Gerenciar associações de grupo e grupos do Azure Active Directory
Os grupos do Azure AD (Active Directory) são usados para gerenciar todos os usuários que precisam do mesmo acesso e das mesmas permissões para recursos, como aplicativos e serviços potencialmente restritos. Em vez de adicionar permissões especiais para usuários individuais, crie um grupo que as aplica a todos os membros.
Este artigo aborda cenários básicos de grupo em que um único grupo é adicionado a um único recurso e os usuários são adicionados como membros desse grupo. Para cenários mais complexos, como associações dinâmicas e criação de regras, confira a Documentação de gerenciamento de usuários do Azure Active Directory.
Antes de adicionar grupos e membros, Saiba mais sobre grupos e tipos de associação para decidir quais opções usar ao criar um grupo.
Criar um grupo básico e adicionar membros
É possível criar um grupo básico e adicionar membros ao mesmo tempo usando o portal do Azure AD (Active Directory). As funções do Azure AD que podem gerenciar grupos incluem Administrador de grupos, Administrador de usuários, Administrador com função com privilégios ou Administrador global. Revise as funções apropriadas do Azure AD para gerenciar grupos
Para criar um grupo básico e adicionar membros:
Entre no portal do Azure.
Acesse Azure Active Directory>Grupos>Novo grupo.
Selecione um Tipo de grupo. Para saber mais sobre tipos de grupo, confira o artigo Saiba mais sobre grupos e tipos de associação.
- Selecionar o tipo de grupo do Microsoft 365 habilita a opção Endereço de email do grupo.
Insira um Nome de grupo que seja fácil de lembrar e faça sentido para o grupo. Uma verificação será realizada para determinar se o nome já está em uso. Se já estiver, será solicitada a alteração do nome.
Endereço de email do grupo: disponível somente para tipos de grupo do Microsoft 365. Insira um endereço de email manualmente ou use o endereço de email criado com base no nome de grupo que você forneceu.
Descrição do grupo. Adicione uma descrição opcional para seu grupo.
Alterne a configuração As funções do Azure AD podem ser atribuídas ao grupo para sim a fim de usar o grupo e atribuir funções do Azure AD aos membros dele.
- Essa opção só está disponível com licenças Premium P1 ou P2.
- É necessário ter a função de Administrador com função com privilégios ou Administrador global.
- A habilitação dessa opção seleciona automaticamente Atribuído como o tipo de associação.
- A capacidade de adicionar funções ao criar o grupo é incluída no processo.
- Saiba mais sobre grupos com funções atribuíveis.
Selecione um Tipo de associação. Para saber mais sobre os tipos de associação, confira o artigo Saiba mais sobre grupos e tipos de associação.
Opcionalmente, adicione Proprietários ou Membros. Membros e proprietários podem ser adicionados após a criação do grupo.
- Clique no link em Proprietários ou Membros para preencher uma lista com todos os usuários no diretório.
- Escolha usuários na lista e pressione o botão Selecionar na parte inferior da janela.
Selecione Criar. Seu grupo está criado e pronto para que você gerencie outras configurações.
Desativar o email de boas-vindas do grupo
Uma notificação de boas-vindas é enviada a todos os usuários quando eles são adicionados a um novo grupo do Microsoft 365, independentemente do tipo de associação. Quando um atributo de um usuário ou dispositivo é alterado, todas as regras de grupo dinâmico na organização são processadas para possíveis alterações de associação. Os usuários que são adicionados também recebem a notificação de boas-vindas. É possível desativar esse comportamento no PowerShell do Exchange.
Adicionar ou remover membros e proprietários
Membros e proprietários podem ser adicionados e removidos de grupos existentes do Azure AD. O processo é o mesmo para membros e proprietários. A função Administrador de grupos ou Administrador de usuários é necessária para adicionar e remover membros e proprietários.
É necessário adicionar diversos membros ao mesmo tempo? Saiba mais sobre a opção Adicionar membros em massa.
Adicionar membros ou proprietários de um grupo:
Entre no portal do Azure.
Acesse Azure Active Directory>Grupos.
Selecione o grupo que você precisa gerenciar.
Selecione Membros ou Proprietários.
Selecione + Adicionar (membros ou proprietários).
Percorra a lista ou digite um nome na caixa de pesquisa. É possível escolher diversos nomes ao mesmo tempo. Ao final, pressione o botão Selecionar.
A página Visão geral do grupo é atualizada para mostrar o número de membros que agora são adicionados ao grupo.
Remover membros ou proprietários de um grupo:
Acesse Azure Active Directory>Grupos.
Selecione o grupo que você precisa gerenciar.
Selecione Membros ou Proprietários.
Marque a caixa ao lado de um nome na lista e pressione o botão Remover.
Editar configurações do grupo
Usando o Azure AD, é possível editar o nome, a descrição ou o tipo de associação de um grupo. A função Administrador de grupos ou Administrador de usuários é necessária para editar as configurações de um grupo.
Para editar as configurações de um grupo:
Entre no portal do Azure.
Acesse Azure Active Directory>Grupos. A página Grupos - Todos os grupos é exibida, mostrando todos os grupos ativos.
Percorra a lista ou insira um nome de grupo na caixa de pesquisa. Selecione o grupo que você precisa gerenciar.
Selecione Propriedades no menu lateral.
Atualize as informações Configurações gerais conforme necessário, incluindo:
Nome do grupo. Edite o nome do grupo existente.
Descrição do grupo. Edite a descrição do grupo existente.
Tipo de grupo. Não será possível alterar o tipo de grupo após ter sido criado. Para alterar o Tipo de grupo, é necessário excluir o grupo e criar um novo.
Tipo de associação. Altere o tipo de associação. Se a opção As funções do Azure AD podem ser atribuídas ao grupo estiver habilitada, não será possível alterar o tipo de associação. Para saber mais sobre os tipos de associação disponíveis, confira o artigo Saiba mais sobre grupos e tipos de associação.
ID do objeto. Não é possível alterar a ID do objeto, mas é possível copiá-la para usar nos comandos do PowerShell para o grupo. Para obter mais informações sobre o uso de cmdlets do PowerShell, consulte Cmdlets do Azure Active Directory para definir configurações de grupo.
Adicionar ou remover um grupo de outro grupo
É possível adicionar um grupo de segurança existente a outro (também conhecido como grupos aninhados). Dependendo dos tipos de grupos, você pode adicionar um grupo como membro de outro grupo, assim como um usuário, que aplica configurações como funções e acesso aos grupos aninhados. A função Administrador de grupos ou Administrador de usuários é necessária para editar a associação ao grupo.
No momento, não há suporte ao seguinte:
- Adição de grupos a um grupo sincronizado com o Active Directory local.
- Adição de grupos de segurança a grupos do Microsoft 365.
- Adição de grupos do Microsoft 365 a grupos de segurança ou a outros grupos do Microsoft 365.
- Atribuição de aplicativos a grupos aninhados.
- Aplicação de licenças a grupos aninhados.
- Adição de grupos de distribuição em cenários de aninhamento.
- Adicionar grupos de segurança como membros de grupos de segurança habilitados para email.
- Adicionar grupos como membros de um grupo atribuível a função.
Adicionar um grupo a outro grupo
Entre no portal do Azure.
Acesse Azure Active Directory>Grupos.
Na página Grupos ─ Todos os grupos, pesquise e selecione o grupo que será o membro de outro grupo.
Observação
Só é possível adicionar o grupo como membro de um outro grupo por vez. Não há suporte para caracteres curinga na caixa de pesquisa Selecionar grupo.
Na página Visão geral do grupo, selecione Associações de grupo no menu lateral.
Selecione + Adicionar associações.
Localize o grupo que receberá seu grupo como membro e clique em Selecionar.
Neste exercício, estamos adicionando "Política de MDM – Oeste" ao grupo "Política de MDM – Todas as organizações". O grupo "Política de MDM – Oeste" terá o mesmo acesso que o grupo "Política de MDM – Todas as organizações".
Agora é possível analisar a página "Política de MDM ─ Oeste ─ Associações de grupo" para ver a relação de grupo e membro.
Para obter mais detalhes sobre a relação entre grupo e membro, selecione o nome do grupo pai (Política de MDM ─ Toda a organização) e veja as informações na página "Política de MDM ─ Oeste".
Remover um grupo de outro grupo
É possível remover um grupo de segurança existente de outro. No entanto, a remoção do grupo também remove acessos herdados dos membros.
Na página Grupos ─ Todos os grupos, pesquise e selecione o grupo que será removido da posição de membro de outro grupo.
Na página Visão geral do grupo, selecione Associações de grupo.
Selecione o grupo pai na página Associações de grupo.
Selecione Remover.
Neste exercício, agora é o momento de remover "Política de MDM ─ Oeste" do grupo "Política de MDM ─ Todas as organizações".
Excluir um grupo
É possível excluir um grupo do Azure AD por muitos motivos, mas os mais comuns são os seguintes:
Você escolheu a opção Tipo de grupo incorreta.
Você criou um grupo duplicado por engano.
não precisa mais do grupo.
Para excluir um grupo, você precisará ter função Administrador de grupos ou Administrador de usuários.
Entre no portal do Azure.
Acesse Azure Active Directory>Grupos.
Pesquise e selecione o grupo que você deseja excluir.
Selecione Excluir.
O grupo é excluído do seu locatário do Azure Active Directory.