Selfservice voor groepsbeheer instellen in Azure Active Directory
U kunt gebruikers in staat stellen hun eigen beveiligingsgroepen of Microsoft 365-groepen te maken en beheren in Azure Active Directory (Azure AD), onderdeel van Microsoft Entra. De eigenaar van de groep kan lidmaatschapsaanvragen goedkeuren of weigeren en het beheer van een groepslidmaatschap delegeren. Selfservicefuncties voor groepsbeheer zijn niet beschikbaar voor beveiligingsgroepen met e-mail of distributielijsten.
Selfservicegroepslidmaatschap
U kunt gebruikers toestaan beveiligingsgroepen te maken die worden gebruikt voor het beheren van de toegang tot gedeelde resources. Beveiligingsgroepen kunnen worden gemaakt door gebruikers in Azure Portals, met behulp van Azure AD PowerShell of vanuit het toegangsvenster MyApps-groepen. Alleen de eigenaren van de groep kunnen het lidmaatschap bijwerken, maar u kunt groepseigenaren de mogelijkheid bieden om lidmaatschapsaanvragen goed te keuren of te weigeren vanuit het toegangsvenster MyApps-groepen. Beveiligingsgroepen die zijn gemaakt door selfservice via het deelvenster Toegang tot MyApps-groepen zijn beschikbaar voor alle gebruikers, ongeacht of deze door de eigenaar of automatisch zijn goedgekeurd. In het deelvenster Toegang tot MyApps-groepen kunt u lidmaatschapsopties wijzigen wanneer u de groep maakt.
Microsoft 365-groepen, die samenwerkingsmogelijkheden bieden voor uw gebruikers, kunnen worden gemaakt in een van de Microsoft 365-toepassingen, zoals SharePoint, Microsoft Teams en Planner. Microsoft 365-groepen kunnen ook worden gemaakt in Azure Portals, met behulp van Azure AD PowerShell of vanuit het deelvenster Toegang tot MyApps-groepen. Zie Meer informatie over groepen voor meer informatie over het verschil tussen beveiligingsgroepen en Microsoft 365-groepen
| Groepen gemaakt in | Standaardgedrag van beveiligingsgroep | Standaardgedrag voor Microsoft 365-groepen |
|---|---|---|
| Azure AD PowerShell | Alleen eigenaren kunnen leden toevoegen Zichtbaar, maar niet beschikbaar om deel te nemen in het toegangsvenster van MyApp-groepen |
Openen voor deelname voor alle gebruikers |
| Azure-portal | Alleen eigenaren kunnen leden toevoegen Zichtbaar, maar niet beschikbaar om deel te nemen in het deelvenster Toegang tot MyApps-groepen De eigenaar wordt niet automatisch toegewezen bij het maken van een groep |
Openen voor deelname voor alle gebruikers |
| Toegangsvenster MyApps-groepen | Openen voor deelname voor alle gebruikers Lidmaatschapsopties kunnen worden gewijzigd wanneer de groep wordt gemaakt |
Openen voor deelname voor alle gebruikers Lidmaatschapsopties kunnen worden gewijzigd wanneer de groep wordt gemaakt |
Scenario's voor selfservice voor groepsbeheer
- Gedelegeerd groepsbeheer Een voorbeeld is een beheerder die de toegang beheert tot een SaaS-toepassing (Software as a Service) die het bedrijf gebruikt. Het beheren van deze gebruiksrechten is omslachtig en daarom vraagt de beheerder de eigenaar van het bedrijf om een nieuwe groep te maken. De beheerder wijst de toegang voor de toepassing toe aan de nieuwe groep en voegt aan de groep alle personen die al toegang hebben tot de toepassing. De bedrijfseigenaar kan meer gebruikers toevoegen en deze gebruikers worden automatisch ingericht op de toepassing. De bedrijfseigenaar hoeft niet op de beheerder te wachten om de toegang voor gebruikers te beheren. Als de beheerder dezelfde machtiging verleent aan een manager in een andere bedrijfsgroep, kan die persoon ook de toegang voor de eigen groepsleden beheren. Noch de bedrijfseigenaar, noch de beheerder kunnen elkaars groepslidmaatschappen bekijken of beheren. De beheerder kan nog steeds alle gebruikers die toegang tot de toepassing hebben zien en zonodig de toegangsrechten blokkeren.
- Self-service voor groepsbeheer Een voorbeeld van dit scenario zijn twee gebruikers die allebei SharePoint Online-sites hebben die ze onafhankelijk hebben ingesteld. Ze willen elkaars teams toegang geven tot hun sites. Hiervoor kunnen ze in Azure AD een groep maken en in SharePoint selecteert elk van hen de groep waartoe ze op hun sites toegang willen verlenen. Wanneer iemand toegang wil, vraagt deze deze aan bij de Toegangsvenster MyApps Groups en krijgt hij na goedkeuring automatisch toegang tot beide SharePoint Online-sites. Later beslist één van hen dat alle personen die de site openen ook toegang moeten krijgen tot een specifieke SaaS-toepassing. De beheerder van de SaaS-toepassing kan toegangsrechten toevoegen voor de toepassing aan de SharePoint Online-site. Vanaf dat moment geven alle aanvragen die worden goedgekeurd toegang tot de twee SharePoint Online-sites en ook tot deze SaaS-toepassing.
Een groep beschikbaar maken voor self-service door gebruikers
Meld u aan bij de Azure Portal met een account waaraan de rol Globale beheerder of Groepsbeheerder voor de map is toegewezen.
Blader naar Azure Active Directory-groepen> en selecteer vervolgens Algemene instellingen.
Stel Eigenaren kunnen aanvragen voor groepslidmaatschap in het toegangsvenster beheren in op Ja.
Stel Mogelijkheid van gebruikers beperken om toegang te krijgen tot groepsfuncties in het toegangsvenster in op Nee.
Stel Gebruikers kunnen beveiligingsgroepen maken in Azure-portals, API of PowerShell in op Ja of Nee.
Zie de volgende sectie Groepsinstellingen voor meer informatie over deze instelling.
Stel Gebruikers kunnen Microsoft 365-groepen maken in Azure-portals, API of PowerShell in op Ja of Nee.
Zie de volgende sectie Groepsinstellingen voor meer informatie over deze instelling.
U kunt ook de optie Eigenaren die leden kunnen toewijzen als groepseigenaren in Azure Portal gebruiken om gedetailleerder toegangsbeheer te bereiken voor selfservice voor groepsbeheer voor uw gebruikers.
Als gebruikers groepen kunnen maken, kunnen alle gebruikers in uw organisatie nieuwe groepen maken en vervolgens, als standaardeigenaar, leden toevoegen aan deze groepen. U kunt geen personen opgeven die hun eigen groepen kunnen maken. U kunt personen alleen opgeven om een ander groepslid groepseigenaar te maken.
Notitie
Een Azure Active Directory Premium-licentie (P1 of P2) is voor gebruikers vereist om lid te worden van een beveiligingsgroep of Microsoft 365-groep en voor eigenaren om lidmaatschapsaanvragen goed te keuren of te weigeren. Zonder een Azure Active Directory Premium-licentie kunnen gebruikers nog steeds hun groepen beheren in het deelvenster Toegang tot MyApp-groepen, maar ze kunnen geen groep maken waarvoor goedkeuring van de eigenaar is vereist en ze kunnen geen aanvraag indienen om lid te worden van een groep.
Groepsinstellingen
Met de groepsinstellingen kunt u bepalen wie beveiligings- en Microsoft 365-groepen kan maken.
In de volgende tabel kunt u bepalen welke waarden u wilt kiezen.
| Instelling | Waarde | Effect op uw tenant |
|---|---|---|
| Gebruikers kunnen beveiligingsgroepen maken in Azure-portals, API of PowerShell | Yes | Alle gebruikers in uw Azure AD-organisatie mogen nieuwe beveiligingsgroepen maken en leden toevoegen aan deze groepen in Azure Portals, API of PowerShell. Deze nieuwe groepen zullen ook verschijnen in het Toegangsvenster voor alle andere gebruikers. Als de beleidsinstelling van de groep dit toestaat, kunnen andere gebruikers verzoeken maken om lid te worden van deze groepen. |
| No | Gebruikers kunnen geen beveiligingsgroepen maken en kunnen bestaande groepen waarvan ze een eigenaar zijn niet wijzigen. Ze kunnen echter nog steeds de lidmaatschappen van die groepen beheren en aanvragen van andere gebruikers om lid te worden van hun groep goedkeuren. | |
| Gebruikers kunnen Microsoft 365-groepen maken in Azure-portals, API of PowerShell | Yes | Alle gebruikers in uw Azure AD-organisatie mogen nieuwe Microsoft 365-groepen maken en leden toevoegen aan deze groepen in Azure Portals, API of PowerShell. Deze nieuwe groepen zullen ook verschijnen in het Toegangsvenster voor alle andere gebruikers. Als de beleidsinstelling van de groep dit toestaat, kunnen andere gebruikers verzoeken maken om lid te worden van deze groepen. |
| No | Gebruikers kunnen geen Microsoft 365-groepen maken en kunnen bestaande groepen waarvan ze een eigenaar zijn niet wijzigen. Ze kunnen echter nog steeds de lidmaatschappen van die groepen beheren en aanvragen van andere gebruikers om lid te worden van hun groep goedkeuren. |
Hier volgen enkele aanvullende gegevens over deze groepsinstellingen.
- Het kan tot vijftien minuten duren voordat deze instelling van kracht is.
- Als u sommige, maar niet alle gebruikers in staat wilt stellen om groepen te maken, kunt u aan deze gebruikers een rol toewijzen waarmee groepen kunnen worden gemaakt, zoals groepsbeheerder.
- Deze instellingen zijn bedoeld voor gebruikers en hebben geen invloed op service-principals. Als u bijvoorbeeld een service-principal hebt met machtigingen voor het maken van groepen, kan de service-principal nog steeds groepen maken als u deze instellingen instelt op Nee.
Volgende stappen
Deze artikelen bevatten aanvullende informatie over Azure Active Directory.
- Toegang tot resources beheren met Azure Active Directory-groepen
- Azure Active Directory cmdlets voor het configureren van groepsinstellingen
- Application Management in Azure Active Directory (Toepassingsbeheer in Azure Active Directory)
- Wat is Azure Active Directory?
- Uw on-premises identiteiten integreren met Azure Active Directory