你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

管理 Azure Active Directory 组和组成员身份

Azure Active Directory (Azure AD) 组用于管理用户,这些用户全都需要对资源(例如可能受限的应用和服务)具有相同的访问权限和权限。 无需向单个用户添加特殊权限,而是创建一个组,并将特殊权限应用于该组的每个成员。

本文介绍了将单个组添加到单个资源并将用户作为成员添加到该组的基本组方案。 有关动态成员身份和规则创建等更复杂的方案,请参阅 Azure Active Directory 用户管理文档

在添加组和成员之前,请了解组和成员身份类型,以帮助确定创建组时要使用的选项。

创建基本组并添加成员

可以使用 Azure Active Directory (Azure AD) 门户创建基本组并同时添加成员。 可以管理组的 Azure AD 角色包括“组管理员”、“用户管理员”、“特权角色管理员”或“全局管理员”。 查看用于管理组的相应 Azure AD 角色

创建基本组并添加成员:

  1. 登录到 Azure 门户

  2. 转到“Azure Active Directory”>“组”>“新建组”。

    “Azure AD 组”页的屏幕截图,其中突出显示了“新建组”选项。

  3. 选择一个组类型。 有关组类型的详细信息,请参阅了解组和成员身份类型一文。

    • 选择“Microsoft 365”组类型可启用“组电子邮件地址”选项。
  4. 输入一个组名称。选择一个容易记住并对该组来说有意义的名称。 将执行检查以确定该名称是否已在使用中。 如果该名称已在使用中,系统将要求你更改组的名称。

  5. 组电子邮件地址:仅适用于 Microsoft 365 组类型。 手动输入电子邮件地址或使用基于提供的组名称生成的电子邮件地址。

  6. 组说明。 向组添加说明(可选操作)。

  7. 将“可以将 Azure AD 角色分配给组”设置切换为“是”,以使用此组将 Azure AD 角色分配给成员。

    • 此选项仅适用于 Premium P1 或 P2 许可证。
    • 必须具有“特权角色管理员”或“全局管理员”角色。
    • 启用此选项会自动选择“已分配”作为成员身份类型。
    • 已在相关过程中添加在创建组时添加角色的功能。
    • 详细了解可分配角色的组
  8. 选择一个成员身份类型。有关成员身份类型的详细信息,请参阅了解组和成员身份类型一文。

  9. (可选)添加所有者或成员。 创建组后,可以添加成员和所有者。

    1. 选择“所有者”或“成员”下的链接,以填充目录中每个用户的列表。
    2. 从列表中选择用户,然后选择窗口底部的“选择”按钮。

    在组创建过程中选择组成员的屏幕截图。

  10. 选择“创建”。 随即将创建组,该组已准备就绪,可供管理其他设置。

关闭组欢迎电子邮件

每个用户都会在其被添加到新的 Microsoft 365 组时收到欢迎通知,无论成员身份类型如何。 当用户或设备的某个属性发生更改时,将处理组织中的所有动态组规则以进行潜在的成员身份更改。 添加的用户也会收到欢迎通知。 可以在 Exchange PowerShell 中关闭此行为。

添加或删除成员和所有者

可以在现有 Azure AD 组中添加和删除成员和所有者。 对于成员和所有者,该过程是相同的。 需要“组管理员”或“用户管理员”角色才能添加和删除成员和所有者。

需要一次添加多个成员? 了解批量添加成员选项。

添加组的成员或所有者:

  1. 登录到 Azure 门户

  2. 转到“Azure Active Directory”>“组”。

  3. 选择需要管理的组。

  4. 选择“成员”或“所有者”。

    “组概述”页的屏幕截图,其中突出显示了“成员”和“所有者”菜单选项。

  5. 选择“+ 添加”(成员或所有者)。

  6. 滚动浏览列表或在搜索框中输入名字。 可以一次选择多个名字。 准备好后,选择“选择”按钮。

    “组概述”页面将更新,以显示当前添加到组的成员数。

删除组的成员或所有者:

  1. 转到“Azure Active Directory”>“组”。

  2. 选择需要管理的组。

  3. 选择“成员”或“所有者”。

  4. 选中列表中的名字旁边的框,然后选择“删除”按钮。

    组成员的屏幕截图,已在其中选择一个名字,并突出显示“删除”按钮。

编辑组设置

使用 Azure AD,可编辑组的名称、描述或成员身份类型。 需要“组管理员”或“用户管理员”角色才能编辑组的设置。

编辑组设置:

  1. 登录到 Azure 门户

  2. 转到“Azure Active Directory”>“组”。 此时会出现“组 - 所有组”页,其中显示了所有活动的组

  3. 滚动浏览列表或在搜索框中输入组名称。 选择需要管理的组。

  4. 在侧菜单中选择“属性”。

    “组概述”页的屏幕截图,其中突出显示了“属性”菜单选项。

  5. 按所需更新“常规设置”信息,包括

    • 组名称。 编辑现有组名称。

    • 组说明。 编辑现有组说明。

    • 组类型。 创建组类型后将无法更改。 若要更改“组类型”,则必须删除该组并创建新组

    • 成员身份类型。 更改成员身份类型。 如果已启用“可以将 Azure AD 角色分配给组”选项,则无法更改成员身份类型。 有关可用成员身份类型的详细信息,请参阅了解组和成员身份类型一文。

    • 对象 ID。 无法更改对象 ID,但可将其复制以在组的 PowerShell 命令中使用。 有关 PowerShell cmdlet 的详细信息,请参阅用于配置组设置的 Azure Active Directory cmdlet

从另一个组中添加或删除组

可以将现有安全组添加到另一个安全组(也称为“嵌套组”)。 根据组类型,可以将一个组作为另一个组的成员添加,就像用户一样,这会将角色和访问权限等设置应用于嵌套组。 需要“组管理员”或“用户管理员”角色才能编辑组成员身份。

我们目前不支持:

  • 将组添加到与本地 Active Directory 同步的组。
  • 将安全组添加到 Microsoft 365 组。
  • 将 Microsoft 365 组添加到安全组或其他 Microsoft 365 组。
  • 将应用分配到嵌套组。
  • 将许可证应用于嵌套组。
  • 在嵌套方案中添加通讯组。
  • 将安全组添加为启用了邮件的安全组的成员。
  • 将组添加为可分配角色组的成员。

将组添加到另一个组

  1. 登录到 Azure 门户

  2. 转到“Azure Active Directory”>“组”。

  3. 在“组 - 所有组”页上,搜索并选择要成为另一个组的成员的组。

    注意

    一次只可以将组作为成员添加到另一个组。 “选择组”搜索框中不支持通配符。

  4. 在组“概述”页上,从侧菜单中选择“组成员身份”。

  5. 选择“+ 添加成员身份”。

  6. 找到希望你的组成为其成员的组,然后选择“选择”。

    在本练习中,我们将在“MDM 策略 - 所有组织”组中添加“MDM 策略 - 西部”。 “MDM - 策略 - 西部”组将具有与“MDM 策略 - 所有组织”组相同的访问权限。

    使一个组成为另一个组的成员的屏幕截图,突出显示了侧菜单中的“组成员身份”和“添加成员身份”选项。

现在可以查看“MDM 策略 - 西部 - 组成员身份”页,以查看组和成员关系。

有关组和成员关系的更加详细的视图,请选择父组名称(MDM 策略 - 所有组织)并查看“MDM 策略 - 西部”页详细信息。

从另一个组中删除组

可以从另一个安全组中移除现有安全组;但是,移除组时也会移除其成员继承的任何访问权限。

  1. 在“组 - 所有组”页上,搜索并选择需要作为其他组成员进行删除的组。

  2. 在组“概述”页上,选择“组成员身份”。

  3. 从“组成员身份”页中选择父组。

  4. 选择“删除” 。

    在本练习中,我们现在将从“MDM 策略 - 所有组织”组中删除“MDM 策略 - 西部”。

    显示成员和组详细信息的“组成员身份”页屏幕截图,其中突出显示了“删除成员身份”选项。

删除组

可以因为各种原因删除 Azure AD 组,但通常是因为:

  • 选择的“组类型”选项不正确。

  • 错误地创建了重复组。

  • 不再需要组。

需要“组管理员”或“用户管理员”角色才能删除组。

  1. 登录到 Azure 门户

  2. 转到“Azure Active Directory”>“组”。

  3. 搜索并选择要删除的组。

  4. 选择“删除”。

    将从 Azure Active Directory 租户中删除组。

后续步骤