Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID
Możesz umożliwić użytkownikom tworzenie własnych grup zabezpieczeń lub grup platformy Microsoft 365 i zarządzanie nimi w usłudze Microsoft Entra ID. Właściciel grupy może zatwierdzać lub odrzucać żądania członkostwa i delegować kontrolę nad członkostwem w grupie. Funkcje samoobsługowego zarządzania grupami nie są dostępne dla grup zabezpieczeń ani list dystrybucyjnych z obsługą poczty.
Członkostwo w grupie samoobsługi
Możesz zezwolić użytkownikom na tworzenie grup zabezpieczeń, które są używane do zarządzania dostępem do udostępnionych zasobów. Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portal przy użyciu programu PowerShell usługi Azure Active Directory (Azure AD) lub portalu Moje grupy.
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Tylko właściciele grupy mogą aktualizować członkostwo, ale można zapewnić właścicielom grupy możliwość zatwierdzania lub odmowy żądań członkostwa z portalu Moje grupy. Grupy zabezpieczeń utworzone przez samoobsługę za pośrednictwem portalu Moje grupy są dostępne do dołączenia dla wszystkich użytkowników, zarówno zatwierdzonych przez właściciela, jak i automatycznie zatwierdzonych. W portalu Moje grupy można zmienić opcje członkostwa podczas tworzenia grupy.
Grupy platformy Microsoft 365 zapewniają możliwości współpracy dla użytkowników. Grupy można tworzyć w dowolnych aplikacjach platformy Microsoft 365, takich jak SharePoint, Microsoft Teams i Planner. Możesz również tworzyć grupy platformy Microsoft 365 w witrynie Azure Portal przy użyciu programu Microsoft Graph PowerShell lub portalu Moje grupy. Aby uzyskać więcej informacji na temat różnic między grupami zabezpieczeń i grupami platformy Microsoft 365, zobacz Dowiedz się więcej o grupach.
Grupy utworzone w programie | Domyślne zachowanie grupy zabezpieczeń | Domyślne zachowanie grupy platformy Microsoft 365 |
---|---|---|
Microsoft Graph PowerShell | Tylko właściciele mogą dodawać członków. Widoczne, ale niedostępne do dołączenia w grupach MyApp Panel dostępu. |
Otwórz plik , aby dołączyć do wszystkich użytkowników. |
Witryna Azure Portal | Tylko właściciele mogą dodawać członków. Widoczne, ale niedostępne do dołączenia w portalu Moje grupy. Właściciel nie jest przypisywany automatycznie podczas tworzenia grupy. |
Otwórz plik , aby dołączyć do wszystkich użytkowników. |
Portal Moje grupy | Użytkownicy mogą zarządzać grupami i żądać dostępu do grup dołączania tutaj. Opcje członkostwa można zmienić po utworzeniu grupy. |
Otwórz plik , aby dołączyć do wszystkich użytkowników. Opcje członkostwa można zmienić po utworzeniu grupy. |
Scenariusze samoobsługowego zarządzania grupami
Dwa scenariusze ułatwiają wyjaśnienie samoobsługowego zarządzania grupami.
Delegowane zarządzanie grupami
W tym przykładowym scenariuszu administrator zarządza dostępem do aplikacji SaaS (software as a service), z których korzysta firma. Zarządzanie prawami dostępu jest kłopotliwe, więc administrator prosi właściciela firmy o utworzenie nowej grupy. Administrator przypisuje dostęp aplikacji do nowej grupy i dodaje do grupy wszystkie osoby, które już uzyskują dostęp do aplikacji. Właściciel firmy może dodawać kolejnych użytkowników, dla których aplikacja jest automatycznie aprowizowana.
Właściciel firmy nie musi czekać na administratora w celu zarządzania dostępem dla użytkowników. Jeśli administrator udzieli tego samego uprawnienia menedżerowi w innej grupie biznesowej, ta osoba może również zarządzać dostępem dla własnych członków grupy. Właściciel firmy i menedżer nie mogą wyświetlać członkostwa w grupach ani zarządzać nimi. Administrator nadal może zobaczyć wszystkich użytkowników, którzy mają dostęp do aplikacji i w razie potrzeby zablokować prawa dostępu.
Uwaga
W przypadku scenariuszy delegowanych administrator musi mieć co najmniej rolę Administrator ról uprzywilejowanych firmy Microsoft Entra .
Samoobsługowe zarządzanie grupami
W tym przykładowym scenariuszu dwóch użytkowników ma witryny usługi SharePoint Online skonfigurowane niezależnie. Chcą dać sobie zespołom dostęp do swoich witryn. Aby wykonać to zadanie, mogą utworzyć jedną grupę w identyfikatorze Entra firmy Microsoft. W usłudze SharePoint Online każda z nich wybiera tę grupę, aby zapewnić dostęp do swoich witryn.
Gdy ktoś chce uzyskać dostęp, zażąda go z portalu Moje grupy. Po zatwierdzeniu automatycznie uzyskują dostęp do obu witryn usługi SharePoint Online. Jeden z użytkowników może stwierdzić później, że wszystkie osoby mające dostęp do witryny powinny również mieć dostęp do określonej aplikacji SaaS. Administrator aplikacji SaaS może dodać do witryny programu SharePoint Online prawa dostępu dla aplikacji. Od tego czasu wszystkie żądania zatwierdzone zapewniają dostęp do dwóch witryn usługi SharePoint Online, a także aplikacji SaaS.
Włączanie samoobsługi użytkowników w grupie
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.
Wybierz Microsoft Entra ID.
Wybierz pozycję Wszystkie grupy,> a następnie wybierz pozycję Ustawienia ogólne.
Uwaga
To ustawienie ogranicza tylko dostęp do informacji o grupie w obszarze Moje grupy. Nie ogranicza dostępu do informacji o grupie za pośrednictwem innych metod, takich jak wywołania interfejsu API programu Microsoft Graph lub centrum administracyjnego firmy Microsoft Entra.
Uwaga
Zmiany dotyczące ustawienia samoobsługowego zarządzania grupami, początkowo zaplanowane na czerwiec 2024 r., są obecnie w trakcie przeglądu i nie będą wykonywane zgodnie z pierwotnym planem. Data wycofania zostanie ogłoszona w przyszłości.
Ustaw pozycję Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panel dostępu na Wartość Tak.
Ustaw pozycję Ogranicz możliwość dostępu użytkowników do funkcji grup w Panel dostępu na Nie.
Ustaw opcję Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynach Azure Portal, interfejsie API lub programie PowerShell na wartość Tak lub Nie.
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia grupy.
Ustaw pozycję Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynach Azure Portal, interfejsie API lub programie PowerShell na wartość Tak lub Nie.
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia grupy.
Możesz również użyć właścicieli, którzy mogą przypisywać członków jako właścicieli grup w witrynie Azure Portal , aby uzyskać bardziej szczegółową kontrolę dostępu nad samoobsługowym zarządzaniem grupami dla użytkowników.
Gdy użytkownicy mogą tworzyć grupy, wszyscy użytkownicy w organizacji mogą tworzyć nowe grupy. Jako domyślny właściciel może następnie dodawać członków do tych grup. Nie można określić osób, które mogą tworzyć własne grupy. Można określić tylko osoby do tworzenia innego członka grupy jako właściciela grupy.
Uwaga
Licencja microsoft Entra ID P1 lub P2 jest wymagana, aby użytkownicy prosili o dołączenie do grupy zabezpieczeń lub grupy platformy Microsoft 365 oraz do zatwierdzenia lub odmowy żądań członkostwa przez właścicieli. Bez licencji Microsoft Entra ID P1 lub P2 użytkownicy nadal mogą zarządzać swoimi grupami w grupach MyApp Panel dostępu. Nie mogą jednak utworzyć grupy wymagającej zatwierdzenia właściciela i nie mogą poprosić o dołączenie do grupy.
Ustawienia grupy
Ustawienia grupy umożliwiają kontrolowanie, kto może tworzyć grupy zabezpieczeń i grup platformy Microsoft 365.
Poniższa tabela ułatwia podjęcie decyzji o tym, które wartości należy wybrać.
Ustawienie | Wartość | Wpływ na dzierżawę |
---|---|---|
Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portal, interfejsie API lub programie PowerShell. | Tak | Wszyscy użytkownicy w organizacji firmy Microsoft Entra mogą tworzyć nowe grupy zabezpieczeń i dodawać członków do tych grup w witrynie Azure Portal, interfejsie API lub programie PowerShell. Te nowe grupy są również wyświetlane w Panel dostępu dla wszystkich innych użytkowników. Jeśli ustawienie zasad grupy to umożliwia, inni użytkownicy mogą tworzyć żądania, aby dołączyć do tych grup. |
Nie. | Użytkownicy nie mogą tworzyć grup zabezpieczeń. Nadal mogą zarządzać członkostwem grup, dla których są właścicielami i zatwierdzać żądania od innych użytkowników, aby dołączyć do swoich grup. | |
Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynie Azure Portal, interfejsie API lub programie PowerShell. | Tak | Wszyscy użytkownicy w organizacji microsoft Entra mogą tworzyć nowe grupy platformy Microsoft 365 i dodawać członków do tych grup w witrynie Azure Portal, interfejsie API lub programie PowerShell. Te nowe grupy są również wyświetlane w Panel dostępu dla wszystkich innych użytkowników. Jeśli ustawienie zasad grupy to umożliwia, inni użytkownicy mogą tworzyć żądania, aby dołączyć do tych grup. |
Nie. | Użytkownicy nie mogą tworzyć grup M365. Nadal mogą zarządzać członkostwem grup, dla których są właścicielami i zatwierdzać żądania od innych użytkowników, aby dołączyć do swoich grup. |
Poniżej przedstawiono więcej szczegółów dotyczących tych ustawień grupy:
- Zastosowanie tych ustawień może potrwać do 15 minut.
- Jeśli chcesz włączyć niektóre, ale nie wszystkie użytkowników do tworzenia grup, możesz przypisać tym użytkownikom rolę, która może tworzyć grupy, takie jak Administrator grup.
- Te ustawienia są przeznaczone dla użytkowników i nie mają wpływu na jednostki usługi. Jeśli na przykład masz jednostkę usługi z uprawnieniami do tworzenia grup, nawet jeśli te ustawienia zostały ustawione na Nie, jednostka usługi może nadal tworzyć grupy.
Konfigurowanie ustawień grupy przy użyciu programu Microsoft Graph
Aby skonfigurować ustawienia Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynie Azure Portals, interfejsie API lub programie PowerShell przy użyciu programu Microsoft Graph, skonfiguruj EnableGroupCreation
obiekt w groupSettings
obiekcie. Aby uzyskać więcej informacji, zobacz Omówienie ustawień grupy.
Aby skonfigurować ustawienia Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals, interfejsie API lub programie PowerShell przy użyciu programu Microsoft Graph, zaktualizuj allowedToCreateSecurityGroups
właściwość defaultUserRolePermissions
w obiekcie authorizationPolicy .
Następne kroki
Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz:
- Zarządzanie dostępem do zasobów za pomocą grup firmy Microsoft Entra
- Polecenia cmdlet firmy Microsoft Entra służące do konfigurowania ustawień grupy
- Zarządzanie aplikacjami w usłudze Microsoft Entra ID
- Co to jest identyfikator Entra firmy Microsoft?
- Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft