Partilhar via


Configurar o gerenciamento de grupo de autoatendimento no Microsoft Entra ID

Você pode permitir que os usuários criem e gerenciem seus próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar solicitações de associação e delegar o controle da associação ao grupo. Os recursos de gerenciamento de grupo de autoatendimento não estão disponíveis para grupos de segurança habilitados para email ou listas de distribuição.

Associação a grupos de autoatendimento

Você pode permitir que os usuários criem grupos de segurança, que são usados para gerenciar o acesso a recursos compartilhados. Os usuários podem criar grupos de segurança no portal do Azure usando o PowerShell do Azure Ative Directory (Azure AD) ou no portal Meus Grupos.

Captura de ecrã que mostra o portal Os Meus Grupos.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Somente os proprietários do grupo podem atualizar a associação, mas você pode fornecer aos proprietários do grupo a capacidade de aprovar ou negar solicitações de associação no portal Meus Grupos. Os grupos de segurança criados por autoatendimento por meio do portal Meus Grupos estão disponíveis para ingresso para todos os usuários, sejam eles aprovados pelo proprietário ou automaticamente. No portal Meus Grupos, você pode alterar as opções de associação ao criar o grupo.

Os grupos do Microsoft 365 oferecem oportunidades de colaboração para seus usuários. Você pode criar grupos em qualquer um dos aplicativos do Microsoft 365, como SharePoint, Microsoft Teams e Planner. Você também pode criar grupos do Microsoft 365 em portais do Azure usando o Microsoft Graph PowerShell ou no portal Meus Grupos. Para obter mais informações sobre a diferença entre grupos de segurança e grupos do Microsoft 365, consulte Saiba mais sobre grupos.

Grupos criados em Comportamento padrão do grupo de segurança Comportamento padrão do grupo Microsoft 365
Microsoft Graph PowerShell Apenas os proprietários podem adicionar membros.
Visível, mas não disponível para participar no Painel de Acesso de Grupos MyApp.
Aberto para participar para todos os usuários.
Portal do Azure Apenas os proprietários podem adicionar membros.
Visível, mas não disponível para participar no portal Meus Grupos.
O proprietário não é atribuído automaticamente na criação do grupo.
Aberto para participar para todos os usuários.
Portal dos Meus Grupos Os usuários podem gerenciar grupos e solicitar acesso para participar de grupos aqui.
As opções de associação podem ser alteradas quando um grupo é criado.
Aberto para participar para todos os usuários.
As opções de associação podem ser alteradas quando um grupo é criado.

Cenários de gerenciamento de grupo de autoatendimento

Dois cenários ajudam a explicar o gerenciamento de grupo de autoatendimento.

Gestão delegada de grupos

Neste cenário de exemplo, um administrador gerencia o acesso a um aplicativo SaaS (software como serviço) que a empresa está usando. Gerenciar os direitos de acesso é complicado, então o administrador pede ao proprietário da empresa para criar um novo grupo. O administrador atribui acesso para o aplicativo ao novo grupo e adiciona ao grupo todas as pessoas que já acessam o aplicativo. O proprietário da empresa pode então adicionar mais utilizadores e estes são aprovisionados automaticamente para a aplicação.

O proprietário da empresa não tem de aguardar que o administrador faça a gestão do acesso dos utilizadores. Se o administrador conceder a mesma permissão a um gerente em um grupo de negócios diferente, essa pessoa também poderá gerenciar o acesso para seus próprios membros do grupo. O proprietário da empresa e o gerente não podem visualizar ou gerenciar as associações de grupo um do outro. O administrador ainda pode ver todos os usuários que têm acesso ao aplicativo e bloquear direitos de acesso, se necessário.

Nota

Para cenários delegados, o administrador precisa ter pelo menos uma função Microsoft Entra de Administrador de Função Privilegiada.

Gestão de grupos self-service

Neste cenário de exemplo, dois usuários têm sites do SharePoint Online configurados independentemente. Eles querem dar às equipes uns dos outros acesso aos seus sites. Para realizar essa tarefa, eles podem criar um grupo no Microsoft Entra ID. No SharePoint Online, cada um deles seleciona esse grupo para fornecer acesso aos seus sites.

Quando alguém quer acesso, solicita-o no portal Os Meus Grupos. Após a aprovação, eles obtêm acesso a ambos os sites do SharePoint Online automaticamente. Posteriormente, um deles decide que todas as pessoas que acedem ao site devem também ter acesso a uma determinada aplicação SaaS. O administrador da aplicação SaaS pode adicionar direitos de acesso da aplicação ao site do SharePoint Online. A partir de então, todas as solicitações aprovadas dão acesso aos dois sites do SharePoint Online e também ao aplicativo SaaS.

Disponibilizar um grupo para personalização pelo utilizador

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Todos os grupos>Grupos e, em seguida, selecione Configurações gerais.

    Nota

    Esta definição apenas restringe o acesso às informações do grupo em Os Meus Grupos. Ele não restringe o acesso às informações do grupo por meio de outros métodos, como chamadas à API do Microsoft Graph ou o centro de administração do Microsoft Entra.

    Captura de tela que mostra as configurações gerais dos grupos do Microsoft Entra.

    Nota

    As alterações relativas à configuração de Gestão de Grupo de Autoatendimento, inicialmente agendadas para junho de 2024, estão atualmente em revisão e não ocorrerão como originalmente planejado. Uma data de descontinuação será anunciada no futuro.

  4. Defina Proprietários podem gerenciar solicitações de associação de grupo no Painel de Acesso como Sim.

  5. Defina Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso como Não.

  6. Defina Os usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell como Sim ou Não.

    Para obter mais informações sobre essa configuração, consulte Configurações de grupo.

  7. Definir Os usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell como Sim ou Não.

    Para obter mais informações sobre essa configuração, consulte Configurações de grupo.

Você também pode usar Proprietários que podem atribuir membros como proprietários de grupo no portal do Azure para obter um controle de acesso mais granular sobre o gerenciamento de grupo de autoatendimento para seus usuários.

Quando os usuários podem criar grupos, todos os usuários em sua organização têm permissão para criar novos grupos. Como proprietário padrão, eles podem adicionar membros a esses grupos. Não é possível especificar indivíduos que possam criar seus próprios grupos. Você pode especificar indivíduos apenas para tornar outro membro do grupo um proprietário do grupo.

Nota

Uma licença do Microsoft Entra ID P1 ou P2 é necessária para que os usuários solicitem ingresso em um grupo de segurança ou grupo do Microsoft 365 e para que os proprietários aprovem ou neguem solicitações de associação. Sem uma licença do Microsoft Entra ID P1 ou P2, os usuários ainda podem gerenciar seus grupos no Painel de Acesso de Grupos do MyApp. Mas eles não podem criar um grupo que exija a aprovação do proprietário e não podem solicitar a participação em um grupo.

Definições de grupo

As configurações de grupo permitem controlar quem pode criar grupos de segurança e do Microsoft 365.

Captura de ecrã que mostra a alteração da definição dos grupos de segurança do Microsoft Entra.

A tabela a seguir ajuda você a decidir quais valores escolher.

Definição Value Efeito no seu inquilino
Os usuários podem criar grupos de segurança no portal do Azure, na API ou no PowerShell. Sim Todos os usuários em sua organização do Microsoft Entra têm permissão para criar novos grupos de segurança e adicionar membros a esses grupos no portal do Azure, API ou PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a definição de política do grupo o permitir, outros utilizadores podem criar pedidos de adesão para estes grupos.
Não Os usuários não podem criar grupos de segurança. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos.
Os usuários podem criar grupos do Microsoft 365 no portal do Azure, API ou PowerShell. Sim Todos os usuários em sua organização do Microsoft Entra têm permissão para criar novos grupos do Microsoft 365 e adicionar membros a esses grupos no portal do Azure, API ou PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a definição de política do grupo o permitir, outros utilizadores podem criar pedidos de adesão para estes grupos.
Não Os usuários não podem criar grupos M365. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos.

Aqui estão mais alguns detalhes sobre essas configurações de grupo:

  • Essas configurações podem levar até 15 minutos para entrar em vigor.
  • Se quiser permitir que alguns, mas não todos, dos seus utilizadores criem grupos, pode atribuir a esses utilizadores uma função que possa criar grupos, como Administrador de Grupos.
  • Essas configurações são para usuários e não afetam as entidades de serviço. Por exemplo, se você tiver uma entidade de serviço com permissões para criar grupos, mesmo que defina essas configurações como Não, a entidade de serviço ainda poderá criar grupos.

Definir configurações de grupo usando o Microsoft Graph

Para configurar a configuração Usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell usando o groupSettings Microsoft Graph, configure o EnableGroupCreation objeto no objeto. Para obter mais informações, consulte Visão geral das configurações de grupo.

Para configurar a configuração Usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell usando o Microsoft Graph, atualize a allowedToCreateSecurityGroups propriedade de defaultUserRolePermissions no objeto authorizationPolicy .

Próximos passos

Para obter mais informações sobre o Microsoft Entra ID, consulte: