Configurar o gerenciamento de grupos de autoatendimento no Microsoft Entra ID | Microsoft Docs
Você pode habilitar os usuários a criar e gerenciar os próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar solicitações de associação e delegar o controle de associação de grupo. Os recursos de gerenciamento de grupos de autoatendimento não estão disponíveis para grupos de segurança habilitados para email ou listas de distribuição.
Associação de grupo de autoatendimento
Permita que os usuários criem grupos de segurança, que são usados para gerenciar o acesso a recursos compartilhados. Os usuários podem criar grupos de segurança no portal do Azure, usando o PowerShell do Azure Active Directory (Azure AD) ou o Painel de Acesso dos Grupos MyApps.
Importante
O Azure AD PowerShell deverá ser preterido em 30 de março de 2024. Para saber mais, leia a atualização de preterição. Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). O Microsoft Graph PowerShell permite acesso a todas as APIs do Microsoft Graph e está disponível no PowerShell 7. Para obter respostas a consultas comuns sobre migração, consulte as Perguntas frequentes sobre Migração.
Somente os proprietários do grupo podem atualizar a associação, mas você pode fornecer aos proprietários do grupo a capacidade de aprovar ou negar solicitações de associação no Painel de Acesso dos Grupos MyApps. Grupos de segurança criados por autoatendimento por meio do Painel de Acesso dos Grupos MyApps estão disponíveis para ingresso a todos os usuários, sejam eles aprovados pelo proprietário ou aprovados automaticamente. No Painel de Acesso dos Grupos MyApps, altere as opções de associação ao criar o grupo.
Os grupos do Microsoft 365 oferecem oportunidades de colaboração para seus usuários. Você pode criar grupos em qualquer um dos aplicativos do Microsoft 365, como SharePoint, Microsoft Teams e Planner. Você também pode criar grupos do Microsoft 365 nos portais do Azure usando o Microsoft Graph PowerShell ou no Painel de Acesso dos Grupos MyApps. Para obter mais informações sobre a diferença entre grupos de segurança e grupos do Microsoft 365, consulte Saiba mais sobre grupos.
| Grupos criados em | Comportamento padrão do grupo de segurança | Comportamento padrão do grupo do Microsoft 365 |
|---|---|---|
| PowerShell do Microsoft Graph | Apenas proprietários podem adicionar membros. Visível, mas não disponível para ingresso no Painel de Acesso dos Grupos MyApps. |
Abrir para ingresso a todos os usuários. |
| Portal do Azure | Apenas proprietários podem adicionar membros. Visível, mas não disponível para ingresso no Painel de Acesso dos Grupos MyApps Groups. O proprietário não é atribuído automaticamente na criação do grupo. |
Abrir para ingresso a todos os usuários. |
| Painel de Acesso dos Grupos MyApps | Abrir para ingresso a todos os usuários. As opções de associação podem ser alteradas quando o grupo é criado. |
Abrir para ingresso a todos os usuários. As opções de associação podem ser alteradas quando o grupo é criado. |
Cenários de gerenciamento de grupos de autoatendimento
Dois cenários ajudam a explicar o gerenciamento de grupos de autoatendimento.
Gerenciamento de grupo delegado
Neste cenário de exemplo, um administrador gerencia o acesso a um aplicativo de software como serviço (SaaS) que a empresa está usando. Gerenciar os direitos de acesso é complicado, por isso o administrador pede ao proprietário da empresa para criar um novo grupo. O administrador atribui ao novo grupo acesso ao aplicativo e adiciona ao grupo todas as pessoas que já têm acesso ao aplicativo. O proprietário da empresa pode então adicionar mais usuários, e os usuários são automaticamente provisionados para o aplicativo.
O proprietário da empresa não precisa esperar que o administrador gerencie o acesso para usuários. Se o administrador conceder a mesma permissão a um gerente de um grupo de negócios diferente, que a pessoa também poderá gerenciar o acesso para os membros do próprio grupo. O proprietário e o gerente da empresa não podem exibir nem gerenciar as associações de grupo um do outro. O administrador ainda pode ver todos os usuários que têm acesso ao aplicativo e direitos de acesso em bloco, se necessário.
Gerenciamento de grupo de autoatendimento
Neste exemplo de cenário, dois usuários que têm sites do SharePoint Online que eles configuram separadamente. Eles desejam fornecer às equipes um do outro acesso a seus sites. Para realizar essa tarefa, eles podem criar um grupo no Microsoft Entra ID. No SharePoint Online, cada um deles seleciona esse grupo para fornecer acesso aos seus sites.
Quando alguém deseja acesso, solicita-o no Painel de Acesso dos Grupos MyApps. Após a aprovação, a pessoa obtém acesso a ambos os sites do SharePoint Online automaticamente. Posteriormente, um deles decide que todas as pessoas que acessam o site também devem obter acesso a determinado aplicativo SaaS. O administrador do aplicativo SaaS pode adicionar direitos de acesso ao aplicativo para o site do SharePoint Online. Depois, as solicitações que forem aprovadas dão acesso aos dois sites do SharePoint Online e também ao aplicativo SaaS.
Disponibilização de um grupo para autoatendimento do usuário
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Selecione ID do Microsoft Entra.
Selecione Todos os grupos>Grupos e, em seguida, selecione as configurações Geral.
Observação
Essa configuração restringe apenas o acesso de informações de grupo em Meus Grupos. Ela não restringe o acesso a informações de grupo por meio de outros métodos, como chamadas à API do Microsoft Graph ou ao Centro de administração do Microsoft Entra.
Observação
Em junho de 2024, a configuração Restringir o acesso dos usuários aos Meus Grupos será alterada para Restringir a capacidade dos usuários de ver e editar grupos de segurança nos Meus Grupos. Se a configuração estiver definida como Sim, os usuários finais poderão acessar os Meus Grupos a partir de junho de 2024, mas não poderão ver grupos de segurança.
Defina Proprietários podem gerenciar solicitações de associação a um grupo no Painel de Acesso como Sim.
Certifique-se de que Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso está definido como Não.
Defina Os usuários podem criar grupos de segurança nos portais do Azure, API ou PowerShell como Sim ou Não.
Para obter mais informações sobre essa configuração, consulte Configurações de grupo.
Defina Os usuários podem criar grupos do Microsoft 365 nos portais do Azure, API ou PowerShell como Sim ou Não.
Para obter mais informações sobre essa configuração, consulte Configurações de grupo.
Você também pode usar Proprietários que podem atribuir membros como proprietários de grupo no portal do Azure para obter controle de acesso mais granular sobre o gerenciamento de grupos de autoatendimento para seus usuários.
Quando os usuários podem criar grupos, todos os usuários da sua organização têm permissão para criar novos grupos. Como o proprietário padrão, eles podem adicionar membros a esses grupos. Você não pode especificar indivíduos que podem criar os próprios grupos. Você pode especificar apenas indivíduos para tornar outro membro de grupo um proprietário de grupo.
Observação
Uma licença do Microsoft Entra ID P1 ou P2 é necessária para que os usuários solicitem ingressar em um grupo de segurança ou grupo do Microsoft 365 e para que os proprietários aprovem ou neguem solicitações de associação. Sem uma licença do Microsoft Entra ID P1 ou P2, os usuários ainda podem gerenciar seus grupos no Painel de Acesso dos Grupos MyApp. Mas eles não podem criar um grupo que exija aprovação do proprietário e não podem solicitar a participação em um grupo.
Configurações de grupo
As configurações de grupo permitem que você controle quem pode criar grupos de segurança e do Microsoft 365.
A tabela a seguir ajuda você a decidir quais valores escolher.
| Configuração | Valor | Efeito sobre seu locatário |
|---|---|---|
| Os usuários podem criar grupos de segurança no portal do Azure, na API ou no PowerShell. | Sim | Todos os usuários em sua organização do Microsoft Entra têm permissão para criar grupos de segurança e adicionar membros a esses grupos nos portais do Azure, API ou PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a configuração de política de grupo permitir isso, outros usuários poderão criar solicitações para ingressar nesses grupos. |
| Não | Os usuários não podem criar grupos de segurança. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos. | |
| Os usuários podem criar grupos do Microsoft 365 no portal do Azure, na API ou no PowerShell. | Sim | Todos os usuários em sua organização do Microsoft Entra terão permissão para criar grupos do Microsoft 365 e adicionar membros a esses grupos no portal do Azure, na API ou no PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a configuração de política de grupo permitir isso, outros usuários poderão criar solicitações para ingressar nesses grupos. |
| Não | Os usuários não podem criar grupos M365. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos. |
Aqui estão mais alguns detalhes sobre essas configurações de grupo:
- Essas configurações podem levar até 15 minutos para entrar em vigor.
- Se você quiser habilitar alguns de seus usuários, mas não todos, a criar grupos, você poderá atribuir a esses usuários uma função que pode criar grupos, como Administrador de Grupos.
- Essas configurações são para usuários e não impactam as entidades de serviço. Por exemplo, se você tiver uma entidade de serviço com permissões para criar grupos, mesmo se definir essas configurações como Não, a entidade de serviço ainda poderá criar grupos.
Definir configurações de grupo usando o Microsoft Graph
Para configurar Os usuários podem criar grupos de segurança nos portais do Azure, na API ou na configuração do PowerShell usando o Microsoft Graph, configure o objeto EnableGroupCreation no objeto groupSettings. Para obter mais informações, confira Visão geral das configurações do grupo.
Para definir a configuração Os usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell usando o Microsoft Graph, atualize a propriedade allowedToCreateSecurityGroups de defaultUserRolePermissions no objeto authorizationPolicy.
Próximas etapas
Para obter mais informações sobre o Microsoft Entra ID, consulte: