Configurar o gerenciamento de grupo de autoatendimento no Microsoft Entra ID
Você pode permitir que os usuários criem e gerenciem seus próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar solicitações de associação e delegar o controle da associação ao grupo. Os recursos de gerenciamento de grupo de autoatendimento não estão disponíveis para grupos de segurança habilitados para email ou listas de distribuição.
Associação a grupos de autoatendimento
Você pode permitir que os usuários criem grupos de segurança, que são usados para gerenciar o acesso a recursos compartilhados. Os usuários podem criar grupos de segurança no portal do Azure usando o PowerShell do Azure Ative Directory (Azure AD) ou no Painel de Acesso de Grupos MyApps.
Importante
O Azure AD PowerShell está planejado para substituição em 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). O Microsoft Graph PowerShell permite acesso a todas as APIs do Microsoft Graph e está disponível no PowerShell 7. Para obter respostas a consultas comuns de migração, consulte as Perguntas frequentes sobre migração.
Somente os proprietários do grupo podem atualizar a associação, mas você pode fornecer aos proprietários do grupo a capacidade de aprovar ou negar solicitações de associação no Painel de Acesso de Grupos de MyApps. Os grupos de segurança criados por autoatendimento por meio do Painel de Acesso de Grupos MyApps estão disponíveis para ingresso para todos os usuários, sejam eles aprovados pelo proprietário ou automaticamente. No Painel de Acesso de Grupos de MyApps, você pode alterar as opções de associação ao criar o grupo.
Os grupos do Microsoft 365 oferecem oportunidades de colaboração para seus usuários. Você pode criar grupos em qualquer um dos aplicativos do Microsoft 365, como SharePoint, Microsoft Teams e Planner. Você também pode criar grupos do Microsoft 365 em portais do Azure usando o Microsoft Graph PowerShell ou no Painel de Acesso de Grupos MyApps. Para obter mais informações sobre a diferença entre grupos de segurança e grupos do Microsoft 365, consulte Saiba mais sobre grupos.
| Grupos criados em | Comportamento padrão do grupo de segurança | Comportamento padrão do grupo Microsoft 365 |
|---|---|---|
| Microsoft Graph PowerShell | Apenas os proprietários podem adicionar membros. Visível, mas não disponível para participar no Painel de Acesso de Grupos MyApp. |
Aberto para participar para todos os usuários. |
| Portal do Azure | Apenas os proprietários podem adicionar membros. Visível, mas não disponível para participar no Painel de Acesso de Grupos MyApps. O proprietário não é atribuído automaticamente na criação do grupo. |
Aberto para participar para todos os usuários. |
| Painel de Acesso de Grupos MyApps | Aberto para participar para todos os usuários. As opções de associação podem ser alteradas quando o grupo é criado. |
Aberto para participar para todos os usuários. As opções de associação podem ser alteradas quando o grupo é criado. |
Cenários de gerenciamento de grupo de autoatendimento
Dois cenários ajudam a explicar o gerenciamento de grupo de autoatendimento.
Gestão delegada de grupos
Neste cenário de exemplo, um administrador gerencia o acesso a um aplicativo SaaS (software como serviço) que a empresa está usando. Gerenciar os direitos de acesso é complicado, então o administrador pede ao proprietário da empresa para criar um novo grupo. O administrador atribui acesso para o aplicativo ao novo grupo e adiciona ao grupo todas as pessoas que já acessam o aplicativo. O proprietário da empresa pode então adicionar mais utilizadores e estes são aprovisionados automaticamente para a aplicação.
O proprietário da empresa não tem de aguardar que o administrador faça a gestão do acesso dos utilizadores. Se o administrador conceder a mesma permissão a um gerente em um grupo de negócios diferente, essa pessoa também poderá gerenciar o acesso para seus próprios membros do grupo. O proprietário da empresa e o gerente não podem visualizar ou gerenciar as associações de grupo um do outro. O administrador ainda pode ver todos os usuários que têm acesso ao aplicativo e bloquear direitos de acesso, se necessário.
Gestão de grupos self-service
Neste cenário de exemplo, dois usuários têm sites do SharePoint Online configurados independentemente. Eles querem dar às equipes uns dos outros acesso aos seus sites. Para realizar essa tarefa, eles podem criar um grupo no Microsoft Entra ID. No SharePoint Online, cada um deles seleciona esse grupo para fornecer acesso aos seus sites.
Quando alguém deseja acesso, solicita-o no Painel de Acesso de Grupos de MyApps. Após a aprovação, eles obtêm acesso a ambos os sites do SharePoint Online automaticamente. Posteriormente, um deles decide que todas as pessoas que acedem ao site devem também ter acesso a uma determinada aplicação SaaS. O administrador da aplicação SaaS pode adicionar direitos de acesso da aplicação ao site do SharePoint Online. A partir de então, todas as solicitações aprovadas dão acesso aos dois sites do SharePoint Online e também ao aplicativo SaaS.
Disponibilizar um grupo para personalização pelo utilizador
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.
Selecione Microsoft Entra ID.
Selecione Todos os grupos>Grupos e, em seguida, selecione Configurações gerais.
Nota
Esta definição apenas restringe o acesso às informações do grupo em Os Meus Grupos. Ele não restringe o acesso às informações do grupo por meio de outros métodos, como chamadas à API do Microsoft Graph ou o centro de administração do Microsoft Entra.
Nota
Em junho de 2024, a configuração Restringir o acesso dos usuários aos Meus Grupos será alterada para Restringir a capacidade dos usuários de ver e editar grupos de segurança em Meus Grupos. Se a configuração estiver definida como Sim, os usuários poderão acessar Meus Grupos em junho de 2024, mas não poderão ver grupos de segurança.
Defina Proprietários podem gerenciar solicitações de associação de grupo no Painel de Acesso como Sim.
Defina Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso como Não.
Defina Os usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell como Sim ou Não.
Para obter mais informações sobre essa configuração, consulte Configurações de grupo.
Definir Os usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell como Sim ou Não.
Para obter mais informações sobre essa configuração, consulte Configurações de grupo.
Você também pode usar Proprietários que podem atribuir membros como proprietários de grupo no portal do Azure para obter um controle de acesso mais granular sobre o gerenciamento de grupo de autoatendimento para seus usuários.
Quando os usuários podem criar grupos, todos os usuários em sua organização têm permissão para criar novos grupos. Como proprietário padrão, eles podem adicionar membros a esses grupos. Não é possível especificar indivíduos que possam criar seus próprios grupos. Você pode especificar indivíduos apenas para tornar outro membro do grupo um proprietário do grupo.
Nota
Uma licença do Microsoft Entra ID P1 ou P2 é necessária para que os usuários solicitem ingresso em um grupo de segurança ou grupo do Microsoft 365 e para que os proprietários aprovem ou neguem solicitações de associação. Sem uma licença do Microsoft Entra ID P1 ou P2, os usuários ainda podem gerenciar seus grupos no Painel de Acesso de Grupos do MyApp. Mas eles não podem criar um grupo que exija a aprovação do proprietário e não podem solicitar a participação em um grupo.
Definições de grupo
As configurações de grupo permitem controlar quem pode criar grupos de segurança e do Microsoft 365.
A tabela a seguir ajuda você a decidir quais valores escolher.
| Definição | Value | Efeito no seu inquilino |
|---|---|---|
| Os usuários podem criar grupos de segurança no portal do Azure, na API ou no PowerShell. | Sim | Todos os usuários em sua organização do Microsoft Entra têm permissão para criar novos grupos de segurança e adicionar membros a esses grupos no portal do Azure, API ou PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a definição de política do grupo o permitir, outros utilizadores podem criar pedidos de adesão para estes grupos. |
| Não | Os usuários não podem criar grupos de segurança. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos. | |
| Os usuários podem criar grupos do Microsoft 365 no portal do Azure, API ou PowerShell. | Sim | Todos os usuários em sua organização do Microsoft Entra têm permissão para criar novos grupos do Microsoft 365 e adicionar membros a esses grupos no portal do Azure, API ou PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a definição de política do grupo o permitir, outros utilizadores podem criar pedidos de adesão para estes grupos. |
| Não | Os usuários não podem criar grupos M365. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos. |
Aqui estão mais alguns detalhes sobre essas configurações de grupo:
- Essas configurações podem levar até 15 minutos para entrar em vigor.
- Se quiser permitir que alguns, mas não todos, dos seus utilizadores criem grupos, pode atribuir a esses utilizadores uma função que possa criar grupos, como Administrador de Grupos.
- Essas configurações são para usuários e não afetam as entidades de serviço. Por exemplo, se você tiver uma entidade de serviço com permissões para criar grupos, mesmo que defina essas configurações como Não, a entidade de serviço ainda poderá criar grupos.
Definir configurações de grupo usando o Microsoft Graph
Para configurar a configuração Usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell usando o Microsoft Graph, configure o EnableGroupCreation objeto no groupSettings objeto. Para obter mais informações, consulte Visão geral das configurações de grupo.
Para configurar a configuração Usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell usando o Microsoft Graph, atualize a allowedToCreateSecurityGroups propriedade de defaultUserRolePermissions no objeto authorizationPolicy .
Próximos passos
Para obter mais informações sobre o Microsoft Entra ID, consulte: