Compartilhar via


Configurar o gerenciamento de grupos de autoatendimento no Microsoft Entra ID | Microsoft Docs

Você pode habilitar os usuários a criar e gerenciar os próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar solicitações de associação e delegar o controle de associação de grupo. Os recursos de gerenciamento de grupos de autoatendimento não estão disponíveis para grupos de segurança habilitados para email ou listas de distribuição.

Associação de grupo de autoatendimento

Permita que os usuários criem grupos de segurança, que são usados para gerenciar o acesso a recursos compartilhados. Os usuários podem criar grupos de segurança no portal do Azure usando o PowerShell do Azure AD (Azure Active Directory) ou no portal Meus Grupos.

Captura de tela que mostra o portal Meus Grupos.

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Somente os proprietários do grupo podem atualizar a associação, mas você poderá conceder aos proprietários do grupo a habilidade para aprovar ou negar as solicitações de associação no portal Meus Grupos. Os grupos de segurança criados pelo autoatendimento por meio do portal Meus Grupos estão disponíveis para ingresso para todos os usuários, sejam eles aprovados pelo proprietário ou automaticamente. No portal Meus grupos, é possível alterar as opções de associação ao criar o grupo.

Os grupos do Microsoft 365 oferecem oportunidades de colaboração para seus usuários. Você pode criar grupos em qualquer um dos aplicativos do Microsoft 365, como SharePoint, Microsoft Teams e Planner. Você também pode criar grupos do Microsoft 365 em portais do Azure usando o PowerShell do Microsoft Graph ou no portal Meus Grupos. Para obter mais informações sobre a diferença entre grupos de segurança e grupos do Microsoft 365, consulte Saiba mais sobre grupos.

Grupos criados em Comportamento padrão do grupo de segurança Comportamento padrão do grupo do Microsoft 365
PowerShell do Microsoft Graph Apenas proprietários podem adicionar membros.
Visível, mas não disponível para ingresso no Painel de Acesso dos Grupos MyApps.
Abrir para ingresso a todos os usuários.
Portal do Azure Apenas proprietários podem adicionar membros.
Visível, mas não disponível para ingressar no portal Meus Grupos.
O proprietário não é atribuído automaticamente na criação do grupo.
Abrir para ingresso a todos os usuários.
Portal Meus Grupos Os usuários podem gerenciar grupos e solicitar acesso para ingressar em grupos aqui.
As opções de associação podem ser alteradas quando um grupo é criado.
Abrir para ingresso a todos os usuários.
As opções de associação podem ser alteradas quando um grupo é criado.

Cenários de gerenciamento de grupos de autoatendimento

Dois cenários ajudam a explicar o gerenciamento de grupos de autoatendimento.

Gerenciamento de grupo delegado

Neste cenário de exemplo, um administrador gerencia o acesso a um aplicativo de software como serviço (SaaS) que a empresa está usando. Gerenciar os direitos de acesso é complicado, por isso o administrador pede ao proprietário da empresa para criar um novo grupo. O administrador atribui ao novo grupo acesso ao aplicativo e adiciona ao grupo todas as pessoas que já têm acesso ao aplicativo. O proprietário da empresa pode então adicionar mais usuários, e os usuários são automaticamente provisionados para o aplicativo.

O proprietário da empresa não precisa esperar que o administrador gerencie o acesso para usuários. Se o administrador conceder a mesma permissão a um gerente de um grupo de negócios diferente, que a pessoa também poderá gerenciar o acesso para os membros do próprio grupo. O proprietário e o gerente da empresa não podem exibir nem gerenciar as associações de grupo um do outro. O administrador ainda pode ver todos os usuários que têm acesso ao aplicativo e direitos de acesso em bloco, se necessário.

Observação

Quanto aos cenários delegados, o administrador precisa ter pelo menos a função de Administrador de Funções com Privilégios do Microsoft Entra.

Gerenciamento de grupo de autoatendimento

Neste exemplo de cenário, dois usuários que têm sites do SharePoint Online que eles configuram separadamente. Eles desejam fornecer às equipes um do outro acesso a seus sites. Para realizar essa tarefa, eles podem criar um grupo no Microsoft Entra ID. No SharePoint Online, cada um deles seleciona esse grupo para fornecer acesso aos seus sites.

Quando alguém quiser ter acesso, solicitará no portal Meus Grupos. Após a aprovação, a pessoa obtém acesso a ambos os sites do SharePoint Online automaticamente. Posteriormente, um deles decide que todas as pessoas que acessam o site também devem obter acesso a determinado aplicativo SaaS. O administrador do aplicativo SaaS pode adicionar direitos de acesso ao aplicativo para o site do SharePoint Online. Depois, as solicitações que forem aprovadas dão acesso aos dois sites do SharePoint Online e também ao aplicativo SaaS.

Disponibilização de um grupo para autoatendimento do usuário

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

  2. Selecione ID do Microsoft Entra.

  3. Selecione Todos os grupos>Grupos e, em seguida, selecione as configurações Geral.

    Observação

    Essa configuração restringe apenas o acesso de informações de grupo em Meus Grupos. Ela não restringe o acesso a informações de grupo por meio de outros métodos, como chamadas à API do Microsoft Graph ou ao Centro de administração do Microsoft Entra.

    Captura de tela que mostra as configurações gerais dos grupos do Microsoft Entra.

    Observação

    As alterações relativas à configuração de Gestão do Grupo de Autoatendimento, inicialmente previstas para junho de 2024, estão atualmente em revisão e não ocorrerão conforme planejado originalmente. Uma data de descontinuação será anunciada no futuro.

  4. Defina Proprietários podem gerenciar solicitações de associação a um grupo no Painel de Acesso como Sim.

  5. Certifique-se de que Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso está definido como Não.

  6. Defina Os usuários podem criar grupos de segurança nos portais do Azure, API ou PowerShell como Sim ou Não.

    Para obter mais informações sobre essa configuração, consulte Configurações de grupo.

  7. Defina Os usuários podem criar grupos do Microsoft 365 nos portais do Azure, API ou PowerShell como Sim ou Não.

    Para obter mais informações sobre essa configuração, consulte Configurações de grupo.

Você também pode usar Proprietários que podem atribuir membros como proprietários de grupo no portal do Azure para obter controle de acesso mais granular sobre o gerenciamento de grupos de autoatendimento para seus usuários.

Quando os usuários podem criar grupos, todos os usuários da sua organização têm permissão para criar novos grupos. Como o proprietário padrão, eles podem adicionar membros a esses grupos. Você não pode especificar indivíduos que podem criar os próprios grupos. Você pode especificar apenas indivíduos para tornar outro membro de grupo um proprietário de grupo.

Observação

Uma licença do Microsoft Entra ID P1 ou P2 é necessária para que os usuários solicitem ingressar em um grupo de segurança ou grupo do Microsoft 365 e para que os proprietários aprovem ou neguem solicitações de associação. Sem uma licença do Microsoft Entra ID P1 ou P2, os usuários ainda podem gerenciar seus grupos no Painel de Acesso dos Grupos MyApp. Mas eles não podem criar um grupo que exija aprovação do proprietário e não podem solicitar a participação em um grupo.

Configurações de grupo

As configurações de grupo permitem que você controle quem pode criar grupos de segurança e do Microsoft 365.

Captura de tela que mostra a alteração da configuração de grupos de segurança do Microsoft Entra.

A tabela a seguir ajuda você a decidir quais valores escolher.

Configuração Valor Efeito sobre seu locatário
Os usuários podem criar grupos de segurança no portal do Azure, na API ou no PowerShell. Sim Todos os usuários em sua organização do Microsoft Entra têm permissão para criar grupos de segurança e adicionar membros a esses grupos nos portais do Azure, API ou PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a configuração de política de grupo permitir isso, outros usuários poderão criar solicitações para ingressar nesses grupos.
Não Os usuários não podem criar grupos de segurança. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos.
Os usuários podem criar grupos do Microsoft 365 no portal do Azure, na API ou no PowerShell. Sim Todos os usuários em sua organização do Microsoft Entra terão permissão para criar grupos do Microsoft 365 e adicionar membros a esses grupos no portal do Azure, na API ou no PowerShell. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários. Se a configuração de política de grupo permitir isso, outros usuários poderão criar solicitações para ingressar nesses grupos.
Não Os usuários não podem criar grupos M365. Eles ainda podem gerenciar a associação de grupos dos quais são proprietários e aprovar solicitações de outros usuários para ingressar em seus grupos.

Aqui estão mais alguns detalhes sobre essas configurações de grupo:

  • Essas configurações podem levar até 15 minutos para entrar em vigor.
  • Se você quiser habilitar alguns de seus usuários, mas não todos, a criar grupos, você poderá atribuir a esses usuários uma função que pode criar grupos, como Administrador de Grupos.
  • Essas configurações são para usuários e não impactam as entidades de serviço. Por exemplo, se você tiver uma entidade de serviço com permissões para criar grupos, mesmo se definir essas configurações como Não, a entidade de serviço ainda poderá criar grupos.

Definir configurações de grupo usando o Microsoft Graph

Para configurar a configuração Os usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell usando o Microsoft Graph, configure o objeto EnableGroupCreation no objeto groupSettings. Para obter mais informações, confira Visão geral das configurações do grupo.

Para definir a configuração Os usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell usando o Microsoft Graph, atualize a propriedade allowedToCreateSecurityGroups de defaultUserRolePermissions no objeto authorizationPolicy.

Próximas etapas

Para obter mais informações sobre o Microsoft Entra ID, consulte: