Configurar o gerenciamento de grupo de autoatendimento no Azure Active DirectorySet up self-service group management in Azure Active Directory

Você pode permitir que os usuários criem e gerenciem seus próprios grupos de segurança ou grupos do Office 365 no Azure Active Directory (AD do Azure).You can enable users to create and manage their own security groups or Office 365 groups in Azure Active Directory (Azure AD). O proprietário do grupo pode aprovar ou negar solicitações de associação e pode delegar o controle de associação de grupo.The owner of the group can approve or deny membership requests, and can delegate control of group membership. Os recursos de gerenciamento de grupo de autoatendimento não estão disponíveis para grupos de segurança ou listas de distribuição habilitadas para email.Self-service group management features are not available for mail-enabled security groups or distribution lists.

Padrões de associação de grupo de autoatendimentoSelf-service group membership defaults

Quando grupos de segurança são criados no portal do Azure ou usando o PowerShell do Azure AD, somente os proprietários do grupo podem atualizar a associação.When security groups are created in the Azure portal or using Azure AD PowerShell, only the group's owners can update membership. Grupos de segurança criados no painel de acesso e todos os grupos do Office 365 estão disponíveis para ingressar para todos os usuários, seja aprovado pelo proprietário ou aprovado automaticamente.Security groups created in the Access panel and all Office 365 groups are available to join for all users, whether owner-approved or auto-approved. No painel de acesso, você pode alterar as opções de associação ao criar o grupo.In the Access panel, you can change membership options when you create the group.

Grupos criados emGroups created in Comportamento padrão do grupo de segurançaSecurity group default behavior Comportamento padrão do grupo do Office 365Office 365 group default behavior
PowerShell do Azure ADAzure AD PowerShell Somente proprietários podem adicionar membrosOnly owners can add members
Visível, mas não disponível para junção no painel de acessoVisible but not available to join in Access panel
Abrir para ingressar para todos os usuáriosOpen to join for all users
Portal do AzureAzure portal Somente proprietários podem adicionar membrosOnly owners can add members
Visível, mas não disponível para junção no painel de acessoVisible but not available to join in Access panel
O proprietário não é atribuído automaticamente na criação do grupoOwner is not assigned automatically at group creation
Abrir para ingressar para todos os usuáriosOpen to join for all users
Painel de acessoAccess panel Abrir para ingressar para todos os usuáriosOpen to join for all users
As opções de associação podem ser alteradas quando o grupo é criadoMembership options can be changed when the group is created
Abrir para ingressar para todos os usuáriosOpen to join for all users
As opções de associação podem ser alteradas quando o grupo é criadoMembership options can be changed when the group is created

Cenários de gerenciamento de grupo de autoatendimentoSelf-service group management scenarios

  • Gerenciamento de grupo delegado Um exemplo é um administrador que está gerenciando o acesso a um aplicativo SaaS que a empresa está usando.Delegated group management An example is an administrator who is managing access to a SaaS application that the company is using. O gerenciamento desses direitos de acesso está se tornando inconveniente, portanto esse administrador solicita ao proprietário de negócios para criar um novo grupo.Managing these access rights is becoming cumbersome, so this administrator asks the business owner to create a new group. O administrador atribui o acesso para o aplicativo ao novo grupo e adiciona ao grupo todas as pessoas que já acessam o aplicativo.The administrator assigns access for the application to the new group, and adds to the group all people already accessing the application. O proprietário da empresa pode então adicionar mais usuários, e os usuários são automaticamente provisionados para o aplicativo.The business owner then can add more users, and those users are automatically provisioned to the application. O proprietário da empresa não precisa esperar que o administrador gerencie o acesso para usuários.The business owner doesn't need to wait for the administrator to manage access for users. Se o administrador conceder a mesma permissão a um gerente em um grupo de negócios diferente, essa pessoa também poderá gerenciar o acesso para seus próprios membros do grupo.If the administrator grants the same permission to a manager in a different business group, then that person can also manage access for their own group members. Nem o proprietário da empresa nem o gerente podem exibir ou gerenciar as associações de grupo uns dos outros.Neither the business owner nor the manager can view or manage each other’s group memberships. O administrador ainda pode ver todos os usuários que têm acesso ao aplicativo e direitos de acesso de bloco, se necessário.The administrator can still see all users who have access to the application and block access rights if needed.
  • Gerenciamento de grupo de autoatendimento Um exemplo deste cenário consiste em dois usuários que têm sites do SharePoint Online que eles configuram de forma independente.Self-service group management An example of this scenario is two users who both have SharePoint Online sites that they set up independently. Eles desejam fornecer às equipes um do outro acesso a seus sites.They want to give each other’s teams access to their sites. Para isso, eles podem criar um grupo no Azure AD e, no SharePoint Online, cada um seleciona esse grupo para fornecer acesso a seus sites.To accomplish this, they can create one group in Azure AD, and in SharePoint Online each of them selects that group to provide access to their sites. Quando alguém deseja acesso, solicita do painel de acesso, e depois da aprovação obtêm acesso a ambos os sites do SharePoint Online automaticamente.When someone wants access, they request it from the Access Panel, and after approval they get access to both SharePoint Online sites automatically. Posteriormente, um deles decide que todas as pessoas que acessam o site também devem obter acesso a determinado aplicativo SaaS.Later, one of them decides that all people accessing the site should also get access to a particular SaaS application. O administrador do aplicativo SaaS pode adicionar direitos de acesso ao aplicativo para o site do SharePoint Online.The administrator of the SaaS application can add access rights for the application to the SharePoint Online site. Depois, as solicitações que forem aprovadas darão acesso aos dois sites do SharePoint Online e também ao aplicativo SaaS.From then on, any requests that get approved gives access to the two SharePoint Online sites and also to this SaaS application.

Disponibilização de um grupo para autoatendimento do usuárioMake a group available for user self-service

  1. Entre no centro de administração do Azure AD com uma conta que seja um administrador global para o diretório.Sign in to the Azure AD admin center with an account that's a global admin for the directory.
  2. Selecione Usuários e grupos e depois Configurações de grupo.Select Users and groups, and then select Group settings.
  3. Defina Gerenciamento de grupo de autoatendimento habilitado como Sim.Set Self-service group management enabled to Yes.
  4. Defina Os usuários podem criar grupos de segurança ou Os usuários podem criar grupos do Office 365 como Sim.Set Users can create security groups or Users can create Office 365 groups to Yes.
    • Quando essas configurações forem habilitadas, todos os usuários em seu diretório terão permissão para criar novos grupos de segurança e adicionar membros a esses grupos.When these settings are enabled, all users in your directory are allowed to create new security groups and add members to these groups. Esses novos grupos também aparecem no Painel de Acesso para todos os outros usuários.These new groups would also show up in the Access Panel for all other users. Se a configuração de política de grupo permitir isso, outros usuários poderão criar solicitações para ingressar nesses grupos.If the policy setting on the group allows it, other users can create requests to join these groups.
    • Quando essas configurações estiverem desabilitadas, os usuários não poderão criar grupos nem alterar grupos existentes dos quais são proprietários.When these settings are disabled, users can't create groups and can't change existing groups for which they are an owner. No entanto, ainda podem gerenciar as associações desses grupos e aprovar solicitações de outros usuários para ingressar em seus grupos.However, they can still manage the memberships of those groups and approve requests from other users to join their groups.

Você também pode usar Usuários que podem gerenciar grupos de segurança e Usuários que podem gerenciar grupos do Office 365 para alcançar um controle de acesso mais granular sobre o gerenciamento de grupo de autoatendimento para seus usuários.You can also use Users who can manage security groups and Users who can manage Office 365 groups to achieve more granular access control over self-service group management for your users. Quando Usuários podem criar grupos estiver habilitada, todos os usuários em seu locatário terão permissão para criar novos grupos e adicionar membros a esses grupos.When Users can create groups is enabled, all users in your tenant are allowed to create new groups and add members to these groups. Você não pode especificar indivíduos que podem criar seus próprios grupos.You can't specify individuals who can create their own groups. Você pode especificar indivíduos somente para tornar outro membro de grupo um proprietário de grupo.You can specify individuals only for making another group member a group owner.

Ao definir os usuários que podem usar o autoatendimento para grupos de segurança e usuários que podem gerenciar grupos do Office 365 como Sim, você permite que todos os usuários em seu locatário criem novos grupos.By setting Users who can use self-service for security groups and Users who can manage Office 365 groups to Yes, you enable all users in your tenant to create new groups.

Você também pode usar Grupo que pode gerenciar grupos de segurança ou Grupo que pode gerenciar os grupos do Office 365 para especificar um único grupo cujos membros podem usar o autoatendimento.You can also use Group that can manage security groups or Group that can manage Office 365 groups to specify a single group whose members can use self-service.

Próximas etapasNext steps

Esses artigos fornecem mais informações sobre o Active Directory do Azure.These articles provide additional information on Azure Active Directory.