Создание групп и управление ими
Группа Microsoft Entra помогает упорядочивать пользователей, что упрощает управление разрешениями. Использование групп позволяет владельцу ресурса (или владельцу каталога Microsoft Entra), назначать набор разрешений доступа всем членам группы, а не предоставлять права по одному. Группы позволяют определить границу безопасности, а затем добавить и удалить конкретных пользователей, чтобы предоставить или запретить доступ с минимальным количеством усилий. Еще лучше, идентификатор Microsoft Entra поддерживает возможность определения членства на основе правил, таких как отдел, в который работает пользователь или название задания у них есть.
Идентификатор Microsoft Entra позволяет определить два различных типа групп.
Группы безопасности: это наиболее распространенные и используются для управления доступом к общим ресурсам для группы пользователей и компьютеров. Например, можно создать группу безопасности для определенной политики безопасности. Таким образом можно предоставить набор разрешений всем членам одновременно, а не добавлять разрешения для каждого члена по отдельности. Для этого параметра требуется администратор Microsoft Entra.
Группы Microsoft 365: эти группы предоставляют возможности для совместной работы, предоставляя участникам доступ к общему почтовому ящику, календарю, файлам, сайту SharePoint и т. д. Этот параметр также позволяет предоставить доступ к группе пользователям за пределами организации. Этот вариант доступен для пользователей, а также для администраторов.
Просмотр доступных групп
Все группы можно просмотреть, выбрав группы в разделе "Управление " на панели мониторинга Microsoft Entra. Новая установка идентификатора Microsoft Entra id не будет определена.
Добавление групп в идентификатор Microsoft Entra
Те же параметры, которые мы видели с пользователями, доступны для создания групп в идентификаторе Microsoft Entra. Проще всего создавать группы на портале Azure. Необходимо выбрать тип группы (группа безопасности или группа Microsoft 365), назначить уникальное имя группы, описание и тип членства.
Поле "Тип членства" может иметь одно из трех значений:
Назначенный (статический). Группа будет содержать выбранных пользователей или группы.
Динамический пользователь. Вы можете создавать правила на основе характеристик, чтобы включить динамические членства на основе атрибутов для групп. Например, если пользователь работает в отделе продаж, он будет динамически назначен группе "Продажи".
Группы безопасности можно использовать для устройств или пользователей, но можно использовать только Группы Microsoft 365 для групп пользователей. Если отдел пользователя изменится в будущем, он автоматически удаляется из группы. Для этой функции требуется лицензия Microsoft Entra ID P1.
Динамическое устройство. Вы можете создавать правила на основе характеристик, чтобы включить динамические членства на основе атрибутов для групп. Например, если устройство пользователя связано с отделом обслуживания, это устройство будет динамически назначено группе "Обслуживание".
Группы безопасности можно использовать для устройств или пользователей, но можно использовать только Группы Microsoft 365 для групп пользователей. Если связь устройства с определенным отделом изменится в будущем, он автоматически удаляется из группы. Для этой функции требуется лицензия Microsoft Entra ID P1.
Наконец, можно выбрать владельцев групп, которые могут администрировать группу и участников, которые будут принадлежать группе. Оба эти элемента могут содержать другие группы, а также отдельных пользователей.
Создание группы сценариев
Вы также можете использовать Microsoft Graph PowerShell для добавления группы с помощью команды New-MgGroup , как показано ниже:
New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False
Изменение членства в группе
После создания группы вы можете добавить или удалить пользователей (или группы) из него, изменив членство в группе. Выберите группу и используйте параметры в разделе "Управление ".
