Zarządzanie grupami i członkostwem w grupach usługi Azure Active Directory

Grupy usługi Azure Active Directory (Azure AD) służą do zarządzania użytkownikami, którzy potrzebują tego samego dostępu i uprawnień do zasobów, takich jak potencjalnie ograniczone aplikacje i usługi. Zamiast dodawać specjalne uprawnienia do poszczególnych użytkowników, należy utworzyć grupę, która stosuje specjalne uprawnienia do każdego członka tej grupy.

W tym artykule opisano podstawowe scenariusze grup, w których pojedyncza grupa jest dodawana do pojedynczego zasobu, a użytkownicy są dodawani jako członkowie do tej grupy. Aby uzyskać bardziej złożone scenariusze, takie jak dynamiczne członkostwo i tworzenie reguł, zobacz dokumentację zarządzania użytkownikami usługi Azure Active Directory.

Przed dodaniem grup i członków dowiedz się więcej o grupach i typach członkostwa , które pomogą Ci zdecydować, które opcje mają być używane podczas tworzenia grupy.

Tworzenie grupy podstawowej i dodawanie członków

Możesz utworzyć grupę podstawową i dodać członków w tym samym czasie przy użyciu portalu usługi Azure Active Directory (Azure AD). Azure AD role, które mogą zarządzać grupami, to administrator grup, administrator użytkowników, administrator ról uprzywilejowanych lub administrator globalny. Zapoznaj się z odpowiednimi rolami Azure AD do zarządzania grupami

Aby utworzyć grupę podstawową i dodać członków:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycjiGrupy>usługi Azure Active Directory>Nowa grupa.

    Zrzut ekranu przedstawiający stronę

  3. Wybierz typ grupy. Aby uzyskać więcej informacji na temat typów grup, zobacz artykuł Learn about groups and membership types (Dowiedz się więcej o grupach i typach członkostwa ).

    • Wybranie typu grupy platformy Microsoft 365 powoduje włączenie opcji Grupuj adres e-mail .
  4. Wprowadź nazwę grupy. Wybierz nazwę, którą zapamiętasz i która ma sens dla grupy. Zostanie wykonana kontrola w celu określenia, czy nazwa jest już używana. Jeśli nazwa jest już używana, zostanie wyświetlona prośba o zmianę nazwy grupy.

  5. Adres e-mail grupy: dostępny tylko dla typów grup platformy Microsoft 365. Wprowadź adres e-mail ręcznie lub użyj adresu e-mail utworzonego na podstawie podanej nazwy grupy.

  6. Opis grupy. Do grupy możesz dodać opcjonalny opis.

  7. Przełącz role Azure AD można przypisać do ustawienia grupy tak, aby użyć tej grupy do przypisania ról Azure AD do członków.

    • Ta opcja jest dostępna tylko w przypadku licencji Premium P1 lub P2.
    • Musisz mieć rolę administratora ról uprzywilejowanych lub administratora globalnego .
    • Włączenie tej opcji powoduje automatyczne wybranie pozycji Przypisane jako typ członkostwa.
    • Możliwość dodawania ról podczas tworzenia grupy jest dodawana do procesu.
    • Dowiedz się więcej o grupach z możliwością przypisywania ról.
  8. Wybierz typ członkostwa. Aby uzyskać więcej informacji na temat typów członkostwa, zobacz artykuł Learn about groups and membership types (Informacje o grupach i typach członkostwa ).

  9. Opcjonalnie dodaj właścicieli lub członków. Członkowie i właściciele mogą być dodawani po utworzeniu grupy.

    1. Wybierz link w obszarze Właściciele lub Członkowie , aby wypełnić listę każdego użytkownika w katalogu.
    2. Wybierz użytkowników z listy, a następnie wybierz przycisk Wybierz w dolnej części okna.

    Zrzut ekranu przedstawiający wybieranie członków grupy podczas procesu tworzenia grupy.

  10. Wybierz przycisk Utwórz. Grupa jest tworzona i gotowa do zarządzania innymi ustawieniami.

Wyłączanie powitalnej wiadomości e-mail grupy

Powiadomienie powitalne jest wysyłane do wszystkich użytkowników po dodaniu ich do nowej grupy platformy Microsoft 365 niezależnie od typu członkostwa. Po zmianie atrybutu użytkownika lub urządzenia wszystkie reguły grupy dynamicznej w organizacji są przetwarzane pod kątem potencjalnych zmian członkostwa. Użytkownicy, którzy są dodawani, otrzymają również powiadomienie powitalne. To zachowanie można wyłączyć w programie Exchange PowerShell.

Dodawanie lub usuwanie członków i właścicieli

Członkowie i właściciele można dodawać i usuwać z istniejących grup Azure AD. Proces jest taki sam dla członków i właścicieli. Aby dodawać i usuwać członków i właścicieli, musisz mieć rolę Administrator grup lub Administrator użytkowników .

Chcesz dodać wielu członków jednocześnie? Dowiedz się więcej o opcji zbiorczej dodawania elementów członkowskich .

Dodaj członków lub właścicieli grupy:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Grupy usługi Azure Active Directory>.

  3. Wybierz grupę, którą chcesz zarządzać.

  4. Wybierz pozycję Członkowie lub Właściciele.

    Zrzut ekranu przedstawiający stronę

  5. Wybierz pozycję + Dodaj (członkowie lub właściciele).

  6. Przewiń listę lub wprowadź nazwę w polu wyszukiwania. Jednocześnie można wybrać wiele nazw. Gdy wszystko będzie gotowe, wybierz przycisk Wybierz .

    Strona Przegląd grupy zostanie zaktualizowana i będzie wyświetlać liczbę członków dodanych teraz do grupy.

Usuń członków lub właścicieli grupy:

  1. Przejdź do pozycji Grupy usługi Azure Active Directory>.

  2. Wybierz grupę, którą chcesz zarządzać.

  3. Wybierz pozycję Członkowie lub Właściciele.

  4. Zaznacz pole wyboru obok nazwy z listy i wybierz przycisk Usuń .

    Zrzut ekranu przedstawiający członków grupy z wybraną nazwą i wyróżnionym przyciskiem Usuń.

Edytowanie ustawień grupy

Za pomocą Azure AD można edytować nazwę, opis lub typ członkostwa grupy. Aby edytować ustawienia grupy, musisz mieć rolę Administrator grup lub Administrator użytkowników .

Aby edytować ustawienia grupy:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Grupy usługi Azure Active Directory>. Zostanie wyświetlona strona Grupy — wszystkie grupy z wyświetlonymi wszystkimi aktywnymi grupami.

  3. Przewiń listę lub wprowadź nazwę grupy w polu wyszukiwania. Wybierz grupę, którą chcesz zarządzać.

  4. Wybierz pozycję Właściwości z menu bocznego.

    Zrzut ekranu przedstawiający stronę

  5. Zaktualizuj informacje ogólne o ustawieniach zgodnie z potrzebami, w tym:

    • Nazwa grupy. Edytuj istniejącą nazwę grupy.

    • Opis grupy. Edytuj istniejący opis grupy.

    • Typ grupy. Nie można zmienić typu grupy po jej utworzeniu. Aby zmienić typ grupy, należy usunąć grupę i utworzyć nową.

    • Typ członkostwa. Zmień typ członkostwa. Jeśli włączono role Azure AD można przypisać do opcji grupy, nie można zmienić typu członkostwa. Aby uzyskać więcej informacji na temat dostępnych typów członkostwa, zobacz artykuł Learn about groups and membership types (Informacje o grupach i typach członkostwa ).

    • Identyfikator obiektu. Nie można zmienić identyfikatora obiektu, ale możesz skopiować go do użycia w poleceniach programu PowerShell dla grupy. Aby uzyskać więcej informacji na temat używania poleceń cmdlet programu PowerShell, zobacz Polecenia cmdlet usługi Azure Active Directory służące do konfigurowania ustawień grupy.

Dodawanie lub usuwanie grupy z innej grupy

Istniejącą grupę zabezpieczeń można dodać do innej grupy zabezpieczeń (znanej również jako grupy zagnieżdżone), tworząc grupę składową (podgrupę) i grupę nadrzędną. Grupa elementów członkowskich dziedziczy atrybuty i właściwości grupy nadrzędnej, co pozwala zaoszczędzić czas konfiguracji. Aby edytować członkostwo w grupie, musisz mieć rolę Administrator grup lub Administrator użytkowników .

Obecnie nie obsługujemy:

  • Dodawanie grup do grupy zsynchronizowanej z lokalna usługa Active Directory.
  • Dodawanie grup zabezpieczeń do grup platformy Microsoft 365.
  • Dodawanie grup platformy Microsoft 365 do grup zabezpieczeń lub innych grup platformy Microsoft 365.
  • Przypisywanie aplikacji do grup zagnieżdżonych.
  • Stosowanie licencji do grup zagnieżdżonych.
  • Dodawanie grup dystrybucyjnych w scenariuszach zagnieżdżania.
  • Dodawanie grup zabezpieczeń jako członków grup zabezpieczeń z włączoną obsługą poczty.
  • Dodawanie grup jako członków grupy z możliwością przypisania ról.

Dodawanie grupy do innej grupy

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Grupy usługi Azure Active Directory>.

  3. Na stronie Grupy — wszystkie grupy wyszukaj i wybierz grupę, do której chcesz zostać członkiem innej grupy.

    Uwaga

    Grupę można dodać tylko jako członka do jednej innej grupy jednocześnie. Symbole wieloznaczne nie są obsługiwane w polu wyszukiwania Wybierz grupę .

  4. Na stronie Przegląd grupy wybierz pozycję Członkostwa w grupach z menu bocznego.

  5. Wybierz pozycję + Dodaj członkostwa.

  6. Znajdź grupę, do której chcesz należeć, i wybierz pozycję Wybierz.

    W tym ćwiczeniu dodajemy "Zasady MDM — Zachód" do grupy "Zasady ZARZĄDZANIA urządzeniami przenośnymi — wszystkie organizacji", więc "MDM — zasady — Zachód" dziedziczy wszystkie właściwości i konfiguracje grupy "Zasady ZARZĄDZANIA urządzeniami przenośnymi — wszystkie organizacji".

    Zrzut ekranu przedstawiający tworzenie grupy członka innej grupy z wyróżnioną opcją

Teraz możesz przejrzeć stronę "Zasady zarządzania urządzeniami przenośnymi — Zachodnie — członkostwa w grupach", aby wyświetlić relację grupy i członka.

Aby uzyskać bardziej szczegółowy widok relacji grupy i członka, wybierz nazwę grupy nadrzędnej (zasady ZARZĄDZANIA urządzeniami przenośnymi — cała organizacja) i zapoznaj się ze szczegółami strony "Zasady zarządzania urządzeniami przenośnymi — Zachód".

Usuwanie grupy z innej grupy

Istniejącą grupę zabezpieczeń można usunąć z innej grupy zabezpieczeń; jednak usunięcie grupy spowoduje również usunięcie wszystkich odziedziczonych atrybutów i właściwości dla jej elementów członkowskich.

  1. Na stronie Grupy — wszystkie grupy wyszukaj i wybierz grupę, którą chcesz usunąć jako członek innej grupy.

  2. Na stronie Przegląd grupy wybierz pozycję Członkostwa w grupach.

  3. Wybierz grupę nadrzędną na stronie Członkostwa w grupach .

  4. Wybierz pozycję Usuń.

    W tym ćwiczeniu usuniemy teraz grupę "Zasady zarządzania urządzeniami przenośnymi — Zachód" z grupy "Zasady zarządzania urządzeniami przenośnymi — wszystkie organizacji".

    Zrzut ekranu strony

Usuwanie grupy

Grupę Azure AD można usunąć z dowolnej liczby powodów, ale zazwyczaj jest to spowodowane tym, że:

  • Wybierz niepoprawną opcję Typ grupy .

  • Utworzono zduplikowaną grupę według błędu.

  • Grupa nie jest już potrzebna.

Aby usunąć grupę, musisz mieć rolę Administrator grup lub Administrator użytkowników .

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Grupy usługi Azure Active Directory>.

  3. Wyszukaj i wybierz grupę, którą chcesz usunąć.

  4. Wybierz pozycję Usuń.

    Grupa zostanie usunięta z dzierżawy usługi Azure Active Directory.

Następne kroki