管理 Microsoft Entra 群組和群組成員資格

Microsoft Entra 群組可用來管理對於資源 (例如可能受限的應用程式和服務) 需具備相同存取權和權限的使用者。 您無須將特殊權限新增至個別使用者，而可以建立一個群組，將特殊權限套用至該群組的每個成員。

本文說明將單一群組新增至單一資源，並將使用者新增為該群組之成員的基本群組案例。 如需更複雜的案例，例如動態成員資格群組和規則建立，請參閱 Microsoft Entra 使用者管理檔。

新增群組和成員之前， 請先瞭解群組和成員資格類型 ，以協助您決定建立群組時要使用的選項。

必要條件

若要管理 entra Microsoft 中的群組，需要下列必要條件：

• 需要使用者系統管理員或群組管理員角色，才能管理群組成員資格設定。

• Azure 訂用帳戶。 如果您沒有帳戶，請建立 免費帳戶。

• 存取 Microsoft Entra 租戶。 如需詳細資訊，請參閱 建立新的租使用者。

建立基本群組並新增成員

您可使用 Microsoft Entra 系統管理中心，同時建立基本群組並新增成員。 您必須至少有指派群組 管理員 或 使用者管理員 角色，才能建立群組。 檢閱 適當的Microsoft Entra角色來管理群組。

若要建立基本群組並新增成員：

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 選取 [新增群組]。

   

4. 選取 [群組類型]。 如需群組類型的詳細資訊，請參閱 瞭解群組和成員資格類型 一文。

   • 選取 [Microsoft 365 群組類型] 會啟用 [ 群組電子郵件位址 ] 選項。

5. 輸入 [群組名稱]。選擇您將記住且對群組而言合理的名稱。 系統會執行檢查，以確認名稱是否已在使用中。 如果名稱已在使用中，系統會要求您變更群組名稱。

   • 群組的名稱不能以空格開頭。 以空格開頭的名稱可防止群組顯示為以下步驟的選項，例如將角色指派新增至群組成員。

6. 群組電子郵件位址：僅適用於Microsoft 365 群組類型。 手動輸入電子郵件地址，或使用從您提供的群組名稱建置的電子郵件地址。

7. 群組描述。 為群組新增選擇性的描述。

8. 將 [Microsoft Entra 角色可指派到群組] 設定為 [是]，以使用此群組將 Microsoft Entra 角色指派給成員。

   • 此選項僅適用於 P1 或 P2 授權。
   • 您必須至少有 特殊許可權角色管理員 角色。
   • 啟用此選項，會自動選取 [已指派] 作為成員資格類型。
   • 程序中已新增在建立群組時新增角色的能力。
   • 深入瞭解可指派角色的群組。

9. 選取 成員資格類型。 如需成員資格類型的詳細資訊，請參閱 瞭解群組和成員資格類型 一文。

10. 選擇性地新增 [擁有者] 或 [成員]。 建立群組之後，即可新增成員和擁有者。

    1. 選取 [擁有者] 或 [成員] 底下的連結，以填入目錄中每個使用者的清單。
    2. 從清單中選擇使用者，然後選取視窗底部的 [選取] 按鈕。

    

11. 選取 [建立]。 您的群組已建立，且您已可管理其他設定。

    關閉群組歡迎電子郵件

    任何使用者在新增至新的 Microsoft 365 群組時，都會傳送歡迎通知給該使用者，無論其成員資格類型為何。 當使用者或裝置的屬性變更時，就會處理組織中的所有組動態成員資格群組規則，以因應潛在的成員資格變更。 新增的使用者隨後也會收到歡迎通知。 您可以在 Exchange PowerShell 中關閉此行為。

新增群組的成員或擁有者

可從現有的群組新增成員和擁有者。 成員和擁有者的程序是相同的。 您需要 群組管理員 或 使用者管理員 角色，才能新增成員和擁有者。

注意

需要同時新增多個成員嗎？ 瞭解 大量新增成員 選項。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 選取您需要管理的群組。

4. 選取 [成員] 或 [擁有者]。

   

5. 選取 [+ 新增] (成員或擁有者)。

6. 捲動清單，或在搜尋方塊中輸入名稱。 您一次可選取多個名稱。 在準備妥當後，選取 [選取] 按鈕。

   [群組概觀] 頁面會更新，以顯示已新增至群組的成員數目。

移除群組的成員或擁有者

成員和擁有者可以從現有群組中移除。 成員和擁有者的程序是相同的。 您需要 群組管理員 或 用戶系統管理員 角色，才能移除成員和擁有者。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 選取您需要管理的群組。

4. 選取 [成員] 或 [擁有者]。

5. 從清單中核取名稱旁的方塊，然後選取 [移除] 按鈕。

   

編輯群組設定

您可以編輯群組的名稱、描述或成員資格類型。 您需要 群組管理員 或 使用者管理員 角色，才能編輯群組的設定。

若要編輯群組設定：

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 捲動清單，或在搜尋方塊中輸入群組名稱。 選取您需要管理的群組。

4. 從側邊功能表中選取 [屬性]。

5. 視需要更新 [一般設定] 資訊，包括：

   • 群組名稱。 編輯現有的群組名稱。

   • 群組描述。 編輯現有的群組描述。

   • 群組類型。 群組類型一旦建立便無法變更。 若要變更 [群組類型]，您必須先刪除群組再建立新群組。

   • 成員資格類型。 變更成員資格類型。 如果您已啟用 [Microsoft Entra 角色可指派到群組] 選項，則無法變更成員資格類型。 如需可用成員資格類型的詳細資訊，請參閱 瞭解群組和成員資格類型 一文。

   • 物件識別碼。 物件識別碼無法變更，但可以將它複製以便在 PowerShell 命令中用於群組。 如需使用 PowerShell Cmdlet 的詳細資訊，請參閱 設定群組設定Microsoft Entra Cmdlet。

將群組新增至另一個群組

對於安全性群組類型，您可以將現有群組新增至另一個群組 (也稱為巢狀群組)。 視群組成員資格類型而定，您可以將群組新增為另一個群組的成員。 巢狀群組可用於成員資格和條件式存取範圍。 巢狀群組無法存取指派給父群組的共用資源和應用程式。

我們目前不支援：

• 將群組新增至與內部部署 Active Directory 同步的群組。
• 將安全性群組新增至 Microsoft 365 群組。
• 將 Microsoft 365 群組新增至安全性群組或其他 Microsoft 365 群組。
• 已成員資格指派給巢狀安全性群組的共用資源和應用程式。
• 將授權套用至巢狀安全性群組。
• 在巢狀案例中新增通訊群組。
• 將安全性群組新增為具有郵件功能的安全性群組成員。
• 將群組新增為角色可指派群組的成員。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 在 [所有群組] 頁面上，搜尋並選取要成為另一群組之成員的群組。

   注意

   您一次只能將一個群組新增為另一個群組的成員。 [選取群組] 搜尋方塊中不支援萬用字元。

4. 在 [群組概觀] 頁面上，從側邊功能表中選取 [群組成員資格]。

5. 選取 [+ 新增成員資格]。

6. 找出您想要讓群組成為其成員的群組，然後選擇 [選取]。

   在此練習中，我們會將「MDM 原則 - 西部」新增到「MDM 原則 - 所有組織」群組。 「MDM - 原則 - 西部」群組將具有與「MDM 原則 - 所有組織」群組相同的存取權。

   

   現在，您可以檢閱 [MDM 原則 - 西部 - 群組成員資格] 頁面，以查看群組和成員資格。

   若要更詳細檢視群組和成員關係，請選取父群組名稱 ([MDM 原則 - 所有組織])，並查看 [MDM 原則 - 西部] 頁面詳細資料。

從另一個群組中移除群組

您可以從另一個安全性群組中移除現有的安全性群組；不過，移除群組時，也會移除其成員的任何繼承存取權。

1. 在 [所有群組] 頁面上，搜尋並選取要從另一個群組中移除的成員群組。

2. 在 [群組概觀] 頁面上，選取 [群組成員資格]。

3. 從 [群組成員資格] 頁面中選取父群組。

4. 選取 [移除]。

   在此練習中，我們現在將從「MDM 原則 - 所有組織」群組中移除「MDM 原則 - 西部」。

   

刪除群組

您能因為任何原因刪除群組，但通常是因為您：

• 選擇了不正確的 [群組類型] 選項。
• 誤建了重複的群組。
• 不再需要該群組。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 搜尋並選取您要刪除的群組。

4. 選取 [刪除]。

相關內容

• 了解群組和指派存取權限給群組
• 設定自助式群組
• 使用 PowerShell 命令管理群組

Microsoft Entra 群組可用來管理對於資源 (例如可能受限的應用程式和服務) 需具備相同存取權和權限的使用者。 您無須將特殊權限新增至個別使用者，而可以建立一個群組，將特殊權限套用至該群組的每個成員。

本文說明將單一群組新增至單一資源，並將使用者新增為該群組之成員的基本群組案例。 如需更複雜的案例，例如動態成員資格群組和規則建立，請參閱 Microsoft Entra 使用者管理檔。

新增群組和成員之前， 請先瞭解群組和成員資格類型 ，以協助您決定建立群組時要使用的選項。

若要管理 entra Microsoft 中的群組，需要下列必要條件：

• 需要使用者系統管理員或群組管理員角色，才能管理群組成員資格設定。

• Azure 訂用帳戶。 如果您沒有帳戶，請建立 免費帳戶。

• 存取 Microsoft Entra 租戶。 如需詳細資訊，請參閱 建立新的租使用者。

您可使用 Microsoft Entra 系統管理中心，同時建立基本群組並新增成員。 您必須至少有指派群組 管理員 或 使用者管理員 角色，才能建立群組。 檢閱 適當的Microsoft Entra角色來管理群組。

若要建立基本群組並新增成員：

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 選取 [新增群組]。

   

4. 選取 [群組類型]。 如需群組類型的詳細資訊，請參閱 瞭解群組和成員資格類型 一文。

   • 選取 [Microsoft 365 群組類型] 會啟用 [ 群組電子郵件位址 ] 選項。

5. 輸入 [群組名稱]。選擇您將記住且對群組而言合理的名稱。 系統會執行檢查，以確認名稱是否已在使用中。 如果名稱已在使用中，系統會要求您變更群組名稱。

   • 群組的名稱不能以空格開頭。 以空格開頭的名稱可防止群組顯示為以下步驟的選項，例如將角色指派新增至群組成員。

6. 群組電子郵件位址：僅適用於Microsoft 365 群組類型。 手動輸入電子郵件地址，或使用從您提供的群組名稱建置的電子郵件地址。

7. 群組描述。 為群組新增選擇性的描述。

8. 將 [Microsoft Entra 角色可指派到群組] 設定為 [是]，以使用此群組將 Microsoft Entra 角色指派給成員。

   • 此選項僅適用於 P1 或 P2 授權。
   • 您必須至少有 特殊許可權角色管理員 角色。
   • 啟用此選項，會自動選取 [已指派] 作為成員資格類型。
   • 程序中已新增在建立群組時新增角色的能力。
   • 深入瞭解可指派角色的群組。

9. 選取 成員資格類型。 如需成員資格類型的詳細資訊，請參閱 瞭解群組和成員資格類型 一文。

10. 選擇性地新增 [擁有者] 或 [成員]。 建立群組之後，即可新增成員和擁有者。

    1. 選取 [擁有者] 或 [成員] 底下的連結，以填入目錄中每個使用者的清單。
    2. 從清單中選擇使用者，然後選取視窗底部的 [選取] 按鈕。

    

11. 選取 [建立]。 您的群組已建立，且您已可管理其他設定。

    關閉群組歡迎電子郵件

    任何使用者在新增至新的 Microsoft 365 群組時，都會傳送歡迎通知給該使用者，無論其成員資格類型為何。 當使用者或裝置的屬性變更時，就會處理組織中的所有組動態成員資格群組規則，以因應潛在的成員資格變更。 新增的使用者隨後也會收到歡迎通知。 您可以在 Exchange PowerShell 中關閉此行為。

可從現有的群組新增成員和擁有者。 成員和擁有者的程序是相同的。 您需要 群組管理員 或 使用者管理員 角色，才能新增成員和擁有者。

注意

需要同時新增多個成員嗎？ 瞭解 大量新增成員 選項。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 選取您需要管理的群組。

4. 選取 [成員] 或 [擁有者]。

   

5. 選取 [+ 新增] (成員或擁有者)。

6. 捲動清單，或在搜尋方塊中輸入名稱。 您一次可選取多個名稱。 在準備妥當後，選取 [選取] 按鈕。

   [群組概觀] 頁面會更新，以顯示已新增至群組的成員數目。

成員和擁有者可以從現有群組中移除。 成員和擁有者的程序是相同的。 您需要 群組管理員 或 用戶系統管理員 角色，才能移除成員和擁有者。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 選取您需要管理的群組。

4. 選取 [成員] 或 [擁有者]。

5. 從清單中核取名稱旁的方塊，然後選取 [移除] 按鈕。

   

您可以編輯群組的名稱、描述或成員資格類型。 您需要 群組管理員 或 使用者管理員 角色，才能編輯群組的設定。

若要編輯群組設定：

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 捲動清單，或在搜尋方塊中輸入群組名稱。 選取您需要管理的群組。

4. 從側邊功能表中選取 [屬性]。

5. 視需要更新 [一般設定] 資訊，包括：

   • 群組名稱。 編輯現有的群組名稱。

   • 群組描述。 編輯現有的群組描述。

   • 群組類型。 群組類型一旦建立便無法變更。 若要變更 [群組類型]，您必須先刪除群組再建立新群組。

   • 成員資格類型。 變更成員資格類型。 如果您已啟用 [Microsoft Entra 角色可指派到群組] 選項，則無法變更成員資格類型。 如需可用成員資格類型的詳細資訊，請參閱 瞭解群組和成員資格類型 一文。

   • 物件識別碼。 物件識別碼無法變更，但可以將它複製以便在 PowerShell 命令中用於群組。 如需使用 PowerShell Cmdlet 的詳細資訊，請參閱 設定群組設定Microsoft Entra Cmdlet。

對於安全性群組類型，您可以將現有群組新增至另一個群組 (也稱為巢狀群組)。 視群組成員資格類型而定，您可以將群組新增為另一個群組的成員。 巢狀群組可用於成員資格和條件式存取範圍。 巢狀群組無法存取指派給父群組的共用資源和應用程式。

我們目前不支援：

• 將群組新增至與內部部署 Active Directory 同步的群組。
• 將安全性群組新增至 Microsoft 365 群組。
• 將 Microsoft 365 群組新增至安全性群組或其他 Microsoft 365 群組。
• 已成員資格指派給巢狀安全性群組的共用資源和應用程式。
• 將授權套用至巢狀安全性群組。
• 在巢狀案例中新增通訊群組。
• 將安全性群組新增為具有郵件功能的安全性群組成員。
• 將群組新增為角色可指派群組的成員。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 在 [所有群組] 頁面上，搜尋並選取要成為另一群組之成員的群組。

   注意

   您一次只能將一個群組新增為另一個群組的成員。 [選取群組] 搜尋方塊中不支援萬用字元。

4. 在 [群組概觀] 頁面上，從側邊功能表中選取 [群組成員資格]。

5. 選取 [+ 新增成員資格]。

6. 找出您想要讓群組成為其成員的群組，然後選擇 [選取]。

   在此練習中，我們會將「MDM 原則 - 西部」新增到「MDM 原則 - 所有組織」群組。 「MDM - 原則 - 西部」群組將具有與「MDM 原則 - 所有組織」群組相同的存取權。

   

   現在，您可以檢閱 [MDM 原則 - 西部 - 群組成員資格] 頁面，以查看群組和成員資格。

   若要更詳細檢視群組和成員關係，請選取父群組名稱 ([MDM 原則 - 所有組織])，並查看 [MDM 原則 - 西部] 頁面詳細資料。

您可以從另一個安全性群組中移除現有的安全性群組；不過，移除群組時，也會移除其成員的任何繼承存取權。

1. 在 [所有群組] 頁面上，搜尋並選取要從另一個群組中移除的成員群組。

2. 在 [群組概觀] 頁面上，選取 [群組成員資格]。

3. 從 [群組成員資格] 頁面中選取父群組。

4. 選取 [移除]。

   在此練習中，我們現在將從「MDM 原則 - 所有組織」群組中移除「MDM 原則 - 西部」。

   

您能因為任何原因刪除群組，但通常是因為您：

• 選擇了不正確的 [群組類型] 選項。
• 誤建了重複的群組。
• 不再需要該群組。

1. 以至少群組管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識符>群組>所有群組]。

3. 搜尋並選取您要刪除的群組。

4. 選取 [刪除]。