Konfigurera grupphantering med självbetjäning i Microsoft Entra-ID
Du kan göra det möjligt för användare att skapa och hantera sina egna säkerhetsgrupper eller Microsoft 365-grupper i Microsoft Entra-ID. Gruppens ägare kan godkänna eller neka medlemskapsbegäranden och delegera kontrollen över gruppmedlemskap. Grupphanteringsfunktioner med självbetjäning är inte tillgängliga för e-postaktiverade säkerhetsgrupper eller distributionslistor.
Gruppmedlemskap med självbetjäning
Du kan tillåta användare att skapa säkerhetsgrupper som används för att hantera åtkomst till delade resurser. Användare kan skapa säkerhetsgrupper i Azure-portalen med hjälp av Azure Active Directory (Azure AD) PowerShell eller från MyApps-grupper Åtkomstpanelen.
Kommentar
Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
Endast gruppens ägare kan uppdatera medlemskapet, men du kan ge gruppägare möjlighet att godkänna eller neka medlemskapsbegäranden från MyApps-grupper Åtkomstpanelen. Säkerhetsgrupper som skapats via självbetjäning via MyApps-grupper Åtkomstpanelen är tillgängliga för anslutning för alla användare, oavsett om de är ägargodkända eller automatiskt godkända. I Åtkomstpanelen MyApps-grupper kan du ändra medlemskapsalternativ när du skapar gruppen.
Microsoft 365-grupper ger dina användare samarbetsmöjligheter. Du kan skapa grupper i något av Microsoft 365-programmen, till exempel SharePoint, Microsoft Teams och Planner. Du kan också skapa Microsoft 365-grupper i Azure-portaler med hjälp av Microsoft Graph PowerShell eller från MyApps-grupper Åtkomstpanelen. Mer information om skillnaden mellan säkerhetsgrupper och Microsoft 365-grupper finns i Läs mer om grupper.
| Grupper som skapats i | Standardbeteende för säkerhetsgrupp | Standardbeteende för Microsoft 365-grupp |
|---|---|---|
| Microsoft Graph PowerShell | Endast ägare kan lägga till medlemmar. Synlig men inte tillgänglig för anslutning i MyApp-grupper Åtkomstpanelen. |
Öppna för att ansluta för alla användare. |
| Azure-portalen | Endast ägare kan lägga till medlemmar. Synlig men inte tillgänglig för anslutning i MyApps-grupper Åtkomstpanelen. Ägaren tilldelas inte automatiskt när gruppen skapas. |
Öppna för att ansluta för alla användare. |
| MyApps-grupper Åtkomstpanelen | Öppna för att ansluta för alla användare. Medlemskapsalternativ kan ändras när gruppen skapas. |
Öppna för att ansluta för alla användare. Medlemskapsalternativ kan ändras när gruppen skapas. |
Scenarier för grupphantering med självbetjäning
Två scenarier hjälper till att förklara grupphantering med självbetjäning.
Delegerad grupphantering
I det här exempelscenariot hanterar en administratör åtkomst till ett SaaS-program (programvara som en tjänst) som företaget använder. Det är besvärligt att hantera åtkomsträttigheterna, så administratören ber företagsägaren att skapa en ny grupp. Administratören tilldelar åtkomst för programmet till den nya gruppen och lägger till alla personer som redan har åtkomst till programmet i gruppen. Företagsägaren kan sedan lägga till fler användare, som automatiskt tilldelas programmet.
Företagsägaren behöver inte vänta på administratören för att kunna hantera åtkomst för användarna. Om administratören ger samma behörighet till en chef i en annan affärsgrupp kan den personen också hantera åtkomst för sina egna gruppmedlemmar. Företagsägaren och chefen kan inte visa eller hantera varandras gruppmedlemskap. Administratören kan fortfarande se alla användare som har åtkomst till programmet och blockera åtkomsträttigheter om det behövs.
Självbetjäning, grupphantering
I det här exempelscenariot har två användare SharePoint Online-webbplatser som de har konfigurerat oberoende av varandra. De vill ge varandras team åtkomst till sina webbplatser. För att utföra den här uppgiften kan de skapa en grupp i Microsoft Entra-ID. I SharePoint Online väljer var och en av dem den gruppen för att ge åtkomst till sina webbplatser.
När någon vill ha åtkomst begär de den från MyApps-grupper Åtkomstpanelen. Efter godkännandet får de automatiskt åtkomst till båda SharePoint Online-webbplatserna. Senare beslutar den ena av dem att alla användare som har åtkomst till webbplatsen även ska få åtkomst till ett visst SaaS-program. SaaS-programmets administratör kan lägga till åtkomstbehörighet för programmet till SharePoint Online-webbplatsen. Från och med då ger alla begäranden som godkänns åtkomst till de två SharePoint Online-webbplatserna och även till SaaS-programmet.
Göra en grupp tillgänglig för självbetjäning av användare
Logga in på administrationscentret för Microsoft Entra som minst gruppadministratör.
Välj Microsoft Entra ID.
Välj Alla grupper>Grupper och välj sedan Allmänna inställningar.
Kommentar
Den här inställningen begränsar endast åtkomsten till gruppinformation i Mina grupper. Den begränsar inte åtkomsten till gruppinformation via andra metoder som Microsoft Graph API-anrop eller administrationscentret för Microsoft Entra.
Kommentar
I juni 2024 ändras inställningen Begränsa användares åtkomst till Mina grupper till Begränsa användarnas möjlighet att se och redigera säkerhetsgrupper i Mina grupper. Om inställningen för närvarande är inställd på Ja kan användarna komma åt Mina grupper i juni 2024 men kommer inte att kunna se säkerhetsgrupper.
Ange Ägare kan hantera begäranden om gruppmedlemskap i Åtkomstpanelen till Ja.
Ange Begränsa användarens möjlighet att komma åt gruppfunktioner i Åtkomstpanelen till Nej.
Ange Användare kan skapa säkerhetsgrupper i Azure-portaler, API eller PowerShell till Ja eller Nej.
Mer information om den här inställningen finns i Gruppinställningar.
Ange Användare kan skapa Microsoft 365-grupper i Azure-portaler, API eller PowerShell till Ja eller Nej.
Mer information om den här inställningen finns i Gruppinställningar.
Du kan också använda Ägare som kan tilldela medlemmar som gruppägare i Azure-portalen för att få mer detaljerad åtkomstkontroll över grupphantering via självbetjäning för dina användare.
När användare kan skapa grupper får alla användare i din organisation skapa nya grupper. Som standardägare kan de sedan lägga till medlemmar i dessa grupper. Du kan inte ange personer som kan skapa egna grupper. Du kan bara ange enskilda personer för att göra en annan gruppmedlem till gruppägare.
Kommentar
En Microsoft Entra ID P1- eller P2-licens krävs för att användare ska kunna begära att få ansluta till en säkerhetsgrupp eller Microsoft 365-grupp och för ägare att godkänna eller neka medlemskapsbegäranden. Utan en Microsoft Entra ID P1- eller P2-licens kan användarna fortfarande hantera sina grupper i MyApp-grupper Åtkomstpanelen. Men de kan inte skapa en grupp som kräver ägargodkännande, och de kan inte begära att gå med i en grupp.
Gruppinställningar
Med gruppinställningarna kan du styra vem som kan skapa säkerhetsgrupper och Microsoft 365-grupper.
Följande tabell hjälper dig att bestämma vilka värden du vill välja.
| Inställning | Värde | Effekt på din klientorganisation |
|---|---|---|
| Användare kan skapa säkerhetsgrupper i Azure-portalen, API:et eller PowerShell. | Ja | Alla användare i din Microsoft Entra-organisation får skapa nya säkerhetsgrupper och lägga till medlemmar i dessa grupper i Azure-portalen, API:et eller PowerShell. Dessa nya grupper visas också i Åtkomstpanelen för alla andra användare. Om gruppens principinställningar så tillåter kan andra användare skapa förfrågningar om att ansluta till dessa grupper. |
| Nej | Användare kan inte skapa säkerhetsgrupper. De kan fortfarande hantera medlemskap i grupper som de är ägare till och godkänna begäranden från andra användare om att ansluta till sina grupper. | |
| Användare kan skapa Microsoft 365-grupper i Azure-portalen, API:et eller PowerShell. | Ja | Alla användare i din Microsoft Entra-organisation får skapa nya Microsoft 365-grupper och lägga till medlemmar i dessa grupper i Azure-portalen, API:et eller PowerShell. Dessa nya grupper visas också i Åtkomstpanelen för alla andra användare. Om gruppens principinställningar så tillåter kan andra användare skapa förfrågningar om att ansluta till dessa grupper. |
| Nej | Användare kan inte skapa M365-grupper. De kan fortfarande hantera medlemskap i grupper som de är ägare till och godkänna begäranden från andra användare om att ansluta till sina grupper. |
Här följer mer information om dessa gruppinställningar:
- De här inställningarna kan ta upp till 15 minuter att börja gälla.
- Om du vill aktivera vissa, men inte alla, av dina användare för att skapa grupper, kan du tilldela dessa användare en roll som kan skapa grupper, till exempel Gruppadministratör.
- De här inställningarna gäller för användare och påverkar inte tjänstens huvudnamn. Om du till exempel har ett huvudnamn för tjänsten med behörighet att skapa grupper, även om du ställer in inställningarna på Nej, kan tjänstens huvudnamn fortfarande skapa grupper.
Konfigurera gruppinställningar med hjälp av Microsoft Graph
Konfigurera inställningen Användare kan skapa säkerhetsgrupper i Azure-portaler, API eller PowerShell med hjälp av Microsoft Graph genom att konfigurera EnableGroupCreation objektet i groupSettings objektet. Mer information finns i Översikt över gruppinställningar.
Om du vill konfigurera användare kan skapa säkerhetsgrupper i Azure-portaler, API eller PowerShell-inställningar med hjälp av Microsoft Graph uppdaterar allowedToCreateSecurityGroups du egenskapen defaultUserRolePermissions för i objektet authorizationPolicy .
Nästa steg
Mer information om Microsoft Entra-ID finns i: