Verwalten von Microsoft 365-Gruppen

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Je nach Konfiguration können Sie Microsoft 365-Gruppen auf verschiedene Arten verwalten. Sie können Benutzerkonten im Microsoft 365 Admin Center, in PowerShell, in Active Directory Domain Services (AD DS) oder im Microsoft Entra Admin Center verwalten.

Planen, wo und wie Sie Ihre Gruppen verwalten

Wo und wie Sie Ihre Benutzerkonten verwalten können, hängt vom Identitätsmodell ab, das Sie für Ihr Microsoft 365 verwenden möchten. Die beiden allgemeinen Modelle sind reine Cloudmodelle und Hybridmodelle.

Rein cloudbasiert

Sie erstellen und verwalten Gruppen mit:

Hybrid

Zum Verwalten von Hybridgruppen können Sie dieselben Tools verwenden, die Sie auch für reine Cloudgruppen verwenden. AD DS-Gruppen werden von AD DS mit Microsoft 365 synchronisiert. Daher müssen Sie lokale AD DS-Tools verwenden, um diese Gruppen zu verwalten.

Sie können auch Microsoft Entra Gruppen erstellen und verwalten, die von AD DS-Gruppen getrennt sind, aber Benutzer und Gruppen aus AD DS enthalten können.

Zulassen der Erstellung und Verwaltung von eigenen Gruppen für Benutzer

Microsoft Entra ID ermöglicht Gruppen, die von Gruppenbesitzern anstelle von IT-Administratoren verwaltet werden können. Dieses Feature wird als Self-Service-Gruppenverwaltung bezeichnet und ermöglicht Gruppenbesitzern, denen keine Administratorrolle zugewiesen ist, das Erstellen und Verwalten von Sicherheitsgruppen.

Benutzer können die Mitgliedschaft in einer Sicherheitsgruppe anfordern, und diese Anforderung geht an den Gruppenbesitzer und nicht an einen IT-Administrator. Dadurch kann die tägliche Steuerung der Gruppenmitgliedschaft an Team-, Projekt- oder Geschäftsinhaber delegiert werden, die die geschäftliche Verwendung der Gruppe verstehen und deren Mitgliedschaft verwalten können.

Hinweis

Die Self-Service-Gruppenverwaltung ist nur für Microsoft Entra-Sicherheits- und Microsoft 365-Gruppen verfügbar. Sie ist nicht für E-Mail-aktivierte Gruppen, Verteilerlisten oder gruppen verfügbar, die von AD DS synchronisiert wurden.

Weitere Informationen finden Sie in den Anweisungen zum Konfigurieren einer Microsoft Entra Gruppe für die Self-Service-Verwaltung.

Einrichten der dynamischen Gruppenmitgliedschaft

Microsoft Entra ID unterstützt das Konfigurieren einer Reihe von Regeln, die Benutzerkonten automatisch als Mitglieder einer Microsoft Entra Gruppe hinzufügen oder entfernen. Dies ist als dynamische Gruppenmitgliedschaft bekannt. Die Regeln basieren auf Benutzerkontoattributen, wie Abteilung oder Land.

Die Regeln werden wie folgt angewendet:

  • Wenn ein neues Benutzerkonto allen Regeln für die Gruppe entspricht, wird es ein Mitglied.
  • Wenn ein Benutzerkonto kein Mitglied der Gruppe ist, aber sich seine Attribute ändern, sodass es allen Regeln für die Gruppe entspricht, wird es ein Mitglied dieser Gruppe.
  • Wenn ein Benutzerkonto nicht allen Regeln für die Gruppe entspricht, wird es nicht zur Gruppe hinzugefügt.
  • Wenn ein Benutzerkonto Mitglied der Gruppe ist, sich seine Attribute jedoch ändern, sodass es nicht mehr allen Regeln für die Gruppe entspricht, wird es als Mitglied der Gruppe entfernt.

Um die dynamische Mitgliedschaft zu verwenden, müssen Sie zunächst die Gruppengruppen bestimmen, die einen gemeinsamen Satz von Benutzerkontoattributen aufweisen. Beispielsweise sollten sich alle Mitglieder der Vertriebsabteilung in der Gruppe Sales Microsoft Entra befinden, basierend auf dem Benutzerkontoattribut Abteilung, das auf "Sales" festgelegt ist.

Lesen Sie die Anweisungen zum Erstellen und Konfigurieren der Regeln für eine dynamische Microsoft Entra Gruppe.

Einrichten der automatischen Lizenzierung

Sie können Sicherheitsgruppen in Microsoft Entra ID konfigurieren, um allen Mitgliedern der Gruppe automatisch Lizenzen aus einer Gruppe von Abonnements zuzuweisen. Dies wird als gruppenbasierte Lizenzierung bezeichnet. Wenn ein Benutzerkonto der Gruppe hinzugefügt oder aus ihr entfernt wird, werden die Lizenzen für die Gruppenabonnements dem Benutzerkonto automatisch zugewiesen, bzw. die Zuweisung wird entfernt.

Für Microsoft 365 Enterprise konfigurieren Sie Microsoft Entra Sicherheitsgruppen, um die entsprechende Microsoft 365 Enterprise-Lizenz zuzuweisen.

Stellen Sie sicher, dass Sie genug Lizenzen für alle Gruppenmitglieder haben. Wenn keine Lizenzen mehr vorhanden sind, werden neuen Benutzern keine Lizenzen zugewiesen, bis Lizenzen verfügbar werden.

Hinweis

Sie sollten nicht die gruppenbasierte Lizenzierung für Gruppen konfigurieren, die Azure Business to Business (B2B)-Konten enthalten.

Weitere Informationen finden Sie unter Grundlagen der gruppenbasierten Lizenzierung in Microsoft Entra ID.

Weitere Informationen finden Sie in den Anweisungen zum Konfigurieren der gruppenbasierten Lizenzierung für eine Azure-Sicherheitsgruppe.