Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID
Microsoft Entra ID udostępnia funkcje samoobsługowego zarządzania grupami, które umożliwiają użytkownikom tworzenie własnych grup zabezpieczeń lub grup platformy Microsoft 365 i zarządzanie nimi. Właściciel grupy może zatwierdzać lub odrzucać żądania członkostwa i delegować kontrolę nad członkostwem w grupie. Funkcje samoobsługowego zarządzania grupami nie są dostępne dla grup zabezpieczeń ani list dystrybucyjnych z obsługą poczty.
Członkostwo w grupie samoobsługi
Możesz zezwolić użytkownikom na tworzenie grup zabezpieczeń w celu zarządzania dostępem do zasobów udostępnionych. Użytkownicy mogą tworzyć grupy zabezpieczeń z poziomu centrum administracyjnego firmy Microsoft Entra, przy użyciu programu PowerShell lub z portalu Moje grupy.
Tylko właściciele grupy mogą aktualizować członkostwo. Właściciele grup mogą zatwierdzać lub odrzucać żądania członkostwa w portalu Moje grupy. Grupy zabezpieczeń utworzone przez samoobsługę za pośrednictwem portalu Moje grupy są dostępne do dołączenia dla wszystkich użytkowników, zarówno zatwierdzonych przez właściciela, jak i automatycznie zatwierdzonych. W portalu Moje grupy można zmienić opcje członkostwa podczas tworzenia grupy.
Grupy platformy Microsoft 365 zapewniają możliwości współpracy dla użytkowników. Grupy można tworzyć w dowolnych aplikacjach platformy Microsoft 365, takich jak SharePoint i Microsoft Teams. Możesz również tworzyć grupy platformy Microsoft 365 w witrynie Azure Portal przy użyciu programu Microsoft Graph PowerShell lub portalu Moje grupy. Aby uzyskać więcej informacji na temat różnic między grupami zabezpieczeń i grupami platformy Microsoft 365, zobacz Dowiedz się więcej o grupach.
| Grupy utworzone w programie | Domyślne zachowanie grupy zabezpieczeń | Domyślne zachowanie grupy platformy Microsoft 365 |
|---|---|---|
| Microsoft Graph PowerShell | Tylko właściciele mogą dodawać członków. Widoczne, ale niedostępne do dołączenia do grup w panelu dostępu MyApp. |
Otwarty do dołączenia dla wszystkich użytkowników. |
| Portal Azure | Tylko właściciele mogą dodawać członków. Widoczne, ale niedostępne do dołączenia w portalu Moje grupy. Właściciel nie jest przypisywany automatycznie podczas tworzenia grupy. |
Otwarty do dołączenia dla wszystkich użytkowników. |
| Portal Moje grupy | Użytkownicy mogą zarządzać grupami i tutaj prosić o dostęp do dołączenia do grup. Opcje członkostwa można zmienić po utworzeniu grupy. |
Dostępne do dołączenia dla wszystkich użytkowników. Opcje członkostwa można zmienić po utworzeniu grupy. |
Scenariusze samoobsługowego zarządzania grupami
Dwa scenariusze ułatwiają wyjaśnienie samoobsługowego zarządzania grupami.
Delegowane zarządzanie grupami
W tym przykładowym scenariuszu administrator zarządza dostępem do aplikacji SaaS (Software as a Service), z których korzysta firma. Zarządzanie prawami dostępu jest kłopotliwe, więc administrator prosi właściciela firmy o utworzenie nowej grupy. Administrator przypisuje dostęp aplikacji do nowej grupy i dodaje do grupy wszystkie osoby, które już uzyskują dostęp do aplikacji. Właściciel firmy może dodawać kolejnych użytkowników, dla których aplikacja jest automatycznie aprowizowana.
Właściciel firmy nie musi czekać na administratora w celu zarządzania dostępem dla użytkowników. Jeśli administrator udzieli tego samego uprawnienia menedżerowi w innej grupie biznesowej, ta osoba może również zarządzać dostępem dla własnych członków grupy. Właściciel firmy i menedżer nie mogą wyświetlać ani zarządzać członkostwami w grupach innych osób. Administrator nadal może zobaczyć wszystkich użytkowników, którzy mają dostęp do aplikacji i w razie potrzeby zablokować prawa dostępu.
Uwaga
W przypadku scenariuszy delegowanych administrator musi mieć co najmniej rolę Administratora ról uprzywilejowanych Microsoft Entra.
Samoobsługowe zarządzanie grupami
W tym przykładowym scenariuszu dwóch użytkowników ma witryny usługi SharePoint Online skonfigurowane niezależnie. Chcą dać sobie zespołom dostęp do swoich witryn. Aby wykonać to zadanie, mogą utworzyć jedną grupę w identyfikatorze Entra firmy Microsoft. W usłudze SharePoint Online każda z nich wybiera tę grupę, aby zapewnić dostęp do swoich witryn.
Gdy ktoś chce uzyskać dostęp, zażąda go z portalu Moje grupy. Po zatwierdzeniu automatycznie uzyskują dostęp do obu witryn usługi SharePoint Online. Jeden z użytkowników może stwierdzić później, że wszystkie osoby mające dostęp do witryny powinny również mieć dostęp do określonej aplikacji SaaS. Administrator aplikacji SaaS może dodać do witryny programu SharePoint Online prawa dostępu dla aplikacji. Od tego czasu wszystkie żądania zatwierdzone zapewniają dostęp do dwóch witryn usługi SharePoint Online, a także aplikacji SaaS.
Udostępnianie grupy do samoobsługi użytkowników
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator globalny.
Wybierz Microsoft Entra ID.
Wybierz Wszystkie grupy>Grupy, a następnie wybierz ustawienia Ogólne.
