編輯

共用方式為


管理 Microsoft Entra 群組和群組成員資格

Microsoft Entra 群組可用來管理對於資源 (例如可能受限的應用程式和服務) 需具備相同存取權和權限的使用者。 您無須將特殊權限新增至個別使用者,而可以建立一個群組,將特殊權限套用至該群組的每個成員。

本文說明將單一群組新增至單一資源,並將使用者新增為該群組之成員的基本群組案例。 有關更複雜的案例 (例如組動態成員資格群組及規則建立),請參閱 Microsoft Entra 使用者管理文件

新增群組和成員之前,請先了解群組和成員資格類型,以利決定您在建立群組時所應使用的選項。

必要條件

建立基本群組並新增成員

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

您可使用 Microsoft Entra 系統管理中心,同時建立基本群組並新增成員。 您必須至少有獲指派群組管理員使用者管理員角色來建立群組。 檢閱可供管理群組的適當 Microsoft Entra 角色

若要建立基本群組並新增成員:

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 選取新增群組

    [Microsoft Entra 群組] 頁面的螢幕擷取畫面,其中已醒目提示 [新增群組] 選項。

  4. 選取 [群組類型]。 如需群組類型的詳細資訊,請參閱了解群組和成員資格類型一文。

    • 選取 Microsoft 365 群組類型會啟用 [群組電子郵件地址] 選項。
  5. 輸入 [群組名稱]。選擇您將記住且對群組而言合理的名稱。 系統會執行檢查,以確認名稱是否已在使用中。 如果名稱已在使用中,系統會要求您變更群組名稱。

    • 群組的名稱不能以空格開頭。 以空格開頭的名稱可防止群組顯示為以下步驟的選項,例如將角色指派新增至群組成員。
  6. 群組電子郵件地址:僅適用於 Microsoft 365 群組類型。 手動輸入電子郵件地址,或使用從您提供的群組名稱建置的電子郵件地址。

  7. 群組描述。 為群組新增選擇性的描述。

  8. 將 [Microsoft Entra 角色可指派到群組] 設定為 [是],以使用此群組將 Microsoft Entra 角色指派給成員。

    • 此選項僅適用於 P1 或 P2 授權。
    • 您必須至少有特殊權限角色管理員角色。
    • 啟用此選項,會自動選取 [已指派] 作為成員資格類型。
    • 程序中已新增在建立群組時新增角色的能力。
    • 深入了解可指派角色的群組
  9. 選取 [成員資格類型]。如需成員資格類型的詳細資訊,請參閱了解群組和成員資格類型一文。

  10. 選擇性地新增 [擁有者] 或 [成員]。 建立群組之後,即可新增成員和擁有者。

    1. 選取 [擁有者] 或 [成員] 底下的連結,以填入目錄中每個使用者的清單。
    2. 從清單中選擇使用者,然後選取視窗底部的 [選取] 按鈕。

    在群組建立程序期間選取群組成員的螢幕擷取畫面。

  11. 選取 建立。 您的群組已建立,且您已可管理其他設定。

    關閉群組歡迎電子郵件

    任何使用者在新增至新的 Microsoft 365 群組時,都會傳送歡迎通知給該使用者,無論其成員資格類型為何。 當使用者或裝置的屬性變更時,就會處理組織中的所有組動態成員資格群組規則,以因應潛在的成員資格變更。 新增的使用者隨後也會收到歡迎通知。 您可以在 Exchange PowerShell 中關閉此行為。

新增群組的成員或擁有者

可從現有的群組新增成員和擁有者。 成員和擁有者的程序是相同的。 您必須具備群組管理員使用者管理員角色,才能新增成員和擁有者。

需要同時新增多個成員嗎? 了解大量新增成員選項。

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 選取您需要管理的群組。

  4. 選取 [成員] 或 [擁有者]

    [群組概觀] 頁面的螢幕擷取畫面,其中已醒目提示 [成員和擁有者] 功能表選項。

  5. 選取 [+ 新增] (成員或擁有者)。

  6. 捲動清單,或在搜尋方塊中輸入名稱。 您一次可選取多個名稱。 在準備妥當後,選取 [選取] 按鈕。

    [群組概觀] 頁面會更新,以顯示已新增至群組的成員數目。

移除群組的成員或擁有者

成員和擁有者可以從現有群組中移除。 成員和擁有者的程序是相同的。 您必須具備群組管理員使用者管理員角色,才能移除成員和擁有者。

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 選取您需要管理的群組。

  4. 選取 [成員] 或 [擁有者]

  5. 從清單中核取名稱旁的方塊,然後選取 [移除] 按鈕。

    群組成員的螢幕擷取畫面,其中已選取名稱,並醒目提示了 [移除] 按鈕。

編輯群組設定

您可以編輯群組的名稱、描述或成員資格類型。 您必須具備群組管理員使用者管理員角色,才能編輯群組的設定。

若要編輯群組設定:

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 捲動清單,或在搜尋方塊中輸入群組名稱。 選取您需要管理的群組。

  4. 從側邊功能表中選取 [屬性]

  5. 視需要更新 [一般設定] 資訊,包括:

    • 群組名稱。 編輯現有的群組名稱。

    • 群組描述。 編輯現有的群組描述。

    • 群組類型。 群組類型一旦建立便無法變更。 若要變更 [群組類型],您必須先刪除群組再建立新群組。

    • 成員資格類型。 變更成員資格類型。 如果您已啟用 [Microsoft Entra 角色可指派到群組] 選項,則無法變更成員資格類型。 如需可用成員資格類型的詳細資訊,請參閱了解群組和成員資格類型一文。

    • 物件識別碼。 物件識別碼無法變更,但可以將它複製以便在 PowerShell 命令中用於群組。 如需使用 PowerShell Cmdlet 的詳細資訊,請參閱用於進行群組設定的 Microsoft Entra Cmdlet

將群組新增至另一個群組

對於安全性群組類型,您可以將現有群組新增至另一個群組 (也稱為巢狀群組)。 視群組成員資格類型而定,您可以將群組新增為另一個群組的成員,就像使用者一樣,這會將存取權限和角色之類的設定套用到巢狀群組。 但是對於巢狀群組,Entra 不會將指派的成員資格套用至共用資源和應用程式。

您必須具備群組管理員使用者管理員角色,才能編輯群組成員資格。 如需安全性群組的詳細資訊,請參閱建立群組之前的須知

我們目前不支援:

  • 將群組新增至與內部部署 Active Directory 同步的群組。
  • 將安全性群組新增至 Microsoft 365 群組。
  • 將 Microsoft 365 群組新增至安全性群組或其他 Microsoft 365 群組。
  • 已成員資格指派給巢狀安全性群組的共用資源和應用程式。
  • 將授權套用至巢狀安全性群組。
  • 在巢狀案例中新增通訊群組。
  • 將安全性群組新增為具有郵件功能的安全性群組成員。
  • 將群組新增為角色可指派群組的成員。
  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 在 [所有群組] 頁面上,搜尋並選取要成為另一群組之成員的群組。

    注意

    您一次只能將一個群組新增為另一個群組的成員。 [選取群組] 搜尋方塊中不支援萬用字元。

  4. 在 [群組概觀] 頁面上,從側邊功能表中選取 [群組成員資格]

  5. 選取 [+ 新增成員資格]

  6. 找出您想要讓群組成為其成員的群組,然後選擇 [選取]

    在此練習中,我們會將「MDM 原則 - 西部」新增到「MDM 原則 - 所有組織」群組。 「MDM - 原則 - 西部」群組將具有與「MDM 原則 - 所有組織」群組相同的存取權。

    為另一個群組建立成員群組的螢幕擷取畫面,其中醒目提示了側邊功能表中的 [群組成員資格] 和 [新增成員資格] 選項。

    現在,您可以檢閱 [MDM 原則 - 西部 - 群組成員資格] 頁面,以查看群組和成員資格。

    若要更詳細檢視群組和成員關係,請選取父群組名稱 ([MDM 原則 - 所有組織]),並查看 [MDM 原則 - 西部] 頁面詳細資料。

從另一個群組中移除群組

對於安全性群組類型,您可以將現有群組新增至另一個群組 (也稱為巢狀群組)。 視群組成員資格類型而定,您可以將群組新增為另一個群組的成員,就像使用者一樣,這會將存取權限和角色之類的設定套用到巢狀群組。 但是對於巢狀群組,Entra 不會將指派的成員資格套用至共用資源和應用程式。

您必須具備群組管理員使用者管理員角色,才能編輯群組成員資格。 如需安全性群組的詳細資訊,請參閱建立群組之前的須知

您可以從另一個安全性群組中移除現有的安全性群組;不過,移除群組時,也會移除其成員的任何繼承存取權。

  1. 在 [所有群組] 頁面上,搜尋並選取要從另一個群組中移除的成員群組。

  2. 在 [群組概觀] 頁面上,選取 [群組成員資格]

  3. 從 [群組成員資格] 頁面中選取父群組。

  4. 選取 [移除]。

    在此練習中,我們現在將從「MDM 原則 - 所有組織」群組中移除「MDM 原則 - 西部」。

    [群組成員資格] 頁面的螢幕擷取畫面,其中顯示成員和群組詳細資料,並醒目提示了 [移除成員資格] 選項。

刪除群組

您能因為任何原因刪除群組,但通常是因為您:

  • 選擇了不正確的 [群組類型] 選項。
  • 誤建了重複的群組。
  • 不再需要該群組。
  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 搜尋並選取您要刪除的群組。

  4. 選取 [刪除]