Бөлісу құралы:


Настройка самостоятельного управления группами в идентификаторе Microsoft Entra

Вы можете разрешить пользователям создавать собственные группы безопасности или группы Microsoft 365 в идентификаторе Microsoft Entra и управлять ими. Владелец группы может утверждать или отклонять запросы на членство, а также делегировать управление членством в группе. Функции самостоятельного управления группами недоступны для групп безопасности с поддержкой почты или списков рассылки.

Членство в группе самообслуживания

Вы можете разрешить пользователям создавать группы безопасности, которые используются для управления доступом к общим ресурсам. Пользователи могут создавать группы безопасности в портал Azure с помощью Azure Active Directory (Azure AD) PowerShell или на портале "Мои группы".

Снимок экрана: портал

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Только владельцы группы могут обновить членство, но вы можете предоставить владельцам групп возможность утверждать или отклонять запросы на членство на портале "Мои группы". Группы безопасности, созданные с помощью портала "Мои группы", доступны для присоединения для всех пользователей, независимо от того, утверждены ли владельцы или автоматически. На портале "Мои группы" можно изменить параметры членства при создании группы.

Группы Microsoft 365 предоставляют возможности совместной работы для пользователей. Группы можно создавать в любом из приложений Microsoft 365, таких как SharePoint, Microsoft Teams и Планировщик. Вы также можете создавать группы Microsoft 365 в портал Azure с помощью Microsoft Graph PowerShell или на портале "Мои группы". Дополнительные сведения о различиях между группами безопасности и группами Microsoft 365 см. в статье "Сведения о группах".

Место создания группы Поведение группы безопасности по умолчанию Поведение группы Microsoft 365 по умолчанию
Microsoft Graph PowerShell Только владельцы могут добавлять участников.
Видимый, но недоступный для присоединения к группам MyApp Панель доступа.
Откройте для присоединения для всех пользователей.
Портал Azure Только владельцы могут добавлять участников.
Видимый, но недоступный для присоединения на портале "Мои группы".
Владелец не назначается автоматически при создании группы.
Откройте для присоединения для всех пользователей.
Портал "Мои группы" Пользователи могут управлять группами и запрашивать доступ к группам присоединения.
Параметры членства можно изменить при создании группы.
Откройте для присоединения для всех пользователей.
Параметры членства можно изменить при создании группы.

Сценарии самостоятельного управления группами

Два сценария помогают объяснить самостоятельное управление группами.

Делегированное управление группами

В этом примере администратор управляет доступом к программному обеспечению как службе (SaaS), используемому компанией. Управление правами доступа является громоздким, поэтому администратор просит владельца бизнеса создать новую группу. Администратор назначает приложению доступ к новой группе и добавляет в группу всех пользователей, уже имеющих доступ к приложению. Впоследствии владелец компании может добавить несколько пользователей, и им автоматически будет предоставлен доступ к приложению.

Владельцу компании не нужно ждать, пока администратор выполнит свою работу. Если администратор предоставляет одному и тому же разрешение руководителю в другой бизнес-группе, этот пользователь также может управлять доступом для своих членов группы. Владелец бизнеса и менеджер не могут просматривать или управлять членством в группах друг друга. Администратор по-прежнему может видеть всех пользователей, имеющих доступ к приложению, и при необходимости блокировать права доступа.

Примечание.

Для делегированных сценариев администратору необходимо иметь по крайней мере роль администратора привилегированных ролей Microsoft Entra .

Самостоятельное управление группами

В этом примере у двух пользователей есть сайты SharePoint Online, которые они настраивают независимо. Они хотят предоставить командам взаимный доступ к своим сайтам. Для выполнения этой задачи они могут создать одну группу в идентификаторе Microsoft Entra. В SharePoint Online каждый из них выбирает группу для предоставления доступа к своим сайтам.

Когда кто-то хочет получить доступ, он запрашивает его на портале "Мои группы". После утверждения они автоматически получают доступ к обоим сайтам SharePoint Online. Позже один из них решает, что все пользователи сайта также должны получить доступ к определенному приложению SaaS. Администратор приложения SaaS может добавить права доступа к сайту SharePoint Online для приложения. После этого все запросы, которые получают утвержденные, предоставляют доступ к двум сайтам SharePoint Online, а также приложению SaaS.

Включение функции самообслуживания для пользователей группы

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите "Все группы"> и выберите "Общие параметры".

    Примечание.

    Этот параметр ограничивает доступ только к сведениям о группе в моих группах. Он не ограничивает доступ к сведениям о группе с помощью других методов, таких как вызовы API Microsoft Graph или Центр администрирования Microsoft Entra.

    Снимок экрана: общие параметры групп Microsoft Entra.

    Примечание.

    Изменения, касающиеся параметра самостоятельного управления группами, первоначально запланированные на июнь 2024 года, в настоящее время рассматриваются и не будут выполняться как первоначально запланированные. Дата отмены будет объявлена в будущем.

  4. Присвойте параметру Владельцы могут управлять запросами на членство в группе на панели доступа значение Да.

  5. Установите для параметра Ограничить доступ пользователей к возможностям групп на панели доступа значение Нет.

  6. Настройте параметр Пользователи могут создавать группы безопасности на порталах Azure, через API или PowerShell со значением Да или Нет.

    Дополнительные сведения об этом параметре см. в разделе "Параметры группы".

  7. Настройте параметр Пользователи могут создавать группы Microsoft 365 на порталах Azure, через API или PowerShell со значением Да или Нет.

    Дополнительные сведения об этом параметре см. в разделе "Параметры группы".

Можно также использовать параметр Владельцы, которые могут назначать участников владельцами групп на порталах Azure, чтобы контроль доступа к самостоятельному управлению группами для ваших пользователей был более детальным.

Когда пользователи могут создавать группы, все пользователи в вашей организации могут создавать новые группы. В качестве владельца по умолчанию они могут добавлять участников в эти группы. Нельзя указывать пользователей, которые могут создавать собственные группы. Вы можете указывать отдельных лиц только для того, чтобы сделать другого члена группы владельцем группы.

Примечание.

Лицензия Microsoft Entra ID P1 или P2 необходима для того, чтобы пользователи запрашивали присоединение к группе безопасности или группе Microsoft 365 и для владельцев, чтобы утвердить или запретить запросы на членство. Без лицензии Microsoft Entra ID P1 или P2 пользователи по-прежнему могут управлять своими группами в Панель доступа групп MyApp. Но они не могут создать группу, требующую утверждения владельца, и они не могут запросить присоединение к группе.

Параметры группы

Параметры группы позволяют контролировать, кто может создавать группы безопасности и Группы Microsoft 365.

Снимок экрана: изменение параметров групп безопасности Microsoft Entra.

Следующая таблица поможет вам решить, какие значения выбрать.

Параметр Значение Эффект
Пользователи могут создавать группы безопасности в портал Azure, API или PowerShell. Да Все пользователи в организации Microsoft Entra могут создавать новые группы безопасности и добавлять участников в эти группы в портал Azure, API или PowerShell. Эти новые группы также отображаются в Панель доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы.
No Пользователи не могут создавать группы безопасности. Они по-прежнему могут управлять членством в группах, для которых они являются владельцем и утверждать запросы от других пользователей, чтобы присоединиться к их группам.
Пользователи могут создавать группы Microsoft 365 в портал Azure, API или PowerShell. Да Все пользователи в организации Microsoft Entra могут создавать новые группы Microsoft 365 и добавлять участников в эти группы в портал Azure, API или PowerShell. Эти новые группы также отображаются в Панель доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы.
No Пользователи не могут создавать группы M365. Они по-прежнему могут управлять членством в группах, для которых они являются владельцем и утверждать запросы от других пользователей, чтобы присоединиться к их группам.

Ниже приведены дополнительные сведения об этих параметрах группы:

  • Эти параметры могут занять до 15 минут.
  • Если вы хотите, чтобы только отдельные пользователи могли создавать группы, вы можете назначить этим пользователям роль, которая имеет разрешения для создания групп, например Администратор группы.
  • Эти параметры предназначены для пользователей и не влияют на субъекты-службы. Например, если у вас есть субъект-служба с разрешениями на создание групп, даже если задано значение "Нет", субъект-служба по-прежнему может создавать группы.

Настройка параметров группы с помощью Microsoft Graph

Чтобы настроить группы Microsoft 365 в портал Azure, API или PowerShell с помощью Microsoft Graph, настройте EnableGroupCreation объект в объектеgroupSettings. Дополнительные сведения см. в разделе "Обзор параметров группы".

Чтобы настроить пользователей, можно создать группы безопасности в портал Azure, API или параметра PowerShell с помощью Microsoft Graph, обновить allowedToCreateSecurityGroups свойство defaultUserRolePermissions объекта authorizationPolicy.

Следующие шаги

Дополнительные сведения об идентификаторе Microsoft Entra см. в следующих статье: