Настройка самостоятельного управления группами в идентификаторе Microsoft Entra

Вы можете разрешить пользователям создавать собственные группы безопасности или группы Microsoft 365 в идентификаторе Microsoft Entra и управлять ими. Владелец группы может утверждать или отклонять запросы на членство, а также делегировать управление членством в группе. Функции самостоятельного управления группами недоступны для групп безопасности с поддержкой почты или списков рассылки.

Членство в группе самообслуживания

Вы можете разрешить пользователям создавать группы безопасности, которые используются для управления доступом к общим ресурсам. Пользователи могут создавать группы безопасности в портал Azure с помощью Azure Active Directory (Azure AD) PowerShell или из Панель доступа групп MyApps.

Внимание

Azure AD PowerShell планируется на 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Microsoft Graph PowerShell разрешает доступ ко всем API Microsoft Graph и доступен в PowerShell 7. Ответы на распространенные запросы миграции см. в разделе "Вопросы и ответы о миграции".

Только владельцы группы могут обновить членство, но вы можете предоставить владельцам групп возможность утверждать или отклонять запросы на членство из Панель доступа групп MyApps. Группы безопасности, созданные самообслуживанием с помощью Панель доступа Групп MyApps, доступны для присоединения для всех пользователей, независимо от того, утверждено ли владелец или автоматически. В Панель доступа групп MyApps можно изменить параметры членства при создании группы.

Группы Microsoft 365 предоставляют возможности совместной работы для пользователей. Группы можно создавать в любом из приложений Microsoft 365, таких как SharePoint, Microsoft Teams и Планировщик. Вы также можете создавать группы Microsoft 365 в портал Azure с помощью Microsoft Graph PowerShell или из Панель доступа групп MyApps. Дополнительные сведения о различиях между группами безопасности и группами Microsoft 365 см. в статье "Сведения о группах".

Место создания группы Поведение группы безопасности по умолчанию Поведение группы Microsoft 365 по умолчанию
Microsoft Graph PowerShell Только владельцы могут добавлять участников.
Видимый, но недоступный для присоединения к группам MyApp Панель доступа.
Откройте для присоединения для всех пользователей.
Портал Azure Только владельцы могут добавлять участников.
Видимый, но недоступный для присоединения к группам MyApps Панель доступа.
Владелец не назначается автоматически при создании группы.
Откройте для присоединения для всех пользователей.
Группы MyApps Панель доступа Откройте для присоединения для всех пользователей.
Параметры членства можно изменить при создании группы.
Откройте для присоединения для всех пользователей.
Параметры членства можно изменить при создании группы.

Сценарии самостоятельного управления группами

Два сценария помогают объяснить самостоятельное управление группами.

Делегированное управление группами

В этом примере администратор управляет доступом к программному обеспечению как службе (SaaS), используемому компанией. Управление правами доступа является громоздким, поэтому администратор просит владельца бизнеса создать новую группу. Администратор назначает приложению доступ к новой группе и добавляет в группу всех пользователей, уже имеющих доступ к приложению. Впоследствии владелец компании может добавить несколько пользователей, и им автоматически будет предоставлен доступ к приложению.

Владельцу компании не нужно ждать, пока администратор выполнит свою работу. Если администратор предоставляет одному и тому же разрешение руководителю в другой бизнес-группе, этот пользователь также может управлять доступом для своих членов группы. Владелец бизнеса и менеджер не могут просматривать или управлять членством в группах друг друга. Администратор по-прежнему может видеть всех пользователей, имеющих доступ к приложению, и при необходимости блокировать права доступа.

Самостоятельное управление группами

В этом примере у двух пользователей есть сайты SharePoint Online, которые они настраивают независимо. Они хотят предоставить командам взаимный доступ к своим сайтам. Для выполнения этой задачи они могут создать одну группу в идентификаторе Microsoft Entra. В SharePoint Online каждый из них выбирает группу для предоставления доступа к своим сайтам.

Когда кто-то хочет получить доступ, они запрашивают его из Панель доступа групп MyApps. После утверждения они автоматически получают доступ к обоим сайтам SharePoint Online. Позже один из них решает, что все пользователи сайта также должны получить доступ к определенному приложению SaaS. Администратор приложения SaaS может добавить права доступа к сайту SharePoint Online для приложения. После этого все запросы, которые получают утвержденные, предоставляют доступ к двум сайтам SharePoint Online, а также приложению SaaS.

Включение функции самообслуживания для пользователей группы

  1. Войдите в Центр администрирования Microsoft Entra как минимум группы Администратор istrator.

  2. Выберите Microsoft Entra ID.

  3. Выберите "Все группы"> и выберите "Общие параметры".

    Примечание.

    Этот параметр ограничивает доступ только к сведениям о группе в моих группах. Он не ограничивает доступ к сведениям о группе с помощью других методов, таких как вызовы API Microsoft Graph или Центр администрирования Microsoft Entra.

    Screenshot that shows Microsoft Entra groups General settings.

    Примечание.

    В июне 2024 года параметр "Ограничить доступ пользователей к моим группам " изменится на ограничение возможностей пользователей для просмотра и изменения групп безопасности в моих группах. Если в настоящее время для параметра задано значение "Да", пользователи смогут получить доступ к моим группам в июне 2024 года, но не смогут видеть группы безопасности.

  4. Присвойте параметру Владельцы могут управлять запросами на членство в группе на панели доступа значение Да.

  5. Установите для параметра Ограничить доступ пользователей к возможностям групп на панели доступа значение Нет.

  6. Настройте параметр Пользователи могут создавать группы безопасности на порталах Azure, через API или PowerShell со значением Да или Нет.

    Дополнительные сведения об этом параметре см. в разделе "Параметры группы".

  7. Настройте параметр Пользователи могут создавать группы Microsoft 365 на порталах Azure, через API или PowerShell со значением Да или Нет.

    Дополнительные сведения об этом параметре см. в разделе "Параметры группы".

Можно также использовать параметр Владельцы, которые могут назначать участников владельцами групп на порталах Azure, чтобы контроль доступа к самостоятельному управлению группами для ваших пользователей был более детальным.

Когда пользователи могут создавать группы, все пользователи в вашей организации могут создавать новые группы. В качестве владельца по умолчанию они могут добавлять участников в эти группы. Нельзя указывать пользователей, которые могут создавать собственные группы. Вы можете указывать отдельных лиц только для того, чтобы сделать другого члена группы владельцем группы.

Примечание.

Лицензия Microsoft Entra ID P1 или P2 необходима для того, чтобы пользователи запрашивали присоединение к группе безопасности или группе Microsoft 365 и для владельцев, чтобы утвердить или запретить запросы на членство. Без лицензии Microsoft Entra ID P1 или P2 пользователи по-прежнему могут управлять своими группами в Панель доступа групп MyApp. Но они не могут создать группу, требующую утверждения владельца, и они не могут запросить присоединение к группе.

Параметры группы

Параметры группы позволяют контролировать, кто может создавать группы безопасности и Группы Microsoft 365.

Screenshot that shows Microsoft Entra security groups setting change.

Следующая таблица поможет вам решить, какие значения выбрать.

Параметр Значение Эффект
Пользователи могут создавать группы безопасности в портал Azure, API или PowerShell. Да Все пользователи в организации Microsoft Entra могут создавать новые группы безопасности и добавлять участников в эти группы в портал Azure, API или PowerShell. Эти новые группы также отображаются в Панель доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы.
No Пользователи не могут создавать группы безопасности. Они по-прежнему могут управлять членством в группах, для которых они являются владельцем и утверждать запросы от других пользователей, чтобы присоединиться к их группам.
Пользователи могут создавать группы Microsoft 365 в портал Azure, API или PowerShell. Да Все пользователи в организации Microsoft Entra могут создавать новые группы Microsoft 365 и добавлять участников в эти группы в портал Azure, API или PowerShell. Эти новые группы также отображаются в Панель доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы.
No Пользователи не могут создавать группы M365. Они по-прежнему могут управлять членством в группах, для которых они являются владельцем и утверждать запросы от других пользователей, чтобы присоединиться к их группам.

Ниже приведены дополнительные сведения об этих параметрах группы:

  • Эти параметры могут занять до 15 минут.
  • Если вы хотите, чтобы только отдельные пользователи могли создавать группы, вы можете назначить этим пользователям роль, которая имеет разрешения для создания групп, например Администратор группы.
  • Эти параметры предназначены для пользователей и не влияют на субъекты-службы. Например, если у вас есть субъект-служба с разрешениями на создание групп, даже если задано значение "Нет", субъект-служба по-прежнему может создавать группы.

Настройка параметров группы с помощью Microsoft Graph

Чтобы настроить группы безопасности пользователей в портал Azure, API или параметра PowerShell с помощью Microsoft Graph, настройте EnableGroupCreation объект в объектеgroupSettings. Дополнительные сведения см. в разделе "Обзор параметров группы".

Чтобы настроить пользователей, можно создать группы безопасности в портал Azure, API или параметра PowerShell с помощью Microsoft Graph, обновить allowedToCreateSecurityGroups свойство defaultUserRolePermissions объекта authorizationPolicy.

Следующие шаги

Дополнительные сведения об идентификаторе Microsoft Entra см. в следующих статье: