Изменить

Поделиться через

Управление группами Microsoft Entra и членством в группах

  • Практическое руководство

Группы Microsoft Entra используются для управления пользователями, которым требуются одинаковые разрешения и доступ к ресурсам, например потенциально ограниченные приложения и службы. Вместо добавления специальных разрешений отдельным пользователям будет создана группа, которая применяет специальные разрешения ко всем членам этой группы.

В этой статье рассматриваются основные сценарии групп, в которых одна группа добавляется в один ресурс, а пользователи добавляются в эту группу в качестве членов. Более сложные сценарии, такие как динамические группы членства и создание правил, см. в документации по управлению пользователями Microsoft Entra.

Перед добавлением групп и членов изучите статью Сведения о группах и правах доступа в Azure Active Directory, которая поможет вам решить, какие варианты следует использовать при создании группы.

Необходимые компоненты

нет

Создание базовой группы и добавление участников

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете создать базовую группу и добавить участников одновременно с помощью Центра администрирования Microsoft Entra. Вам должна быть назначена по крайней мере роль администратора групп или администратора пользователей для создания групп. Просмотрите соответствующие роли Microsoft Entra для управления группами

Чтобы создать простую группу и добавить членов, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Выберите Создать группу.

    Снимок экрана: страница

  4. Выберите тип группы. Дополнительные сведения о типах групп см. в статье Сведения о группах и правах доступа в Azure Active Directory.

    • Выбор типа группы Microsoft 365 включает параметр Адрес электронной почты группы.

  5. Укажите имя группы. Выберите осмысленное имя группы, которое легко запомнить. Начнется процесс проверки для определения того, используется ли уже имя. Если имя уже используется, вам будет предложено изменить имя своей группы.

    • Имя группы не может начинаться с пробела. При запуске имени с пробелом группа не будет отображаться в качестве параметра для таких шагов, как добавление назначений ролей в члены группы.

  6. Адрес электронной почты группы: доступно только для типов групп Microsoft 365. Введите адрес электронной почты вручную или используйте адрес электронной почты, созданный на основе указанного имени группы.

  7. Описание группы. Добавьте дополнительное описание группы.

  8. Переключение ролей Microsoft Entra можно назначить параметру группы "Да", чтобы использовать эту группу для назначения ролей Microsoft Entra участникам.

    • Этот параметр доступен только с лицензиями P1 или P2.
    • У вас должна быть по крайней мере роль администратора привилегированных ролей.
    • При включении этого параметра автоматически выбирается тип членства Назначенное.
    • Возможность добавлять роли при создании группы добавляется в процесс.
    • Подробнее о группах с возможностью назначения ролей.

  9. Выберите значение в поле Тип членства. Дополнительные сведения о типах членства см. в статье Сведения о группах и правах доступа в Azure Active Directory.

  10. При необходимости добавьте владельцев или членов. Членов и владельцев можно добавить после создания группы.

    1. Щелкните ссылку в разделе Владельцы или Члены, чтобы заполнить список всех пользователей в каталоге.
    2. Выберите пользователей из списка и нажмите кнопку Выбрать в нижней части окна.

    Снимок экрана: выбор членов для группы в процессе создания группы.

  11. Нажмите кнопку создания. Ваша группа создана и готова для управления другими параметрами.

    Отключение отправки приветственного сообщения электронной почты для группы

    Приветственное уведомление отправляется всем пользователям при добавлении в новую группу Microsoft 365 независимо от типа членства. При изменении атрибута пользователя или устройства все правила для динамических групп членства в организации обрабатываются для потенциальных изменений членства. После этого добавляемым пользователям также отправляются приветственные уведомления. Такое поведение можно отключить в Exchange PowerShell.

Добавление участников или владельцев группы

Члены и владельцы могут быть добавлены из существующих групп. Процесс одинаков для членов и владельцев. Вам потребуется роль администратора групп или администратора пользователей, чтобы добавить участников и владельцев.

Нужно одновременно добавить несколько членов? См. сведения о параметре пакетного добавления членов.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Выберите группу, которой будете управлять.

  4. Выберите Члены или Владельцы.

    Снимок экрана: страница обзора группы с выделенными параметрами меню

  5. Выберите + Добавить (членов или владельцев).

  6. Прокрутите список или введите имя в поле поиска. Вы можете одновременно выбрать несколько имен. Когда вы будете готовы, нажмите кнопку Выбрать.

    Страница Общие сведения о группе обновится, чтобы отобразить количество участников, добавленных в группу.

Удаление участников или владельцев группы

Члены и владельцы могут быть удалены из существующих групп. Процесс одинаков для членов и владельцев. Для удаления участников и владельцев потребуется роль администратора групп или администратора пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Выберите группу, которой будете управлять.

  4. Выберите Члены или Владельцы.

  5. Установите флажок рядом с именем в списке и нажмите кнопку Удалить.

    Снимок экрана: члены группы с выбранным именем и выделенной кнопкой

Изменение параметров группы

Вы можете изменить имя группы, описание или тип членства. Чтобы изменить параметры группы, вам потребуется роль администратора групп или администратора пользователей.

Чтобы изменить параметры группы, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Прокрутите список или введите имя группы в поле поиска. Выберите группу, которой будете управлять.

  4. Выберите Свойства в боковом меню.

  5. Измените Общие параметры по необходимости, например:

    • Имя группы. Измените существующее имя группы.

    • Описание группы. Измените существующее описание группы.

    • Тип группы. Тип группы нельзя изменить после создания. Чтобы изменить тип группы, необходимо удалить группу и создать новую.

    • Тип членства. Измените тип членства. Если для параметра группы можно назначить роли Microsoft Entra, изменить тип членства нельзя. Дополнительные сведения о доступных типах членства см. в статье Сведения о группах и правах доступа в Azure Active Directory.

    • Идентификатор объекта. Невозможно изменить идентификатор объекта, но можно скопировать его и использовать в командах PowerShell для группы. Дополнительные сведения об использовании командлетов PowerShell см . в командлетах Microsoft Entra для настройки параметров группы.

Добавление группы в другую группу

Для типа группы безопасности можно добавить существующую группу в другую группу (также называемую вложенными группами). В зависимости от типов членства в группе можно добавить группу в качестве члена другой группы так же, как и пользователь, который применяет такие параметры, как разрешения доступа и роли к вложенным группам. Но для вложенных групп Entra не применяет назначенное членство к общим ресурсам и приложениям.

Чтобы изменить членство группы, вам потребуется роль администратора групп или администратора пользователей. Дополнительные сведения о группах безопасности см. в разделе "Что знать перед созданием группы".

В настоящее время мы не поддерживаем:

  • добавление группы в другую группу, синхронизированную с локальной службой Active Directory;
  • Добавление групп безопасности в группы Microsoft 365.
  • Добавление групп Microsoft 365 в группы безопасности или другие группы Microsoft 365.
  • Назначено членство в общих ресурсах и приложениях для вложенных групп безопасности.
  • Применение лицензий к вложенным группам безопасности.
  • Добавление групп рассылки в сценарии вложенности.
  • добавление групп безопасности в качестве элементов групп безопасности с поддержкой электронной почты.
  • Добавление групп в качестве членов группы с возможностью назначения ролей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. На странице "Все группы" найдите и выберите группу, которую вы хотите стать членом другой группы.

    Примечание.

    Одним действием группу можно добавить только в одну другую группу. Подстановочные знаки не поддерживаются в поле поиска Выбор группы.

  4. На странице "Обзор" группы выберите Членство в группах в боковом меню.

  5. Выберите + Добавить членства.

  6. Найдите группу, в которую хотите добавить свою группу, и нажмите кнопку Выбрать.

    В этом упражнении мы добавим "политику MDM - Запад" в группу "Политика MDM — все организации". Группа MDM - policy - West будет иметь тот же доступ, что и группа "Политика MDM - Все организации".

    Снимок экрана: создание группы участника другой группы с членством в группах из бокового меню и выделенным параметром

    Теперь вы можете просмотреть страницу "Политика управления мобильными устройствами — Запад — Членства в группах", чтобы просмотреть связи между группой и членами.

    Чтобы подробнее изучить связь между группой и членом, выберите имя родительской группы ("Политика управления мобильными устройствами — Все организации") и просмотрите страницу "Политика управления мобильными устройствами — Запад".

Удаление группы из другой группы

Для типа группы безопасности можно добавить существующую группу в другую группу (также называемую вложенными группами). В зависимости от типов членства в группе можно добавить группу в качестве члена другой группы так же, как и пользователь, который применяет такие параметры, как разрешения доступа и роли к вложенным группам. Но для вложенных групп Entra не применяет назначенное членство к общим ресурсам и приложениям.

Чтобы изменить членство группы, вам потребуется роль администратора групп или администратора пользователей. Дополнительные сведения о группах безопасности см. в разделе "Что знать перед созданием группы".

Вы можете удалить существующую группу безопасности из другой группы безопасности; Однако удаление группы также удаляет любой унаследованный доступ для своих членов.

  1. На странице "Все группы" найдите и выберите группу, необходимую для удаления в качестве члена другой группы.

  2. На странице "Обзор" группы выберите Членство в группах.

  3. Выберите родительскую группу на странице Членство в группах.

  4. Выберите Удалить.

    В этом упражнении мы теперь удалим группу "Политика управления мобильными устройствами — Запад" из группы "Политика управления мобильными устройствами — Все организации".

    Снимок экрана: страница

Удаление группы

Удаление группы может потребоваться по разным причинам. Вот наиболее распространенные из них:

  • Выберите неправильный параметр типа группы.
  • По ошибке создан дубликат группы.
  • Группа больше не нужна.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Найдите и выберите группу для удаления.

  4. Выберите команду Удалить.

Связанный контент