创建、配置和管理组

  • 3 分钟

Microsoft Entra 组可帮助组织用户,简化权限管理。 资源所有者(或 Microsoft Entra 目录所有者)可以使用组将一组访问权限分配给组的所有成员,而无需逐个提供权限。 使用组,我们能够定义安全边界,然后添加和删除特定用户,从而最大限度减少授予或拒绝访问权限所需的工作量。 更妙的是,Microsoft Entra ID 提供根据规则定义成员身份的功能(例如,用户就职部门或其所处职位)。

Microsoft Entra ID 允许你定义两种类型的组。

  • 安全组 - 最常见的组类型,用于管理成员和一组用户对共享资源的计算机访问权限。 例如,可以为特定安全策略创建一个安全组。 以此方式可以一次性为所有成员分配一组权限,而不必单独地向每个成员添加权限。 此选项需要 Microsoft Entra 管理员。
  • Microsoft 365 组 - 通过为成员分配对共享邮箱、日历、文件、SharePoint 站点等的访问权限来提供协作机会。 也可以通过此选项向组织外部的人员分配对组的访问权限。 用户和管理员均可使用此选项。

查看可用组

可以通过“Microsoft Entra - 标识”仪表板中的“管理”组下的“”项查看所有组。 新的 Microsoft Entra ID 部署不会定义任何组。

Screenshot of the Microsoft Entra ID view all groups page. It shows a list of several groups that already exist, along with attributes about group like Group Type and Membership Type.

需要注意的组的第二个特性是“成员身份类型”。 它指定如何将个人成员添加到组中。 这两种类型为:

  • 已分配 - 手动添加和维护成员。
  • 动态 - 根据规则添加成员,创建动态组。 这些组仍是安全组或 Microsoft 365 组,只是其成员受规则控制。

动态组

组的最终类型是一个动态组,顾名思义,每次使用该组时,该成员身份都由公式生成。 动态组包括 Active Directory 中具有匹配其筛选器的属性值的任何收件人。 如果修改收件人的属性来与筛选器匹配,那么收件人可能会无意中成为组成员,并开始接收发送给组的消息。 定义明确且帐户一致的设置流程将减少该问题发生的机会。

Screenshot of the Dynamic Group membership rule generator. In this dialog you can add rules to let you define exactly what users can be a part of the group. You could set up a rule that includes on members from a specific country.

此动态组将由 Microsoft Entra ID 的全部有效成员组成。