建立和管理群組
Microsoft Entra 群組可協助組織使用者,以便更輕鬆地管理權限。 使用群組可讓資源擁有者 (或 Microsoft Entra 目錄的擁有者) 將一組存取權限指派給所有群組成員,而不必逐一提供權限。 群組可讓您定義安全性界限,然後新增和移除特定使用者,以最少的努力來授與或拒絕存取。 更棒的是,Microsoft Entra ID 支援根據規則定義成員資格的功能,例如:使用者工作的部門,或他們所擁有的職稱。
Microsoft Entra ID 可讓您定義兩種不同類型的群組。
安全性群組:這些都是最常見的,可用來管理成員和電腦對使用者群組所共用資源的存取權。 例如,您可以針對特定安全性原則建立安全性群組。 透過這麼做,您可以將一組權限同時授與所有成員,而不必個別為每個成員新增權限。 此選項需要 Microsoft Entra 系統管理員。
Microsoft 365 群組:這些群組藉由將共用信箱、行事曆、檔案、SharePoint 網站等的存取權授與成員,來提供共同作業的機會。 此選項也可讓您將群組的存取權授與組織外的人員。 此選項適用於使用者以及系統管理員。
檢視可用的群組
您可以從 Microsoft Entra 儀表板,透過選取 [管理] 區段底下的 [群組] 檢視所有群組。 新的 Microsoft Entra ID 安裝不會定義任何群組。
將群組新增至 Microsoft Entra 識別碼
與使用者看到的相同選項可用來在 Microsoft Entra ID 中建立群組。 Azure 入口網站是建立群組最簡單的方式。 您必須選取群組類型 (安全性或 Microsoft 365)、指派唯一群組名稱、描述及「成員資格類型」。
[成員資格類型] 欄位可以是下列三個值之一:
已指派 (靜態)。 群組將包含您所選取的特定使用者或群組。
動態使用者。 您可以根據特性來建立規則,以針對群組啟用屬性型動態成員資格。 例如,若使用者的部門是「業務部」,即會將該使用者動態指派給「業務部」群組。
您可以針對裝置或使用者使用安全性群組,但是針對使用者群組只能使用 Microsoft 365 群組。 未來若變更了使用者的部門,即會從群組中自動移除他們。 此功能需要 Microsoft Entra ID P1 授權。
動態裝置。 您可以根據特性來建立規則,以針對群組啟用屬性型動態成員資格。 例如,如果使用者的裝置與服務部門建立關聯,則會將該裝置動態指派給服務群組。
您可以針對裝置或使用者使用安全性群組,但是針對使用者群組只能使用 Microsoft 365 群組。 如果裝置與特定部門的關聯在未來發生變更,則會自動從群組中移除。 此功能需要 Microsoft Entra ID P1 授權。
最後,您可以選取可管理群組的群組擁有者,以及將隸屬於該群組的成員。 這兩者都可包含其他群組以及個別使用者。
指令碼群組建立
您也可以透過 Microsoft Graph PowerShell,使用 New-MgGroup 命令來新增群組,如下所示:
New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False
變更群組的成員資格
建立群組之後,您可以藉由編輯群組成員資格,從中新增或移除使用者 (或群組)。 選取群組,並使用 [管理] 區段中的選項。
