár tulajdonos által jóváhagyott, akár automatikusan támogatott. A Saját csoportok portálon a csoport létrehozásakor módosíthatja a tagsági beállításokat.
A Microsoft 365-csoportok együttműködési lehetőségeket biztosítanak a felhasználóknak. Csoportokat bármely Microsoft 365-alkalmazásban létrehozhat, például a SharePointban, a Microsoft Teamsben és a Plannerben. Microsoft 365-csoportokat is létrehozhat az Azure Portalokon a Microsoft Graph PowerShell vagy a Saját csoportok portál használatával. A biztonsági csoportok és a Microsoft 365-csoportok közötti különbségről további információt a Csoportok ismertetése című témakörben talál.
A következőben létrehozott csoportok: | A biztonsági csoport alapértelmezett viselkedése | A Microsoft 365-csoport alapértelmezett viselkedése |
---|---|---|
Microsoft Graph PowerShell | Csak a tulajdonosok adhatnak hozzá tagokat. Látható, de nem lehet csatlakozni a MyApp-csoportok hozzáférési panel. |
Nyissa meg az összes felhasználó számára való csatlakozáshoz. |
Azure Portalra | Csak a tulajdonosok adhatnak hozzá tagokat. Látható, de nem érhető el a Saját csoportok portálon való csatlakozáshoz. A tulajdonos nincs automatikusan hozzárendelve a csoport létrehozásakor. |
Nyissa meg az összes felhasználó számára való csatlakozáshoz. |
Saját csoportok portál | A felhasználók itt kezelhetik a csoportokat, és hozzáférést kérhetnek a csoportokhoz való csatlakozáshoz. A tagsági beállítások a csoport létrehozásakor módosíthatók. |
Nyissa meg az összes felhasználó számára való csatlakozáshoz. A tagsági beállítások a csoport létrehozásakor módosíthatók. |
Önkiszolgáló csoportkezelési forgatókönyvek
Két forgatókönyv segít az önkiszolgáló csoportkezelés magyarázatában.
Delegált csoportkezelés
Ebben a példaforgatókönyvben a rendszergazda felügyeli a vállalat által használt szolgáltatásként (SaaS)-alkalmazásokhoz való hozzáférést. A hozzáférési jogosultságok kezelése nehézkes, ezért a rendszergazda megkéri a vállalat tulajdonosát, hogy hozzon létre egy új csoportot. A rendszergazda hozzáférést rendel az alkalmazáshoz az új csoporthoz, és hozzáadja a csoporthoz az alkalmazást már hozzáférő összes felhasználót. A vállalat tulajdonosa ezt követően további felhasználókat vehet fel a csoportba, akik automatikusan hozzáférést kapnak az alkalmazáshoz.
A vállalat tulajdonosának nem kell a rendszergazdára várnia a felhasználók hozzáférésének kezeléséhez. Ha a rendszergazda ugyanazzal az engedéllyel rendelkezik egy másik üzleti csoportban lévő vezetőnek, az adott személy a saját csoporttagok hozzáférését is kezelheti. Az üzlet tulajdonosa és a vezető nem tekintheti meg és nem kezelhetik egymás csoporttagságait. A rendszergazda továbbra is láthatja az összes olyan felhasználót, aki hozzáfér az alkalmazáshoz, és szükség esetén letiltja a hozzáférési jogosultságokat.
Feljegyzés
Delegált forgatókönyvek esetén a rendszergazdának rendelkeznie kell legalább egy kiemelt szerepkör-rendszergazdai Microsoft Entra-szerepkörrel .
Önkiszolgáló csoportkezelés
Ebben a példában két felhasználó rendelkezik egymástól függetlenül beállított SharePoint Online-webhelyekkel. Hozzáférést szeretnének adni egymás csapatainak a webhelyeikhez. A feladat elvégzéséhez létrehozhatnak egy csoportot a Microsoft Entra-azonosítóban. A SharePoint Online-ban mindegyikük kiválasztja ezt a csoportot, hogy hozzáférést biztosítson a webhelyeihez.
Ha valaki hozzáférést szeretne, a Saját csoportok portálról kéri. A jóváhagyás után a felhasználók automatikusan hozzáférhetnek mindkét SharePoint Online-webhelyhez. Ezt követően egyikük dönthet úgy, hogy a webhelyhez hozzáféréssel rendelkező összes felhasználó számára egy adott SaaS-alkalmazáshoz is hozzáférést ad. A SaaS-alkalmazás rendszergazdája adhat hozzáférési jogot a SharePoint Online webhelyhez tartozó alkalmazáshoz. Ettől kezdve minden jóváhagyott kérés hozzáférést biztosít a két SharePoint Online-webhelyhez és az SaaS-alkalmazáshoz is.
Csoport elérhetővé tétele önkiszolgáló felhasználói tevékenységhez
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább csoportadminisztrátorként.
Válassza ki a Microsoft Entra ID.
Válassza az Összes csoportcsoport>, majd az Általános beállítások lehetőséget.
Feljegyzés
Ez a beállítás csak a saját csoportok csoportadatainak elérését korlátozza. Nem korlátozza a csoportadatokhoz való hozzáférést más módszereken, például a Microsoft Graph API-hívásokon vagy a Microsoft Entra felügyeleti központon keresztül.
Feljegyzés
Az eredetileg 2024 júniusára ütemezett Önkiszolgáló csoportkezelési beállítás módosításai jelenleg felülvizsgálat alatt állnak, és nem az eredetileg tervezett módon történnek. Az elavulási dátumot a jövőben jelentik be.
A Csoporttulajdonosok csoporttagság-kérelmeket a hozzáférési panel Igen értékre kezelheti.
A hozzáférési panel csoportfunkcióinak hozzáférésének korlátozása a felhasználó számára nem értékre.
Beállíthatja, hogy a felhasználók biztonsági csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.
Erről a beállításról további információt a Csoportbeállítások című témakörben talál.
Beállíthatja, hogy a felhasználók Microsoft 365-csoportokat hozzanak létre az Azure Portalon, az API-ban vagy a PowerShellben igen vagy nem értékre.
Erről a beállításról további információt a Csoportbeállítások című témakörben talál.
Az Azure Portalon csoporttulajdonosként hozzárendelhető tulajdonosok használatával részletesebb hozzáférés-vezérlést érhet el a felhasználók önkiszolgáló csoportkezelése felett.
Ha a felhasználók csoportokat hozhatnak létre, a szervezet összes felhasználója létrehozhat új csoportokat. Alapértelmezett tulajdonosként ezután tagokat vehet fel ezekbe a csoportokba. Nem adhatja meg azokat a személyeket, akik saját csoportokat hozhatnak létre. Csak akkor adhat meg személyeket, ha egy másik csoporttagot csoporttulajdonossá szeretne tenni.
Feljegyzés
P1 vagy P2 Azonosítójú Microsoft Entra-licencre van szükség ahhoz, hogy a felhasználók biztonsági csoporthoz vagy Microsoft 365-csoporthoz csatlakozzanak, és hogy a tulajdonosok jóváhagyják vagy megtagadják a tagsági kérelmeket. A Microsoft Entra ID P1 vagy P2 licenc nélkül a felhasználók továbbra is kezelhetik csoportjukat a MyApp-csoportok hozzáférési panel. De nem hozhatnak létre tulajdonosi jóváhagyást igénylő csoportot, és nem kérhetnek csoporthoz való csatlakozást.
Csoportbeállítások
A csoportbeállítások segítségével szabályozhatja, hogy ki hozhat létre biztonsági és Microsoft 365-csoportokat.
Az alábbi táblázat segít eldönteni, hogy mely értékeket válassza.
Beállítás | Érték | A bérlőre gyakorolt hatás |
---|---|---|
A felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. | Igen | A Microsoft Entra-szervezet minden felhasználója létrehozhat új biztonsági csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panel is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba. |
Nem | A felhasználók nem hozhatnak létre biztonsági csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz. | |
A felhasználók Microsoft 365-csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben. | Igen | A Microsoft Entra-szervezet minden felhasználója létrehozhat új Microsoft 365-csoportokat, és tagokat vehet fel ezekbe a csoportokba az Azure Portalon, az API-ban vagy a PowerShellben. Ezek az új csoportok az összes többi felhasználó hozzáférési panel is megjelennek. Ha pedig a csoport házirend-beállítása ezt lehetővé teszi, más felhasználók is kérhetik a felvételüket a csoportokba. |
Nem | A felhasználók nem hozhatnak létre M365-csoportokat. Továbbra is kezelhetik azoknak a csoportoknak a tagságát, amelyek tulajdonosa, és jóváhagyhatják a más felhasználóktól érkező kéréseket, hogy csatlakozzanak a csoportjukhoz. |
Íme néhány további információ a csoportbeállításokról:
- Ezek a beállítások érvénybe lépése akár 15 percet is igénybe vehet.
- Ha engedélyezni szeretné a felhasználók egy részét, de nem az összeset a csoportok létrehozásához, hozzárendelhet hozzájuk egy olyan szerepkört, amely csoportokat hozhat létre, például csoportadminisztrátort.
- Ezek a beállítások a felhasználókra vonatkoznak, és nincsenek hatással a szolgáltatásnevekre. Ha például rendelkezik olyan szolgáltatásnévvel, amely jogosult csoportok létrehozására, még akkor is, ha ezeket a beállításokat Nem értékre állítja, a szolgáltatásnév továbbra is létrehozhat csoportokat.
Csoportbeállítások konfigurálása a Microsoft Graph használatával
A Felhasználók konfigurálásához Microsoft 365-csoportokat hozhat létre az Azure Portalokon, API-ban vagy PowerShell-beállításban a Microsoft Graph használatával, konfigurálhatja az EnableGroupCreation
objektum objektumát.groupSettings
További információ: A csoportbeállítások áttekintése.
A Felhasználók konfigurálásához biztonsági csoportokat hozhat létre az Azure Portalokon, API-ban vagy PowerShell-beállításban a Microsoft Graph használatával, frissítse az allowedToCreateSecurityGroups
authorizationPolicy objektum tulajdonságátdefaultUserRolePermissions
.
Következő lépések
További információ a Microsoft Entra-azonosítóról: