Gerenciar associações de grupo e grupos do Azure Active Directory
Os grupos do Azure AD (Active Directory) são usados para gerenciar todos os usuários que precisam do mesmo acesso e das mesmas permissões para recursos, como aplicativos e serviços potencialmente restritos. Em vez de adicionar permissões especiais para usuários individuais, crie um grupo que as aplica a todos os membros.
Este artigo aborda cenários básicos de grupo em que um único grupo é adicionado a um único recurso e os usuários são adicionados como membros desse grupo. Para cenários mais complexos, como associações dinâmicas e criação de regras, confira a Documentação de gerenciamento de usuários do Azure Active Directory.
Antes de adicionar grupos e membros, Saiba mais sobre grupos e tipos de associação para decidir quais opções usar ao criar um grupo.
Criar um grupo básico e adicionar membros
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
É possível criar um grupo básico e adicionar membros ao mesmo tempo usando o centro de administração do Microsoft Entra. As funções do Azure AD que podem gerenciar grupos incluem Administrador de grupos, Administrador de usuários, Administrador com função com privilégios ou Administrador global. Revise as funções apropriadas do Azure AD para gerenciar grupos
Para criar um grupo básico e adicionar membros:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione Novo grupo.
Selecione um Tipo de grupo. Para saber mais sobre tipos de grupo, confira o artigo Saiba mais sobre grupos e tipos de associação.
- Selecionar o tipo de grupo do Microsoft 365 habilita a opção Endereço de email do grupo.
Insira um Nome de grupo que seja fácil de lembrar e faça sentido para o grupo. Uma verificação será realizada para determinar se o nome já está em uso. Se já estiver, será solicitada a alteração do nome.
Endereço de email do grupo: disponível somente para tipos de grupo do Microsoft 365. Insira um endereço de email manualmente ou use o endereço de email criado com base no nome de grupo que você forneceu.
Descrição do grupo. Adicione uma descrição opcional para seu grupo.
Alterne a configuração As funções do Azure AD podem ser atribuídas ao grupo para sim a fim de usar o grupo e atribuir funções do Azure AD aos membros dele.
- Essa opção só está disponível com licenças P1 ou P2.
- É necessário ter a função de Administrador com função com privilégios ou Administrador global.
- A habilitação dessa opção seleciona automaticamente Atribuído como o tipo de associação.
- A capacidade de adicionar funções ao criar o grupo é incluída no processo.
- Saiba mais sobre grupos com funções atribuíveis.
Selecione um Tipo de associação. Para saber mais sobre os tipos de associação, confira o artigo Saiba mais sobre grupos e tipos de associação.
Opcionalmente, adicione Proprietários ou Membros. Membros e proprietários podem ser adicionados após a criação do grupo.
- Clique no link em Proprietários ou Membros para preencher uma lista com todos os usuários no diretório.
- Escolha usuários na lista e pressione o botão Selecionar na parte inferior da janela.
Selecione Criar. Seu grupo está criado e pronto para que você gerencie outras configurações.
Desativar o email de boas-vindas do grupo
Uma notificação de boas-vindas é enviada a todos os usuários quando eles são adicionados a um novo grupo do Microsoft 365, independentemente do tipo de associação. Quando um atributo de um usuário ou dispositivo é alterado, todas as regras de grupo dinâmico na organização são processadas para possíveis alterações de associação. Os usuários que são adicionados também recebem a notificação de boas-vindas. É possível desativar esse comportamento no PowerShell do Exchange.
Adicionar ou remover membros e proprietários
Membros e proprietários podem ser adicionados e removidos de grupos existentes. O processo é o mesmo para membros e proprietários. A função Administrador de grupos ou Administrador de usuários é necessária para adicionar e remover membros e proprietários.
É necessário adicionar diversos membros ao mesmo tempo? Saiba mais sobre a opção Adicionar membros em massa.
Adicionar membros ou proprietários de um grupo
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione o grupo que você precisa gerenciar.
Selecione Membros ou Proprietários.
Selecione + Adicionar (membros ou proprietários).
Percorra a lista ou digite um nome na caixa de pesquisa. É possível escolher diversos nomes ao mesmo tempo. Ao final, pressione o botão Selecionar.
A página Visão geral do grupo é atualizada para mostrar o número de membros que agora são adicionados ao grupo.
Remover membros ou proprietários de um grupo
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione o grupo que você precisa gerenciar.
Selecione Membros ou Proprietários.
Marque a caixa ao lado de um nome na lista e pressione o botão Remover.
Editar configurações do grupo
Você pode editar o nome, a descrição ou o tipo de associação de um grupo. A função Administrador de grupos ou Administrador de usuários é necessária para editar as configurações de um grupo.
Para editar as configurações de um grupo:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue atéIdentidade>Grupos>Todos os grupos.
Percorra a lista ou insira um nome de grupo na caixa de pesquisa. Selecione o grupo que você precisa gerenciar.
Selecione Propriedades no menu lateral.
Atualize as informações Configurações gerais conforme necessário, incluindo:
Nome do grupo. Edite o nome do grupo existente.
Descrição do grupo. Edite a descrição do grupo existente.
Tipo de grupo. Não será possível alterar o tipo de grupo após ter sido criado. Para alterar o Tipo de grupo, é necessário excluir o grupo e criar um novo.
Tipo de associação. Altere o tipo de associação. Se a opção As funções do Azure AD podem ser atribuídas ao grupo estiver habilitada, não será possível alterar o tipo de associação. Para saber mais sobre os tipos de associação disponíveis, confira o artigo Saiba mais sobre grupos e tipos de associação.
ID do objeto. Não é possível alterar a ID do objeto, mas é possível copiá-la para usar nos comandos do PowerShell para o grupo. Para obter mais informações sobre o uso de cmdlets do PowerShell, consulte Cmdlets do Azure Active Directory para definir configurações de grupo.
Adicionar ou remover um grupo de outro grupo
É possível adicionar um grupo de segurança existente a outro (também conhecido como grupos aninhados). Dependendo dos tipos de grupos, você pode adicionar um grupo como membro de outro grupo, assim como um usuário, que aplica configurações como funções e acesso aos grupos aninhados. A função Administrador de grupos ou Administrador de usuários é necessária para editar a associação ao grupo.
No momento, não há suporte ao seguinte:
- Adição de grupos a um grupo sincronizado com o Active Directory local.
- Adição de grupos de segurança a grupos do Microsoft 365.
- Adição de grupos do Microsoft 365 a grupos de segurança ou a outros grupos do Microsoft 365.
- Atribuição de aplicativos a grupos aninhados.
- Aplicação de licenças a grupos aninhados.
- Adição de grupos de distribuição em cenários de aninhamento.
- Adicionar grupos de segurança como membros de grupos de segurança habilitados para email.
- Adicionar grupos como membros de um grupo atribuível a função.
Adicionar um grupo a outro grupo
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue atéIdentidade>Grupos>Todos os grupos.
Na página Todos os grupos, pesquise e selecione o grupo que será o membro de outro grupo.
Observação
Só é possível adicionar o grupo como membro de um outro grupo por vez. Não há suporte para caracteres curinga na caixa de pesquisa Selecionar grupo.
Na página Visão geral do grupo, selecione Associações de grupo no menu lateral.
Selecione + Adicionar associações.
Localize o grupo que receberá seu grupo como membro e clique em Selecionar.
Neste exercício, estamos adicionando "Política de MDM – Oeste" ao grupo "Política de MDM – Todas as organizações". O grupo "Política de MDM – Oeste" terá o mesmo acesso que o grupo "Política de MDM – Todas as organizações".
Agora é possível analisar a página "Política de MDM ─ Oeste ─ Associações de grupo" para ver a relação de grupo e membro.
Para obter mais detalhes sobre a relação entre grupo e membro, selecione o nome do grupo pai (Política de MDM ─ Toda a organização) e veja as informações na página "Política de MDM ─ Oeste".
Remover um grupo de outro grupo
É possível remover um grupo de segurança existente de outro. No entanto, a remoção do grupo também remove acessos herdados dos membros.
Na página Todos os grupos, pesquise e selecione o grupo que será removido da posição de membro de outro grupo.
Na página Visão geral do grupo, selecione Associações de grupo.
Selecione o grupo pai na página Associações de grupo.
Selecione Remover.
Neste exercício, agora é o momento de remover "Política de MDM ─ Oeste" do grupo "Política de MDM ─ Todas as organizações".
Excluir um grupo
Você pode excluir um grupo por vários motivos, mas normalmente será porque você:
- Você escolheu a opção Tipo de grupo incorreta.
- Você criou um grupo duplicado por engano.
- não precisa mais do grupo.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Navegue atéIdentidade>Grupos>Todos os grupos.
Pesquise e selecione o grupo que você deseja excluir.
Selecione Excluir.
Próximas etapas
- Saiba mais sobre grupos e como atribuir direitos de acesso a grupos
- Gerenciar grupos usando comandos do PowerShell
- Gerenciar regras dinâmicas para usuários em um grupo
- Cenários, limitações e problemas conhecidos usando grupos para gerenciar o licenciamento no Azure Active Directory
- Associar ou adicionar uma assinatura do Azure ao Azure Active Directory