在 Azure Active Directory 中設定自助群組管理功能

您也可以讓使用者在 Azure Active Directory (Azure AD) (Microsoft Entra 的一部分) 中建立及管理自己的安全性群組或 Microsoft 365 群組。 群組的擁有者可以核准或拒絕成員資格要求,也可以委派對群組成員資格的控制。 自助式群組管理功能不適用於 啟用郵件功能的安全性群組或通訊群組清單

自助式群組成員資格

您可以允許使用者建立安全性群組,以用來管理共用資源的存取權。 您可以在 Azure 入口網站中使用 Azure AD PowerShell,或從 MyApps 群組存取面板建立安全性群組。 只有群組的擁有者可以更新成員資格,但您可以讓群組擁有者能夠從 MyApp Groups 存取面板核准或拒絕成員資格要求。 透過 MyApps 群組存取面板建立的安全性群組可供所有使用者加入,無論是擁有者核准或自動核准。 在 [MyApps 群組存取] 面板中,您可以在建立群組時變更成員資格選項。

Microsoft 365 群組可為使用者提供共同作業機會,可在任何 Microsoft 365 應用程式中建立,例如 SharePoint、Microsoft Teams 和 Planner。 您也可以使用 Azure AD PowerShell,或從 MyApp Groups 存取面板,在 Azure 入口網站中建立 Microsoft 365 群組。 如需安全性群組與 Microsoft 365 群組之間差異的詳細資訊,請參閱 瞭解群組

在群組中建立 安全性群組預設行為 Microsoft 365 群組預設行為
Azure AD PowerShell 只有擁有者可以新增成員
在 MyApp Groups 存取面板中顯示但無法加入
對所有使用者開放以加入
Azure 入口網站 只有擁有者可以新增成員
在 MyApp Groups 存取面板中顯示但無法加入
群組建立時不會自動指派擁有者
對所有使用者開放以加入
MyApps 群組存取面板 對所有使用者開放以加入
建立群組時,可以變更成員資格選項
對所有使用者開放以加入
建立群組時,可以變更成員資格選項

自助群組管理情節

  • 委派的群組管理 例如,管理軟體即服務存取權的系統管理員, (SaaS) 公司正在使用的應用程式。 管理這些存取權限會變得很麻煩,所以此系統管理員會要求企業業主建立新的群組。 系統管理員會將應用程式的存取權指派給新群組,並新增至所有人員已存取該應用程式的群組。 接著,企業業主可以新增更多使用者,而且這些使用者會自動佈建到應用程式。 企業業主不需要等待系統管理員管理使用者的存取權。 如果系統管理員對不同商務群組中的經理授與相同的許可權,該人員也可以管理自己群組成員的存取權。 企業業主或管理員都不可以檢視或管理彼此的群組成員資格。 系統管理員仍然可以看到可以存取應用程式的所有使用者,並視需要封鎖存取權。
  • 自助式群組管理:此案例的其中一個範例是都已獨立設定 SharePoint Online 網站的兩個使用者。 他們想要賦與彼此團隊各自網站的存取權。 為了達成此目的,他們可以在 Azure AD 中建立一個群組,並各自在 SharePoint Online 中選取該群組來提供對他們網站的存取權。 當有人想要存取時,他們會向 MyApp 群組存取面板要求,並在核准之後自動取得這兩個 SharePoint Online 網站的存取權。 之後,其中一個人會決定存取網站的所有人員也可以存取特定的 SaaS 應用程式。 SaaS 應用程式的系統管理員可以將此應用程式的存取權限新增到 SharePoint Online 網站。 接著,取得核准的任何要求都會授與這兩個 SharePoint Online 網站的存取權,以及此 SaaS 應用程式。

提供可供使用者自助服務的群組

  1. 使用已指派目錄的全域管理員或群組管理員角色的帳戶,登入到 Azure 入口網站Azure AD 系統管理中心

  2. 選取 [群組],然後選取 [一般] 設定。

    Azure Active Directory 群組一般設定。

  3. 將 [擁有者可以在存取面板中管理群組成員資格要求] 設定為 [是]。

  4. 將 [限制使用者存取存取面板中的群組功能的能力] 設定為 [否]。

  5. 將 [使用者可在 Azure 入口網站、API 或 PowerShell 中建立安全性群組] 設定為 [是] 或 [否]。

    如需此設定的詳細資訊,請參閱下一節的群組設定

  6. 將 [使用者可在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組] 設定為 [是] 或 [否]。

    如需此設定的詳細資訊,請參閱下一節的群組設定

您也可以使用可在 Azure 入口網站中將成員指派為群組擁有者的擁有者,為您的使用者實現對自助群組管理更細微的存取控制。

當使用者可以建立群組時,您組織中的所有使用者都允許建立新群組,然後可以作為預設擁有者向這些群組新增成員。 您不能指定可以建立自己群組的個人。 您只能指定個人讓另一個群組成員成為群組擁有者。

注意

使用者需要 Azure Active Directory Premium (P1 或 P2) 授權才能要求加入安全性群組或 Microsoft 365 群組,擁有者需要核准或拒絕成員資格要求。 如果沒有Azure Active Directory Premium授權,使用者仍然可以在 MyApp Groups 存取面板中管理其群組,但無法建立需要擁有者核准且無法要求加入群組的群組。

群組設定

群組設定可讓您控制誰可以建立安全性和 Microsoft 365 群組。

Azure Active Directory 安全性群組設定變更。

以下表格可協助您決定要選擇的值。

設定 對您租用戶的影響
使用者可在 Azure 入口網站、API 或 PowerShell 中建立安全性群組 Yes Azure AD 組織中的所有使用者都可以在 Azure 入口網站、API 或 PowerShell 中建立新的安全性群組並向這些群組新增成員。 這些新的群組也會顯示在其他所有使用者的 [存取面板] 中。 如果群組的原則設定允許,其他使用者可以建立加入這些群組的要求。
No 使用者無法建立安全性群組也無法變更其擁有者的現有群組。 不過,他們仍然可以管理這些群組的成員資格,以及核准其他使用者加入其群組的要求。
使用者可在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組 Yes Azure AD 組織中的所有使用者都可以在 Azure 入口網站、API 或 PowerShell 中建立新的 Microsoft 365 群組並向這些群組新增成員。 這些新的群組也會顯示在其他所有使用者的 [存取面板] 中。 如果群組的原則設定允許,其他使用者可以建立加入這些群組的要求。
No 使用者無法建立 Microsoft 365 群組也無法變更其擁有者的現有群組。 不過,他們仍然可以管理這些群組的成員資格,以及核准其他使用者加入其群組的要求。

以下是關於這些群組設定的一些其他詳細資訊。

  • 這些設定最多需要 15 分鐘才能生效。
  • 如果您想讓部分 (但不是全部) 使用者建立群組,您可以為這些使用者指派可以建立群組的角色,如群組管理員
  • 這些設定適用於使用者,且不會影響服務主體。 例如,如果您的服務主體具有建立群組的權限,即使您將這些設定設定為 [否],該服務主體仍可以建立群組。

後續步驟

這些文章提供有關 Azure Active Directory 的其他資訊。