Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID
Możesz umożliwić użytkownikom tworzenie własnych grup zabezpieczeń lub grup platformy Microsoft 365 i zarządzanie nimi w usłudze Microsoft Entra ID. Właściciel grupy może zatwierdzać lub odrzucać żądania członkostwa i delegować kontrolę nad członkostwem w grupie. Funkcje samoobsługowego zarządzania grupami nie są dostępne dla grup zabezpieczeń ani list dystrybucyjnych z obsługą poczty.
Członkostwo w grupie samoobsługi
Możesz zezwolić użytkownikom na tworzenie grup zabezpieczeń, które są używane do zarządzania dostępem do udostępnionych zasobów. Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portal przy użyciu programu PowerShell usługi Azure Active Directory (Azure AD) lub z Panel dostępu grup MyApps.
Ważne
Program Azure AD PowerShell ma zostać wycofany 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Program Microsoft Graph PowerShell umożliwia dostęp do wszystkich interfejsów API programu Microsoft Graph i jest dostępny w programie PowerShell 7. Aby uzyskać odpowiedzi na typowe zapytania dotyczące migracji, zobacz Często zadawane pytania dotyczące migracji.
Tylko właściciele grupy mogą aktualizować członkostwo, ale można zapewnić właścicielom grupy możliwość zatwierdzania lub odmowy żądań członkostwa z grupy MyApps Panel dostępu. Grupy zabezpieczeń utworzone przez samoobsługę za pośrednictwem grup MyApps Panel dostępu są dostępne do dołączenia dla wszystkich użytkowników, zarówno zatwierdzonych przez właściciela, jak i automatycznie zatwierdzonych. W Panel dostępu grup MyApps można zmienić opcje członkostwa podczas tworzenia grupy.
Grupy platformy Microsoft 365 zapewniają możliwości współpracy dla użytkowników. Grupy można tworzyć w dowolnych aplikacjach platformy Microsoft 365, takich jak SharePoint, Microsoft Teams i Planner. Grupy platformy Microsoft 365 można również tworzyć w witrynie Azure Portals przy użyciu programu Microsoft Graph PowerShell lub z Panel dostępu grup MyApps. Aby uzyskać więcej informacji na temat różnic między grupami zabezpieczeń i grupami platformy Microsoft 365, zobacz Dowiedz się więcej o grupach.
| Grupy utworzone w programie | Domyślne zachowanie grupy zabezpieczeń | Domyślne zachowanie grupy platformy Microsoft 365 |
|---|---|---|
| Microsoft Graph PowerShell | Tylko właściciele mogą dodawać członków. Widoczne, ale niedostępne do dołączenia w grupach MyApp Panel dostępu. |
Otwórz plik , aby dołączyć do wszystkich użytkowników. |
| Witryna Azure Portal | Tylko właściciele mogą dodawać członków. Widoczne, ale niedostępne do dołączenia do grup MyApps Panel dostępu. Właściciel nie jest przypisywany automatycznie podczas tworzenia grupy. |
Otwórz plik , aby dołączyć do wszystkich użytkowników. |
| Grupy MyApps Panel dostępu | Otwórz plik , aby dołączyć do wszystkich użytkowników. Opcje członkostwa można zmienić po utworzeniu grupy. |
Otwórz plik , aby dołączyć do wszystkich użytkowników. Opcje członkostwa można zmienić po utworzeniu grupy. |
Scenariusze samoobsługowego zarządzania grupami
Dwa scenariusze ułatwiają wyjaśnienie samoobsługowego zarządzania grupami.
Delegowane zarządzanie grupami
W tym przykładowym scenariuszu administrator zarządza dostępem do aplikacji SaaS (software as a service), z których korzysta firma. Zarządzanie prawami dostępu jest kłopotliwe, więc administrator prosi właściciela firmy o utworzenie nowej grupy. Administrator przypisuje dostęp aplikacji do nowej grupy i dodaje do grupy wszystkie osoby, które już uzyskują dostęp do aplikacji. Właściciel firmy może dodawać kolejnych użytkowników, dla których aplikacja jest automatycznie aprowizowana.
Właściciel firmy nie musi czekać na administratora w celu zarządzania dostępem dla użytkowników. Jeśli administrator udzieli tego samego uprawnienia menedżerowi w innej grupie biznesowej, ta osoba może również zarządzać dostępem dla własnych członków grupy. Właściciel firmy i menedżer nie mogą wyświetlać członkostwa w grupach ani zarządzać nimi. Administrator nadal może zobaczyć wszystkich użytkowników, którzy mają dostęp do aplikacji i w razie potrzeby zablokować prawa dostępu.
Samoobsługowe zarządzanie grupami
W tym przykładowym scenariuszu dwóch użytkowników ma witryny usługi SharePoint Online skonfigurowane niezależnie. Chcą dać sobie zespołom dostęp do swoich witryn. Aby wykonać to zadanie, mogą utworzyć jedną grupę w identyfikatorze Entra firmy Microsoft. W usłudze SharePoint Online każda z nich wybiera tę grupę, aby zapewnić dostęp do swoich witryn.
Gdy ktoś chce uzyskać dostęp, zażąda go z grupy MyApps Panel dostępu. Po zatwierdzeniu automatycznie uzyskują dostęp do obu witryn usługi SharePoint Online. Jeden z użytkowników może stwierdzić później, że wszystkie osoby mające dostęp do witryny powinny również mieć dostęp do określonej aplikacji SaaS. Administrator aplikacji SaaS może dodać do witryny programu SharePoint Online prawa dostępu dla aplikacji. Od tego czasu wszystkie żądania zatwierdzone zapewniają dostęp do dwóch witryn usługi SharePoint Online, a także aplikacji SaaS.
Włączanie samoobsługi użytkowników w grupie
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator grup.
Wybierz Microsoft Entra ID.
Wybierz pozycję Wszystkie grupy,> a następnie wybierz pozycję Ustawienia ogólne.
Uwaga
To ustawienie ogranicza tylko dostęp do informacji o grupie w obszarze Moje grupy. Nie ogranicza dostępu do informacji o grupie za pośrednictwem innych metod, takich jak wywołania interfejsu API programu Microsoft Graph lub centrum administracyjnego firmy Microsoft Entra.
Uwaga
W czerwcu 2024 r. ustawienie Ogranicz dostęp użytkowników do pozycji Moje grupy zmieni się na Ograniczanie użytkownikom możliwości wyświetlania i edytowania grup zabezpieczeń w obszarze Moje grupy. Jeśli ustawienie jest obecnie ustawione na Wartość Tak, użytkownicy będą mogli uzyskiwać dostęp do moich grup w czerwcu 2024 r., ale nie będą mogli zobaczyć grup zabezpieczeń.
Ustaw pozycję Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panel dostępu na Wartość Tak.
Ustaw pozycję Ogranicz możliwość dostępu użytkowników do funkcji grup w Panel dostępu na Nie.
Ustaw opcję Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynach Azure Portal, interfejsie API lub programie PowerShell na wartość Tak lub Nie.
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia grupy.
Ustaw pozycję Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynach Azure Portal, interfejsie API lub programie PowerShell na wartość Tak lub Nie.
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia grupy.
Możesz również użyć właścicieli, którzy mogą przypisywać członków jako właścicieli grup w witrynie Azure Portal , aby uzyskać bardziej szczegółową kontrolę dostępu nad samoobsługowym zarządzaniem grupami dla użytkowników.
Gdy użytkownicy mogą tworzyć grupy, wszyscy użytkownicy w organizacji mogą tworzyć nowe grupy. Jako domyślny właściciel może następnie dodawać członków do tych grup. Nie można określić osób, które mogą tworzyć własne grupy. Można określić tylko osoby do tworzenia innego członka grupy jako właściciela grupy.
Uwaga
Licencja microsoft Entra ID P1 lub P2 jest wymagana, aby użytkownicy prosili o dołączenie do grupy zabezpieczeń lub grupy platformy Microsoft 365 oraz do zatwierdzenia lub odmowy żądań członkostwa przez właścicieli. Bez licencji Microsoft Entra ID P1 lub P2 użytkownicy nadal mogą zarządzać swoimi grupami w grupach MyApp Panel dostępu. Nie mogą jednak utworzyć grupy wymagającej zatwierdzenia właściciela i nie mogą poprosić o dołączenie do grupy.
Ustawienia grupy
Ustawienia grupy umożliwiają kontrolowanie, kto może tworzyć grupy zabezpieczeń i grup platformy Microsoft 365.
Poniższa tabela ułatwia podjęcie decyzji o tym, które wartości należy wybrać.
| Ustawienie | Wartość | Wpływ na dzierżawę |
|---|---|---|
| Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portal, interfejsie API lub programie PowerShell. | Tak | Wszyscy użytkownicy w organizacji firmy Microsoft Entra mogą tworzyć nowe grupy zabezpieczeń i dodawać członków do tych grup w witrynie Azure Portal, interfejsie API lub programie PowerShell. Te nowe grupy są również wyświetlane w Panel dostępu dla wszystkich innych użytkowników. Jeśli ustawienie zasad grupy to umożliwia, inni użytkownicy mogą tworzyć żądania, aby dołączyć do tych grup. |
| Nie. | Użytkownicy nie mogą tworzyć grup zabezpieczeń. Nadal mogą zarządzać członkostwem grup, dla których są właścicielami i zatwierdzać żądania od innych użytkowników, aby dołączyć do swoich grup. | |
| Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynie Azure Portal, interfejsie API lub programie PowerShell. | Tak | Wszyscy użytkownicy w organizacji microsoft Entra mogą tworzyć nowe grupy platformy Microsoft 365 i dodawać członków do tych grup w witrynie Azure Portal, interfejsie API lub programie PowerShell. Te nowe grupy są również wyświetlane w Panel dostępu dla wszystkich innych użytkowników. Jeśli ustawienie zasad grupy to umożliwia, inni użytkownicy mogą tworzyć żądania, aby dołączyć do tych grup. |
| Nie. | Użytkownicy nie mogą tworzyć grup M365. Nadal mogą zarządzać członkostwem grup, dla których są właścicielami i zatwierdzać żądania od innych użytkowników, aby dołączyć do swoich grup. |
Poniżej przedstawiono więcej szczegółów dotyczących tych ustawień grupy:
- Zastosowanie tych ustawień może potrwać do 15 minut.
- Jeśli chcesz włączyć niektóre, ale nie wszystkie użytkowników do tworzenia grup, możesz przypisać tym użytkownikom rolę, która może tworzyć grupy, takie jak grupy Administracja istrator.
- Te ustawienia są przeznaczone dla użytkowników i nie mają wpływu na jednostki usługi. Jeśli na przykład masz jednostkę usługi z uprawnieniami do tworzenia grup, nawet jeśli te ustawienia zostały ustawione na Nie, jednostka usługi może nadal tworzyć grupy.
Konfigurowanie ustawień grupy przy użyciu programu Microsoft Graph
Aby skonfigurować ustawienia Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals, interfejsie API lub programie PowerShell przy użyciu programu Microsoft Graph, skonfiguruj EnableGroupCreation obiekt w groupSettings obiekcie. Aby uzyskać więcej informacji, zobacz Omówienie ustawień grupy.
Aby skonfigurować ustawienia Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals, interfejsie API lub programie PowerShell przy użyciu programu Microsoft Graph, zaktualizuj allowedToCreateSecurityGroups właściwość defaultUserRolePermissions w obiekcie authorizationPolicy .
Następne kroki
Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz:
- Zarządzanie dostępem do zasobów za pomocą grup firmy Microsoft Entra
- Polecenia cmdlet firmy Microsoft Entra służące do konfigurowania ustawień grupy
- Zarządzanie aplikacjami w usłudze Microsoft Entra ID
- Co to jest identyfikator Entra firmy Microsoft?
- Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft