Dela via


Konfigurera grupphantering med självbetjäning i Microsoft Entra-ID

Du kan göra det möjligt för användare att skapa och hantera sina egna säkerhetsgrupper eller Microsoft 365-grupper i Microsoft Entra-ID. Gruppens ägare kan godkänna eller neka medlemskapsbegäranden och delegera kontrollen över gruppmedlemskap. Grupphanteringsfunktioner med självbetjäning är inte tillgängliga för e-postaktiverade säkerhetsgrupper eller distributionslistor.

Gruppmedlemskap med självbetjäning

Du kan tillåta användare att skapa säkerhetsgrupper som används för att hantera åtkomst till delade resurser. Användare kan skapa säkerhetsgrupper i Azure Portal med hjälp av Azure Active Directory (Azure AD) PowerShell eller från portalen Mina grupper.

Skärmbild som visar portalen Mina grupper.

Kommentar

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Endast gruppens ägare kan uppdatera medlemskapet, men du kan ge gruppägare möjlighet att godkänna eller neka medlemskapsbegäranden från portalen Mina grupper. Säkerhetsgrupper som skapats via självbetjäning via portalen Mina grupper är tillgängliga för alla användare, oavsett om de är ägargodkända eller automatiskt godkända. I portalen Mina grupper kan du ändra medlemskapsalternativ när du skapar gruppen.

Microsoft 365-grupper ger dina användare samarbetsmöjligheter. Du kan skapa grupper i något av Microsoft 365-programmen, till exempel SharePoint, Microsoft Teams och Planner. Du kan också skapa Microsoft 365-grupper i Azure Portal med hjälp av Microsoft Graph PowerShell eller från portalen Mina grupper. Mer information om skillnaden mellan säkerhetsgrupper och Microsoft 365-grupper finns i Läs mer om grupper.

Grupper som skapats i Standardbeteende för säkerhetsgrupp Standardbeteende för Microsoft 365-grupp
Microsoft Graph PowerShell Endast ägare kan lägga till medlemmar.
Synlig men inte tillgänglig för anslutning i MyApp-grupper Åtkomstpanelen.
Öppna för att ansluta för alla användare.
Azure-portalen Endast ägare kan lägga till medlemmar.
Synlig men inte tillgänglig för anslutning i portalen Mina grupper.
Ägaren tilldelas inte automatiskt när gruppen skapas.
Öppna för att ansluta för alla användare.
Portalen Mina grupper Användare kan hantera grupper och begära åtkomst för att ansluta till grupper här.
Medlemskapsalternativ kan ändras när en grupp skapas.
Öppna för att ansluta för alla användare.
Medlemskapsalternativ kan ändras när en grupp skapas.

Scenarier för grupphantering med självbetjäning

Två scenarier hjälper till att förklara grupphantering med självbetjäning.

Delegerad grupphantering

I det här exempelscenariot hanterar en administratör åtkomst till ett SaaS-program (programvara som en tjänst) som företaget använder. Det är besvärligt att hantera åtkomsträttigheterna, så administratören ber företagsägaren att skapa en ny grupp. Administratören tilldelar åtkomst för programmet till den nya gruppen och lägger till alla personer som redan har åtkomst till programmet i gruppen. Företagsägaren kan sedan lägga till fler användare, som automatiskt tilldelas programmet.

Företagsägaren behöver inte vänta på administratören för att kunna hantera åtkomst för användarna. Om administratören ger samma behörighet till en chef i en annan affärsgrupp kan den personen också hantera åtkomst för sina egna gruppmedlemmar. Företagsägaren och chefen kan inte visa eller hantera varandras gruppmedlemskap. Administratören kan fortfarande se alla användare som har åtkomst till programmet och blockera åtkomsträttigheter om det behövs.

Kommentar

För delegerade scenarier måste administratören ha minst en Microsoft Entra-roll för privilegierad rolladministratör.

Självbetjäning, grupphantering

I det här exempelscenariot har två användare SharePoint Online-webbplatser som de har konfigurerat oberoende av varandra. De vill ge varandras team åtkomst till sina webbplatser. För att utföra den här uppgiften kan de skapa en grupp i Microsoft Entra-ID. I SharePoint Online väljer var och en av dem den gruppen för att ge åtkomst till sina webbplatser.

När någon vill ha åtkomst begär de den från portalen Mina grupper. Efter godkännandet får de automatiskt åtkomst till båda SharePoint Online-webbplatserna. Senare beslutar den ena av dem att alla användare som har åtkomst till webbplatsen även ska få åtkomst till ett visst SaaS-program. SaaS-programmets administratör kan lägga till åtkomstbehörighet för programmet till SharePoint Online-webbplatsen. Från och med då ger alla begäranden som godkänns åtkomst till de två SharePoint Online-webbplatserna och även till SaaS-programmet.

Göra en grupp tillgänglig för självbetjäning av användare

  1. Logga in på administrationscentret för Microsoft Entra som minst gruppadministratör.

  2. Välj Microsoft Entra ID.

  3. Välj Alla grupper>Grupper och välj sedan Allmänna inställningar.

    Kommentar

    Den här inställningen begränsar endast åtkomsten till gruppinformation i Mina grupper. Den begränsar inte åtkomsten till gruppinformation via andra metoder som Microsoft Graph API-anrop eller administrationscentret för Microsoft Entra.

    Skärmbild som visar Allmänna inställningar för Microsoft Entra-grupper.

    Kommentar

    Ändringar av inställningen För självbetjäningsgruppshantering, som ursprungligen var planerad till juni 2024, granskas för närvarande och kommer inte att äga rum som ursprungligen planerat. Ett utfasningsdatum kommer att tillkännages i framtiden.

  4. Ange Ägare kan hantera begäranden om gruppmedlemskap i Åtkomstpanelen till Ja.

  5. Ange Begränsa användarens möjlighet att komma åt gruppfunktioner i Åtkomstpanelen till Nej.

  6. Ange Användare kan skapa säkerhetsgrupper i Azure Portal, API eller PowerShell till Ja eller Nej.

    Mer information om den här inställningen finns i Gruppinställningar.

  7. Ange Användare kan skapa Microsoft 365-grupper i Azure Portal, API eller PowerShell till Ja eller Nej.

    Mer information om den här inställningen finns i Gruppinställningar.

Du kan också använda Ägare som kan tilldela medlemmar som gruppägare i Azure Portal för att få mer detaljerad åtkomstkontroll över grupphantering via självbetjäning för dina användare.

När användare kan skapa grupper får alla användare i din organisation skapa nya grupper. Som standardägare kan de sedan lägga till medlemmar i dessa grupper. Du kan inte ange personer som kan skapa egna grupper. Du kan bara ange enskilda personer för att göra en annan gruppmedlem till gruppägare.

Kommentar

En Microsoft Entra ID P1- eller P2-licens krävs för att användare ska kunna begära att få ansluta till en säkerhetsgrupp eller Microsoft 365-grupp och för ägare att godkänna eller neka medlemskapsbegäranden. Utan en Microsoft Entra ID P1- eller P2-licens kan användarna fortfarande hantera sina grupper i MyApp-grupper Åtkomstpanelen. Men de kan inte skapa en grupp som kräver ägargodkännande, och de kan inte begära att gå med i en grupp.

Gruppinställningar

Med gruppinställningarna kan du styra vem som kan skapa säkerhetsgrupper och Microsoft 365-grupper.

Skärmbild som visar hur inställningen för Microsoft Entra-säkerhetsgrupper ändras.

Följande tabell hjälper dig att bestämma vilka värden du vill välja.

Inställning Värde Effekt på din klientorganisation
Användare kan skapa säkerhetsgrupper i Azure Portal, API eller PowerShell. Ja Alla användare i din Microsoft Entra-organisation får skapa nya säkerhetsgrupper och lägga till medlemmar i dessa grupper i Azure Portal, API eller PowerShell. Dessa nya grupper visas också i Åtkomstpanelen för alla andra användare. Om gruppens principinställningar så tillåter kan andra användare skapa förfrågningar om att ansluta till dessa grupper.
Nej Användare kan inte skapa säkerhetsgrupper. De kan fortfarande hantera medlemskap i grupper som de är ägare till och godkänna begäranden från andra användare om att ansluta till sina grupper.
Användare kan skapa Microsoft 365-grupper i Azure Portal, API eller PowerShell. Ja Alla användare i din Microsoft Entra-organisation får skapa nya Microsoft 365-grupper och lägga till medlemmar i dessa grupper i Azure Portal, API eller PowerShell. Dessa nya grupper visas också i Åtkomstpanelen för alla andra användare. Om gruppens principinställningar så tillåter kan andra användare skapa förfrågningar om att ansluta till dessa grupper.
Nej Användare kan inte skapa M365-grupper. De kan fortfarande hantera medlemskap i grupper som de är ägare till och godkänna begäranden från andra användare om att ansluta till sina grupper.

Här följer mer information om dessa gruppinställningar:

  • De här inställningarna kan ta upp till 15 minuter att börja gälla.
  • Om du vill aktivera vissa, men inte alla, av dina användare för att skapa grupper, kan du tilldela dessa användare en roll som kan skapa grupper, till exempel Gruppadministratör.
  • De här inställningarna gäller för användare och påverkar inte tjänstens huvudnamn. Om du till exempel har ett huvudnamn för tjänsten med behörighet att skapa grupper, även om du ställer in inställningarna på Nej, kan tjänstens huvudnamn fortfarande skapa grupper.

Konfigurera gruppinställningar med hjälp av Microsoft Graph

Konfigurera användare kan skapa Microsoft 365-grupper i inställningen Azure Portal s, API eller PowerShell med hjälp av Microsoft Graph genom att konfigurera EnableGroupCreation objektet i groupSettings objektet. Mer information finns i Översikt över gruppinställningar.

Om du vill konfigurera användare kan skapa säkerhetsgrupper i inställningen Azure Portal, API eller PowerShell med hjälp av Microsoft Graph uppdaterar allowedToCreateSecurityGroups du egenskapen defaultUserRolePermissions för i objektet authorizationPolicy.

Nästa steg

Mer information om Microsoft Entra-ID finns i: