管理 Microsoft 365 组
此文章适用于 Microsoft 365 企业版和 Office 365 企业版。
可以根据配置以多种不同方式管理Microsoft 365 个组。 可以在 Microsoft 365 管理中心、PowerShell、Active Directory 域服务 (AD DS) 或 Microsoft Entra 管理中心管理用户帐户。
规划管理组的位置和方式
在何处以及如何管理用户帐户取决于要用于 Microsoft 365 的标识模型。 两个整体模型是仅限云模型和混合模型。
仅限云
使用创建和管理组:
混合
若要管理混合组,可以使用用于仅限云组的相同工具。 AD DS 组与 AD DS 中的 Microsoft 365 同步,因此必须使用本地 AD DS 工具来管理这些组。
还可以创建和管理Microsoft Entra 组,这些组独立于 AD DS 组,但可以包含 AD DS 中的用户和组。
允许用户创建和管理自己的组
Microsoft Entra ID 允许由组所有者而不是 IT 管理员管理的组。 此功能称为 自助服务组管理,允许未分配管理角色的组所有者创建和管理安全组。
用户可以请求安全组中的成员身份,该请求将传递给组所有者,而不是 IT 管理员。 这允许将组成员身份的日常控制委托给了解组的业务用途并可以管理其成员身份的团队、项目或业务所有者。
注意
自助服务组管理仅适用于 Microsoft Entra 安全性和 Microsoft 365 个组。 它不适用于已启用邮件的组、通讯组列表或已从 AD DS 同步的任何组。
有关详细信息,请参阅为 自助服务管理配置 Microsoft Entra 组的说明。
设置动态组成员身份
Microsoft Entra ID 支持配置一系列规则,这些规则自动添加或删除用户帐户作为Microsoft Entra 组的成员。 这称为动态组成员身份。 这些规则将基于用户帐户属性,如部门或国家/地区。
下面是如何应用这些规则:
- 如果新用户帐户符合组的所有规则,则其会变为成员。
- 如果用户帐户不是组成员,但其属性更改,以便其匹配组的所有规则,则其会变为该组的成员。
- 如果用户帐户不匹配组的所有规则,则其不会添加到组。
- 如果用户帐户是组的成员,但其属性发生更改,使其不再匹配组的所有规则,则会将其删除为组的成员。
若要使用动态成员身份,必须首先确定具有一组通用用户帐户属性的组。 例如,销售部门的所有成员都应位于“销售Microsoft Entra”组中,具体取决于设置为“Sales”的用户帐户属性。
请参阅为 动态Microsoft Entra 组创建和配置规则的说明。
设置自动许可
可以在 Entra ID Microsoft配置安全组,以自动将一组订阅中的许可证分配给组的所有成员。 这称为基于组的许可。 如果将某个用户帐户添加到组或从组中删除,则该组订阅的许可证将被自动分配或取消分配给该用户帐户。
对于 Microsoft 365 企业版,你将配置 Microsoft Entra 安全组,以分配相应的 Microsoft 365 企业版许可证。
确保所有组成员都有足够的许可证。 如果许可证用完,将不会向新用户分配许可证,直到许可证可用。
注意
不应为包含 Azure 企业到企业 (B2B) 帐户的组配置“基于组的许可”。
有关详细信息,请参阅 Microsoft Entra ID 中的基于组的许可基础知识。