Uwaga
To ustawienie ogranicza tylko dostęp do informacji o grupie w obszarze Moje grupy. Nie ogranicza dostępu do informacji o grupie za pośrednictwem innych metod, takich jak wywołania interfejsu API programu Microsoft Graph lub centrum administracyjnego firmy Microsoft Entra.
Uwaga
Zmiany dotyczące ustawień zarządzania grupami w trybie samoobsługowym są obecnie podjęte do przeglądu i odbywają się niezgodnie z pierwotnym planem. Data wycofania zostanie ogłoszona w przyszłości.
Ustaw Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panelu dostępu na Tak.
Ustaw pozycję Ogranicz możliwość dostępu użytkowników do funkcji grup w Panel dostępu na Nie.
Ustaw opcję Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynach Azure Portal, interfejsie API lub programie PowerShell na wartość Tak lub Nie.
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia grupy.
Ustaw Użytkownicy mogą tworzyć grupy Microsoft 365 w portalach Azure, interfejsach API lub PowerShell na Tak lub Nie.
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia grupy.
Możesz również użyć właścicieli, którzy mogą przypisywać członków jako właścicieli grup w portalu Azure, aby zapewnić bardziej szczegółową kontrolę dostępu nad samoobsługowym zarządzaniem grupami dla swoich użytkowników.
Gdy użytkownicy mogą tworzyć grupy, wszyscy użytkownicy w organizacji mogą tworzyć nowe grupy. Jako domyślny właściciel mogą następnie dodawać członków do tych grup. Nie można określić osób, które mogą tworzyć własne grupy. Można określić tylko osoby, które mają pełnić rolę właściciela grupy, nadając tę rolę innemu członkowi grupy.
Uwaga
Licencja microsoft Entra ID P1 lub P2 jest wymagana, aby użytkownicy prosili o dołączenie do grupy zabezpieczeń lub grupy platformy Microsoft 365 oraz do zatwierdzenia lub odmowy żądań członkostwa przez właścicieli. Bez licencji Microsoft Entra ID P1 lub P2 użytkownicy nadal mogą zarządzać swoimi grupami w Panelu dostępu MyApp Groups. Nie mogą jednak utworzyć grupy wymagającej zatwierdzenia właściciela i nie mogą poprosić o dołączenie do grupy.
Ustawienia grupy
Ustawienia grupy umożliwiają kontrolowanie, kto może tworzyć grupy zabezpieczeń i grup platformy Microsoft 365.
Poniższa tabela ułatwia podjęcie decyzji o tym, które wartości należy wybrać.
| Ustawienie | Wartość | Wpływ na najemcę |
|---|---|---|
| Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portal, interfejsie API lub programie PowerShell. | Tak | Wszyscy użytkownicy w organizacji firmy Microsoft Entra mogą tworzyć nowe grupy zabezpieczeń i dodawać członków do tych grup w witrynie Azure Portal, interfejsie API lub programie PowerShell. Te nowe grupy są również wyświetlane w Panel dostępu dla wszystkich innych użytkowników. Jeśli ustawienie zasad grupy to umożliwia, inni użytkownicy mogą tworzyć żądania, aby dołączyć do tych grup. |
| Nie. | Użytkownicy nie mogą tworzyć grup zabezpieczeń. Nadal mogą zarządzać członkostwem grup, dla których są właścicielami i zatwierdzać żądania od innych użytkowników, aby dołączyć do swoich grup. | |
| Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynie Azure Portal, interfejsie API lub programie PowerShell. | Tak | Wszyscy użytkownicy w organizacji microsoft Entra mogą tworzyć nowe grupy platformy Microsoft 365 i dodawać członków do tych grup w witrynie Azure Portal, interfejsie API lub programie PowerShell. Te nowe grupy są również wyświetlane w Panel dostępu dla wszystkich innych użytkowników. Jeśli ustawienie zasad grupy to umożliwia, inni użytkownicy mogą tworzyć żądania, aby dołączyć do tych grup. |
| Nie. | Użytkownicy nie mogą tworzyć grup platformy Microsoft 365. Nadal mogą zarządzać członkostwem grup, dla których są właścicielami i zatwierdzać żądania od innych użytkowników, aby dołączyć do swoich grup. |
Poniżej przedstawiono więcej szczegółów dotyczących tych ustawień grupy:
- Zastosowanie tych ustawień może potrwać do 15 minut.
- Jeśli chcesz włączyć niektóre, ale nie wszystkie użytkowników do tworzenia grup, możesz przypisać tym użytkownikom rolę, która może tworzyć grupy, takie jak Administrator grup.
- Te ustawienia są przeznaczone dla użytkowników i nie mają wpływu na jednostki usługi. Jeśli na przykład masz jednostkę usługi z uprawnieniami do tworzenia grup, nawet jeśli te ustawienia zostały ustawione na Nie, jednostka usługi może nadal tworzyć grupy.
Konfigurowanie ustawień grupy przy użyciu programu Microsoft Graph
Aby skonfigurować ustawienia Użytkownicy mogą tworzyć grupy Microsoft 365 w portalach Azure, interfejsie API lub PowerShell poprzez Microsoft Graph, skonfiguruj obiekt EnableGroupCreation w obiekcie groupSettings. Aby uzyskać więcej informacji, zobacz Omówienie ustawień grupy.
Aby skonfigurować ustawienie Użytkownicy mogą tworzyć grupy zabezpieczeń na portalach Azure, w API lub PowerShell przy użyciu Microsoft Graph, zaktualizuj allowedToCreateSecurityGroups właściwość defaultUserRolePermissions w obiekcie authorizationPolicy.
Następne kroki
Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz: