Управление группами Microsoft 365

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Вы можете управлять группами Microsoft 365 несколькими разными способами в зависимости от конфигурации. Вы можете управлять учетными записями пользователей в Центре администрирования Microsoft 365, PowerShell, в доменных службах Active Directory (AD DS) или в Центре администрирования Microsoft Entra.

Планирование того, где и как вы будете управлять группами

Где и как можно управлять учетными записями пользователей, зависит от модели удостоверений, которую вы хотите использовать для Microsoft 365. Две общие модели — только облачная и гибридная.

Только облако

Вы создаете группы и управляете ими с помощью:

• Центр администрирования Microsoft 365
• PowerShell
  • Управление группами Microsoft 365 с помощью PowerShell
• Центр администрирования Microsoft Entra

Гибридную

Для управления гибридными группами можно использовать те же средства, что и для облачных групп. Группы AD DS синхронизируются с Microsoft 365 из AD DS, поэтому для управления этими группами необходимо использовать локальные средства AD DS.

Вы также можете создавать группы Microsoft Entra и управлять ими, которые отделены от групп AD DS, но могут содержать пользователей и группы из AD DS.

Разрешение пользователям создавать собственные группы и управлять ими

Идентификатор Microsoft Entra позволяет управлять группами, которыми могут управлять владельцы групп, а не ИТ-администраторы. Эта функция, известная как самостоятельное управление группами, позволяет владельцам групп, которым не назначена административная роль, создавать группы безопасности и управлять ими.

Пользователи могут отправлять заявки на членство в группе безопасности, которые отправляются владельцу группы, а не ИТ-администратору. Это позволяет делегировать повседневное управление членством в группах владельцам команд, проектов или компаний, которые понимают пользу группы для бизнеса и могут управлять членством в ней.

Примечание.

Самостоятельное управление группами доступно только для групп безопасности Microsoft Entra и Microsoft 365. Он недоступен для групп с поддержкой почты, списков рассылки или любой группы, синхронизированной с AD DS.

Дополнительные сведения см. в инструкциях по настройке группы Microsoft Entra для самостоятельного управления.

Настройка динамического членства в группах

Идентификатор Microsoft Entra поддерживает настройку ряда правил, которые автоматически добавляют или удаляют учетные записи пользователей в качестве членов группы Microsoft Entra. Это называется динамическим членством в группах. Правила основаны на атрибутах учетных записей, например атрибуте "Отдел" или "Страна".

Ниже описано, как применяются такие правила.

• Если новая учетная запись пользователя соответствует всем правилам для группы, она становится членом группы.
• Если учетная запись пользователя не является членом группы, но ее атрибуты изменились так, что теперь она соответствует всем правилам для группы, она становится членом группы.
• Если учетная запись пользователя не соответствует всем правилам для группы, она не будет добавлена в группу.
• Если учетная запись пользователя является членом группы, но ее атрибуты изменяются так, что она больше не соответствует всем правилам для группы, она удаляется как член группы.

Чтобы использовать динамическое членство, необходимо сначала определить наборы групп, имеющих общий набор атрибутов учетной записи пользователя. Например, все члены отдела продаж должны находиться в группе Продажи Microsoft Entra на основе атрибута учетной записи пользователя Department, для параметра "Продажи".

См. инструкции по созданию и настройке правил для динамической группы Microsoft Entra.

Настройка автоматического лицензирования

Группы безопасности в Идентификаторе Microsoft Entra можно настроить для автоматического назначения лицензий из набора подписок всем участникам группы. Это называется лицензированием на основе групп. Когда учетная запись добавляется в группу или удаляется из нее, лицензии для подписок группы автоматически назначаются этой учетной записи или отменяются для нее.

Для Microsoft 365 Корпоративный вы настроите группы безопасности Microsoft Entra, чтобы назначить соответствующую лицензию Microsoft 365 Корпоративная.

Убедитесь, что у вас есть достаточно лицензий для всех участников группы. Если лицензии закончатся, они не будут назначаться новым пользователям, пока эти лицензии не станут доступны.

Примечание.

Лицензирование на основе групп не следует настраивать для групп, содержащих учетные записи типа "бизнес-бизнес" (B2B) в Azure.

Дополнительные сведения см. в статье Основы группового лицензирования в Microsoft Entra ID.

См. инструкции по настройке группового лицензирования для группы безопасности Azure.