Управление группами Azure Active Directory и членством в группах

Группы Azure Active Directory (Azure AD) используются для управления пользователями, которым требуются одинаковые права доступа и разрешения на ресурсы, такие как потенциально ограниченные приложения и службы. Вместо добавления специальных разрешений отдельным пользователям будет создана группа, которая применяет специальные разрешения ко всем членам этой группы.

В этой статье рассматриваются основные сценарии групп, в которых одна группа добавляется в один ресурс, а пользователи добавляются в эту группу в качестве членов. Более сложные сценарии, включая динамическое членство и создание правил, описываются в документации по управлению пользователями Azure Active Directory.

Перед добавлением групп и членов изучите статью Сведения о группах и правах доступа в Azure Active Directory, которая поможет вам решить, какие варианты следует использовать при создании группы.

Создание простой группы и добавление участников

Вы можете создать базовую группу и добавить членов одновременно с помощью портала Azure Active Directory (Azure AD). Роли Azure AD, которые могут управлять группами, включают следующие: администратор групп, администратор пользователей, администратор привилегированных ролей и глобальный администратор. Просмотрите соответствующие роли Azure AD для управления группами.

Чтобы создать простую группу и добавить членов, сделайте следующее:

1. Войдите на портал Azure.

2. Выберите Azure Active Directory>Группы>Создать группу.

   

3. Выберите тип группы. Дополнительные сведения о типах групп см. в статье Сведения о группах и правах доступа в Azure Active Directory.

   • Выбор типа группы Microsoft 365 включает параметр Адрес электронной почты группы.

4. Укажите имя группы. Выберите осмысленное имя группы, которое легко запомнить. Начнется процесс проверки для определения того, используется ли уже имя. Если имя уже используется, вам будет предложено изменить имя своей группы.

5. Адрес электронной почты группы: доступно только для типов групп Microsoft 365. Введите адрес электронной почты вручную или используйте адрес электронной почты, созданный на основе указанного имени группы.

6. Описание группы. Добавьте дополнительное описание группы.

7. Задайте для параметра Роли Azure AD могут быть назначены группе значение "Да", чтобы использовать эту группу для назначения ролей Azure AD членам.

   • Этот параметр доступен только с лицензиями Premium P1 или P2.
   • У вас должна быть роль администратора привилегированных ролей или глобального администратора.
   • При включении этого параметра автоматически выбирается тип членства Назначенное.
   • Возможность добавлять роли при создании группы добавляется в процесс.
   • Подробнее о группах с возможностью назначения ролей.

8. Выберите значение в поле Тип членства. Дополнительные сведения о типах членства см. в статье Сведения о группах и правах доступа в Azure Active Directory.

9. При необходимости добавьте владельцев или членов. Членов и владельцев можно добавить после создания группы.

   1. Щелкните ссылку в разделе Владельцы или Члены, чтобы заполнить список всех пользователей в каталоге.
   2. Выберите пользователей из списка и нажмите кнопку Выбрать в нижней части окна.

   

10. Нажмите кнопку создания. Ваша группа создана и готова для управления другими параметрами.

Отключение отправки приветственного сообщения электронной почты для группы

Приветственное уведомление отправляется всем пользователям при добавлении в новую группу Microsoft 365 независимо от типа членства. Если изменяются любые атрибуты пользователя или устройства, все правила динамических групп в организации обрабатываются на предмет возможных изменений членства. После этого добавляемым пользователям также отправляются приветственные уведомления. Такое поведение можно отключить в Exchange PowerShell.

Добавление или удаление членов и владельцев

Членов и владельцев можно добавлять в существующие группы Azure AD и удалять их из них. Процесс одинаков для членов и владельцев. Для добавления и удаления членов и владельцев вам потребуется роль администратора групп или администратора пользователей.

Нужно одновременно добавить несколько членов? См. сведения о параметре пакетного добавления членов.

Добавьте членов или владельцев группы:

1. Войдите на портал Azure.

2. Откройте Azure Active Directory>Группы.

3. Выберите группу, которой будете управлять.

4. Выберите Члены или Владельцы.

   

5. Выберите + Добавить (членов или владельцев).

6. Прокрутите список или введите имя в поле поиска. Вы можете одновременно выбрать несколько имен. Когда вы будете готовы, нажмите кнопку Выбрать.

   Страница Общие сведения о группе обновится, чтобы отобразить количество участников, добавленных в группу.

Удалите членов или владельцев группы:

1. Откройте Azure Active Directory>Группы.

2. Выберите группу, которой будете управлять.

3. Выберите Члены или Владельцы.

4. Установите флажок рядом с именем в списке и нажмите кнопку Удалить.

   

Изменение параметров группы

С помощью Azure AD можно удалить имя, описание или тип членства группы. Чтобы изменить параметры группы, вам потребуется роль администратора групп или администратора пользователей.

Чтобы изменить параметры группы, сделайте следующее:

1. Войдите на портал Azure.

2. Откройте Azure Active Directory>Группы. Откроется страница Группы — Все группы со списком активных групп.

3. Прокрутите список или введите имя группы в поле поиска. Выберите группу, которой будете управлять.

4. Выберите Свойства в боковом меню.

   

5. Измените Общие параметры по необходимости, например:

   • Имя группы. Измените существующее имя группы.

   • Описание группы. Измените существующее описание группы.

   • Тип группы. Тип группы нельзя изменить после создания. Чтобы изменить тип группы, необходимо удалить группу и создать новую.

   • Тип членства. Измените тип членства. Если вы включили параметр Роли Azure AD можно назначить группе, изменить тип членства нельзя. Дополнительные сведения о доступных типах членства см. в статье Сведения о группах и правах доступа в Azure Active Directory.

   • Идентификатор объекта. Невозможно изменить идентификатор объекта, но можно скопировать его и использовать в командах PowerShell для группы. Дополнительные сведения об использовании командлетов PowerShell см. в статье Настройка параметров групп с помощью командлетов Azure Active Directory.

Добавление и удаление группы в другой группе

Вы можете добавить существующую группу безопасности в другую группу безопасности (также называемую вложенными группами). В зависимости от типов групп вы можете добавить группу в качестве члена другой группы, как и пользователь, который применяет такие параметры, как роли и доступ к вложенным группам. Чтобы изменить членство группы, вам потребуется роль администратора групп или администратора пользователей.

В настоящее время мы не поддерживаем:

• добавление группы в другую группу, синхронизированную с локальной службой Active Directory;
• Добавление групп безопасности в группы Microsoft 365.
• Добавление групп Microsoft 365 в группы безопасности или другие группы Microsoft 365.
• назначение приложений вложенным группам;
• применение лицензий ко вложенным группам.
• добавление групп рассылки в сценарии вложенности;
• добавление групп безопасности в качестве элементов групп безопасности с поддержкой электронной почты.
• Добавление групп в качестве членов группы с возможностью назначения ролей.

Добавление группы в другую группу

1. Войдите на портал Azure.

2. Откройте Azure Active Directory>Группы.

3. На странице Группы — Все группы найдите и выберите группу, которая будет участником другой группы.

   Примечание

   Одним действием группу можно добавить только в одну другую группу. Подстановочные знаки не поддерживаются в поле поиска Выбор группы.

4. На странице "Обзор" группы выберите Членство в группах в боковом меню.

5. Выберите + Добавить членства.

6. Найдите группу, в которую хотите добавить свою группу, и нажмите кнопку Выбрать.

   В этом упражнении мы добавим "MDM policy - West" в группу "ПОЛИТИКА MDM - Все организации". Группа "MDM - policy - West" будет иметь тот же доступ, что и группа "Политика MDM - Все организации".

   

Теперь вы можете просмотреть страницу "Политика управления мобильными устройствами — Запад — Членства в группах", чтобы просмотреть связи между группой и членами.

Чтобы подробнее изучить связь между группой и членом, выберите имя родительской группы ("Политика управления мобильными устройствами — Все организации") и просмотрите страницу "Политика управления мобильными устройствами — Запад".

Удаление группы из другой группы

Вы можете удалить существующую группу безопасности из другой группы безопасности. однако при удалении группы также удаляются все унаследованные права доступа для ее участников.

1. На странице Группы — Все группы найдите и выберите группу, которую требуется удалить из членов другой группы.

2. На странице "Обзор" группы выберите Членство в группах.

3. Выберите родительскую группу на странице Членство в группах.

4. Щелкните Удалить.

   В этом упражнении мы теперь удалим группу "Политика управления мобильными устройствами — Запад" из группы "Политика управления мобильными устройствами — Все организации".

   

Удаление группы

Удаление группы Azure AD может потребоваться по разным причинам. Вот наиболее распространенные из них:

• Выбран неправильный параметр Тип группы.

• По ошибке создан дубликат группы.

• Группа больше не нужна.

Чтобы удалить группу, вам потребуется роль "Администратор групп" или "Администратор пользователей ".

1. Войдите на портал Azure.

2. Откройте Azure Active Directory>Группы.

3. Найдите и выберите группу для удаления.

4. Выберите команду Удалить.

   Группа будет удалена из вашего клиента Azure Active Directory.

Дальнейшие действия

• Сведения о группах и назначении им прав доступа

• Управление группами с помощью команд PowerShell

• Управление динамическими правилами для пользователей в группе

• Сценарии, ограничения и известные проблемы при использовании групп для управления лицензированием в Azure Active Directory

• Связывание подписки Azure с Azure Active Directory или добавление ее в службу