在 Microsoft Entra ID 中設定自助群組管理
您可以讓使用者在 Microsoft Entra ID 中建立和管理自己的安全組或 Microsoft 365 群組。 群組的擁有者可以核准或拒絕成員資格要求,以及委派群組成員資格的控制。 自助式群組管理功能不適用於 啟用郵件功能的安全組或通訊組清單。
自助式群組成員資格
您可以允許使用者建立安全組,用來管理共用資源的存取權。 使用者可以使用 Azure Active Directory(Azure AD) PowerShell,或從 MyApps 群組 存取面板,在 Azure 入口網站 中建立安全組。
重要
Azure AD PowerShell 計劃於 2024 年 3 月 30 日淘汰。 若要深入瞭解,請閱讀 淘汰更新。 建議您移轉至 Microsoft Graph PowerShell ,以與 Microsoft Entra ID (先前稱為 Azure AD) 互動。 Microsoft Graph PowerShell 允許存取所有 Microsoft Graph API,並可在 PowerShell 7 上使用。 如需常見移轉查詢的解答,請參閱 移轉常見問題。
只有群組的擁有者可以更新成員資格,但您可以為群組擁有者提供核准或拒絕 MyApps 群組 存取面板 的成員資格要求的能力。 透過 MyApps 群組建立的安全組 存取面板 可供所有使用者使用,無論是擁有者核准還是自動核准。 在 MyApps 群組 存取面板 中,您可以在建立群組時變更成員資格選項。
Microsoft 365 群組為您的使用者提供共同作業機會。 您可以在任何 Microsoft 365 應用程式中建立群組,例如 SharePoint、Microsoft Teams 和 Planner。 您也可以使用 Microsoft Graph PowerShell,或從 MyApps 群組 存取面板,在 Azure 入口網站 中建立 Microsoft 365 群組。 如需安全組與 Microsoft 365 群組之間差異的詳細資訊,請參閱 瞭解群組。
| 在中建立的群組 | 安全組預設行為 | Microsoft 365 群組預設行為 |
|---|---|---|
| Microsoft Graph PowerShell | 只有擁有者可以新增成員。 可見但無法加入 MyApp 群組 存取面板。 |
開啟以加入所有使用者。 |
| Azure 入口網站 | 只有擁有者可以新增成員。 可見但無法加入 MyApps 群組 存取面板。 不會在群組建立時自動指派擁有者。 |
開啟以加入所有使用者。 |
| MyApps 群組 存取面板 | 開啟以加入所有使用者。 建立群組時,可以變更成員資格選項。 |
開啟以加入所有使用者。 建立群組時,可以變更成員資格選項。 |
自助群組管理案例
兩個案例有助於說明自助群組管理。
委派的群組管理
在此範例案例中,系統管理員會管理公司所使用的軟體即服務 (SaaS) 應用程式的存取權。 管理訪問許可權很麻煩,因此系統管理員會要求企業擁有者建立新的群組。 系統管理員會將應用程式的存取權指派給新群組,並將新增至群組中所有已存取應用程式的人員。 企業主接著可以新增更多使用者,且這些用戶會自動布建至應用程式。
企業主不需要等候系統管理員管理使用者的存取權。 如果系統管理員將相同的許可權授與不同商務群組中的經理,該人員也可以管理自己群組成員的存取權。 企業主和經理無法檢視或管理彼此的群組成員資格。 如有需要,系統管理員仍可以看到具有應用程式存取權並封鎖訪問許可權的所有使用者。
自助式群組管理
在此範例案例中,兩位用戶擁有他們獨立設定的 SharePoint Online 網站。 他們想要讓彼此的小組存取他們的網站。 若要完成這項工作,他們可以在 Microsoft Entra ID 中建立一個群組。 在 SharePoint Online 中,每個群組都會選取該群組,以提供其網站的存取權。
當有人想要存取時,他們會從 MyApps 群組 存取面板 要求它。 核准之後,他們會自動存取這兩個 SharePoint Online 網站。 稍後,其中一個決定存取網站的所有用戶也應該取得特定 SaaS 應用程式的存取權。 SaaS 應用程式的系統管理員可以將應用程式的訪問許可權新增至 SharePoint Online 網站。 從此為止,任何獲得核准的要求都會授與兩個 SharePoint Online 網站的存取權,以及 SaaS 應用程式。
讓群組可供使用者自助使用
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [所有群組群組>],然後選取 [一般設定]。
注意
此設定只會限制在我的群組中存取群組資訊。 它不會限制透過 Microsoft Graph API 呼叫或 Microsoft Entra 系統管理中心等其他方法存取群組資訊。
注意
在 2024 年 6 月,[限制使用者存取我的群組] 設定將會變更為 [限制使用者在我的群組] 中查看和編輯安全組的能力。如果設定目前設定為 [是],使用者將無法在 2024 年 6 月存取我的群組,但無法看到安全組。
將 [擁有者] 可在 存取面板 中管理群組成員資格要求設定為 [是]。
將 [限制使用者存取 存取面板 中的群組功能] 設定為 [否]。
將 [用戶可以在 Azure 入口網站、API 或 PowerShell 中建立安全組設定為 [是] 或 [否]。
如需此設定的詳細資訊,請參閱 群組設定。
將 [用戶可以在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組設定為 [是] 或 [否]。
如需此設定的詳細資訊,請參閱 群組設定。
您也可以在 Azure 入口網站 中使用可指派成員作為群組擁有者的擁有者,為您的用戶實現更細微的自助群組管理訪問控制。
當使用者可以建立群組時,您組織中的所有使用者都可以建立新的群組。 作為預設擁有者,他們接著可以將成員新增至這些群組。 您無法指定可以建立自己的群組的個人。 您只能指定個人將另一個群組成員設定為群組擁有者。
注意
使用者需要 Microsoft Entra ID P1 或 P2 授權,才能要求加入安全組或 Microsoft 365 群組,以及讓擁有者核准或拒絕成員資格要求。 如果沒有 Microsoft Entra ID P1 或 P2 授權,使用者仍然可以在 MyApp 群組中管理其群組 存取面板。 但是他們無法建立需要擁有者核准的群組,而且無法要求加入群組。
群組設定
群組設定可讓您控制誰可以建立安全性和 Microsoft 365 群組。
下表可協助您決定要選擇的值。
| 設定 | 值 | 對租用戶的影響 |
|---|---|---|
| 用戶可以在 Azure 入口網站、API 或 PowerShell 中建立安全組。 | Yes | 您 Microsoft Entra 組織中的所有使用者都可以建立新的安全組,並將成員新增至 Azure 入口網站、API 或 PowerShell 中的這些群組。 這些新群組也會顯示在所有其他使用者的 存取面板 中。 如果群組上的原則設定允許,其他使用者可以建立加入這些群組的要求。 |
| No | 用戶無法建立安全組。 他們仍然可以管理其擁有者所屬的群組成員資格,並核准其他使用者加入其群組的要求。 | |
| 用戶可以在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組。 | Yes | 您 Microsoft Entra 組織中的所有使用者都可以建立新的 Microsoft 365 群組,並將成員新增至 Azure 入口網站、API 或 PowerShell 中的這些群組。 這些新群組也會顯示在所有其他使用者的 存取面板 中。 如果群組上的原則設定允許,其他使用者可以建立加入這些群組的要求。 |
| No | 用戶無法建立 M365 群組。 他們仍然可以管理其擁有者所屬的群組成員資格,並核准其他使用者加入其群組的要求。 |
以下是這些群組設定的更多詳細資料:
- 這些設定最多可能需要 15 分鐘才會生效。
- 如果您想要啟用部分但並非全部的使用者來建立群組,您可以將可建立群組的角色指派給這些使用者,例如群組 管理員 istrator。
- 這些設定適用於使用者,且不會影響服務主體。 例如,如果您有具有建立群組許可權的服務主體,即使您將這些設定 設為 [否],服務主體仍然可以建立群組。
使用 Microsoft Graph 設定群組設定
若要設定使用者可以使用 Microsoft Graph 在 Azure 入口網站、API 或 PowerShell 設定中建立安全組,請在 物件中groupSettings設定EnableGroupCreation物件。 如需詳細資訊,請參閱 群組設定概觀。
若要設定使用者可以使用 Microsoft Graph 在 Azure 入口網站、API 或 PowerShell 設定中建立安全組,請在 authorizationPolicy 物件中更新 allowedToCreateSecurityGroups 的 屬性defaultUserRolePermissions。
下一步
如需 Microsoft Entra ID 的詳細資訊,請參閱: