创建和管理组

已完成

Microsoft Entra 组可帮助组织用户，简化权限管理。 资源所有者（或 Microsoft Entra 目录所有者）可以使用组将一组访问权限分配给组的所有成员，而无需逐个提供权限。 使用组，你能够定义安全边界，然后添加和删除特定用户，从而最大限度减少授予或拒绝访问权限所需的工作量。 更妙的是，Microsoft Entra ID 支持根据规则定义成员身份的功能，例如用户就职的部门或其所处的职位。

Microsoft Entra ID 允许你定义两种类型的组。

1. 安全组：它们是最常见的组，用于管理成员和一组用户对共享资源的计算机访问权限。 例如，你可以创建一个安全组来实施特定的安全策略。 以此方式可以一次性为所有成员分配一组权限，而不必单独地向每个成员添加权限。 此选项需要 Microsoft Entra 管理员。

2. Microsoft 365 组：此类组通过为成员分配对共享邮箱、日历、文件、SharePoint 站点等的访问权限来提供协作机会。 也可以通过此选项向组织外部的人员分配对组的访问权限。 用户和管理员均可使用此选项。

查看可用组

可以通过在 Microsoft Entra 管理中心的左侧窗格中选择“组”，然后选择“概述”来查看所有组。 新的 Microsoft Entra ID 安装不会定义任何组。

将组添加到 Microsoft Entra ID

Microsoft Entra 管理中心是创建组的最简单方法。 必须选择组类型（安全组或 Microsoft 365 组），并分配唯一的组名称、说明和成员身份类型。

成员身份类型字段可以是以下三个值之一：

1. 已分配。 该组包含选择的特定用户或组。

2. 动态用户。 可以基于特征创建规则，为组启用基于属性的动态成员身份。 例如，如果某个用户的部门是销售部门，则会将该用户动态分配到销售组。

   安全组可以用于设备或用户，但 Microsoft 365 组只能用于用户组。 如果将来用户的部门有所变化，则系统会自动将其从组中删除。 此功能需要 Microsoft Entra ID P1 许可证。

3. 动态设备。 可以基于特征创建规则，为组启用基于属性的动态成员身份。 例如，如果用户的设备与服务部门关联，则会将该设备动态分配到服务组。

   安全组可以用于设备或用户，但 Microsoft 365 组只能用于用户组。 如果设备与特定部门的关联在将来发生变化，则系统会自动将其从组中删除。 此功能需要 Microsoft Entra ID P1 许可证。

最后，可以选择可管理该组的组所有者，以及属于该组的成员。 这两者都可以包含其他组以及单个用户。

通过脚本创建组

你还可以使用 Microsoft Graph PowerShell 通过 New-New-MgGroup 命令添加组，如下所示：

New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False

更改组的成员身份

创建组后，你可以通过编辑组成员身份来添加或删除用户（或组）。 选择组并使用“管理”部分中的选项。