Tworzenie grup i zarządzanie nimi
Grupa Microsoft Entra pomaga organizować użytkowników, co ułatwia zarządzanie uprawnieniami. Użycie grup umożliwia właścicielowi zasobu (lub właścicielowi katalogu entra firmy Microsoft) przypisanie zestawu uprawnień dostępu do wszystkich członków grupy, zamiast podać prawa jeden po drugim. Grupy umożliwiają zdefiniowanie granicy zabezpieczeń, a następnie dodawanie i usuwanie określonych użytkowników w celu udzielenia lub odmowy dostępu przy minimalnym wysiłku. Jeszcze lepiej, microsoft Entra ID obsługuje możliwość definiowania członkostwa na podstawie reguł, takich jak dział, w jakim działa użytkownik, lub stanowisko, które mają.
Microsoft Entra ID umożliwia zdefiniowanie dwóch różnych typów grup.
Grupy zabezpieczeń: są one najczęściej używane do zarządzania dostępem członków i komputerów do zasobów udostępnionych dla grupy użytkowników. Na przykład można utworzyć grupę zabezpieczeń dla konkretnych zasad zabezpieczeń. Dzięki temu można nadać zestaw uprawnień wszystkim członkom jednocześnie, zamiast dodawać uprawnienia do każdego członka indywidualnie. Ta opcja wymaga administratora firmy Microsoft Entra.
Grupy platformy Microsoft 365: te grupy zapewniają możliwości współpracy, zapewniając członkom dostęp do udostępnionej skrzynki pocztowej, kalendarza, plików, witryny programu SharePoint i nie tylko. Ta opcja umożliwia także udzielenie dostępu do grupy osobom spoza organizacji. Ta opcja jest dostępna dla użytkowników oraz administratorów.
Wyświetlanie dostępnych grup
Możesz wyświetlić wszystkie grupy, wybierając pozycję Grupy, a następnie pozycję Przegląd w okienku po lewej stronie w centrum administracyjnym firmy Microsoft Entra. Nowa instalacja identyfikatora Entra firmy Microsoft nie będzie miała zdefiniowanych grup.
Dodawanie grup do identyfikatora Entra firmy Microsoft
Centrum administracyjne firmy Microsoft Entra jest najprostszym sposobem tworzenia grup. Musisz wybrać typ grupy (zabezpieczenia lub Microsoft 365), przypisać unikatową nazwę oraz dodać opis i typ członkostwa.
Pole typu członkostwa może mieć jedną z trzech wartości:
Przypisane. Grupa będzie zawierać wybranych użytkowników lub grupy.
Użytkownik dynamiczny. Reguły można tworzyć na podstawie cech, aby umożliwić członkostw dynamicznych opartych na atrybutach dla grup. Na przykład jeśli użytkownik pracuje w dziale sprzedaży, zostanie on dynamicznie przypisany do grupy sprzedaży.
Można użyć grup zabezpieczeń dla urządzeń lub użytkowników, ale można używać tylko Grupy Microsoft 365 dla grup użytkowników. Jeśli dział użytkownika zmieni się w przyszłości, zostanie on automatycznie usunięty z grupy. Ta funkcja wymaga licencji Microsoft Entra ID P1.
Urządzenie dynamiczne. Reguły można tworzyć na podstawie cech, aby umożliwić członkostw dynamicznych opartych na atrybutach dla grup. Jeśli na przykład urządzenie użytkownika jest skojarzone z działem usługi, to urządzenie zostanie dynamicznie przypisane do grupy usług.
Można użyć grup zabezpieczeń dla urządzeń lub użytkowników, ale można używać tylko Grupy Microsoft 365 dla grup użytkowników. Jeśli skojarzenie urządzenia z określonym działem zmieni się w przyszłości, zostanie ono automatycznie usunięte z grupy. Ta funkcja wymaga licencji Microsoft Entra ID P1.
Na koniec możesz wybrać właścicieli grup, którzy mogą administrować grupą i członkami, które będą należeć do grupy. Oba typy mogą zawierać inne grupy oraz poszczególnych użytkowników.
Tworzenie grup za pomocą skryptów
Możesz również użyć programu Microsoft Graph PowerShell, aby dodać grupę przy użyciu polecenia New-MgGroup , jak pokazano poniżej:
New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False
Zmiana członkostwa w grupie
Po utworzeniu grupy można dodawać lub usuwać użytkowników (lub grupy), edytując członkostwo w grupie. Wybierz grupę i użyj opcji w sekcji Zarządzanie .
