在 Azure Active Directory 中設定自助群組管理

您可以讓使用者在 Azure Active Directory (Azure AD) 中,建立及管理自己的安全性群組或 Microsoft 365 群組。 群組擁有者可以核准或拒絕成員資格要求,也可以委派群組成員資格的控制權。 自助群組管理功能不適用於具備郵件功能的安全性群組或通訊群組清單。

自助群組成員資格預設值

在 Azure 入口網站中建立安全性群組或使用 Azure AD PowerShell 時,只有群組的擁有者可以更新成員資格。 無論是擁有者核准或自動核准,都可以在存取面板和所有 Microsoft 365 群組中由自助服務所建立的安全性群組加入所有使用者。 在 [存取面板] 中,您可以在建立群組時變更成員資格選項。

建立的群組 安全性群組預設行為 Microsoft 365 群組預設行為
Azure AD PowerShell 只有擁有者可以新增成員
可在存取面板中顯示但無法加入
開啟以加入所有使用者
Azure 入口網站 只有擁有者可以新增成員
可在存取面板中顯示但無法加入
建立群組時,不會自動指派擁有者
開啟以加入所有使用者
存取面板 開啟以加入所有使用者
建立群組時,可以變更成員資格選項
開啟以加入所有使用者
建立群組時,可以變更成員資格選項

自助群組管理案例

  • 委派的群組管理 例如,管理公司所使用 SaaS 應用程式存取權的系統管理員。 管理這些存取權限會變得很麻煩,所以此系統管理員會要求企業業主建立新的群組。 系統管理員會將應用程式的存取權指派給新的群組,並將所有已存取該應用程式的使用者新增至群組。 接著,企業業主可以新增更多使用者,而且這些使用者會自動佈建到應用程式。 企業業主不需要等待系統管理員管理使用者的存取權。 如果系統管理員將相同的許可權授與不同商務群組中的管理員,該人員也可以管理自己群組成員的存取權。 商務擁有者或管理員都不能同時查看或管理彼此的群組成員資格。 系統管理員仍然可以看到可以存取應用程式的所有使用者,並視需要封鎖存取權。
  • 自助式群組管理 此案例的其中一個範例是兩個使用者,他們各自設定了 SharePoint Online 網站。 他們想要讓彼此的團隊可以存取他們的網站。 為了達成此目的,他們可以在 Azure AD 中建立一個群組,並各自在 SharePoint Online 中選取該群組來提供對他們網站的存取權。 當有人想要存取權時,他們會從 [存取面板] 中要求,而且在核准之後,他們就可以自動取得這兩個 SharePoint Online 網站的存取權。 之後,其中一個人會決定存取網站的所有人員也可以存取特定的 SaaS 應用程式。 SaaS 應用程式的系統管理員可以將此應用程式的存取權限新增到 SharePoint Online 網站。 從那時起,任何獲得核准的要求都可以存取兩個 SharePoint Online 網站,也可以存取此 SaaS 應用程式。

提供可供使用者自助服務的群組

  1. 使用已獲指派目錄的全域管理員或特殊許可權角色系統管理員角色的帳戶登入Azure AD admin center

  2. 選取 [ 群組],然後選取 [一般 設定]。

    ![Azure Active Directory 群組一般設定]。](./media/groups-self-service-management/groups-settings-general.png)

  3. 設定 擁有者可以在存取面板中管理群組成員資格要求[是]

  4. 存取面板中的 [將群組功能存取權的使用者能力 ] 設定為 [ ]。

  5. 設定 使用者可以在 Azure 入口網站、API 或 PowerShell 中建立安全性群組, 以設定為 [是] 或 [ ]。

    如需此設定的詳細資訊,請參閱下一節的 群組設定

  6. 設定 使用者可以在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組[是] 或 [ ]。

    如需此設定的詳細資訊,請參閱下一節的 群組設定

您也可以使用 可在 Azure 入口網站中將成員指派為群組擁有者的擁有者 ,以對使用者進行自助群組管理,以取得更細微的存取控制。

當使用者可以建立群組時,您組織中的所有使用者都可以建立新的群組,然後以預設的擁有者身分,將成員新增至這些群組。 您無法指定可以建立自己群組的個人。 您只能指定個人讓另一個群組成員成為群組擁有者。

注意

需要 Azure Active Directory Premium (P1 或 P2) 授權,使用者才能要求加入安全性群組或 Microsoft 365 群組,以及讓擁有者核准或拒絕成員資格要求。 若沒有 Azure Active Directory Premium 授權,使用者仍然可以在存取面板中管理其群組,但是他們無法建立需要在存取面板中進行擁有者核准的群組,也無法要求加入群組。

群組設定

群組設定可讓您控制誰可以建立安全性和 Microsoft 365 群組。

Azure Active Directory 安全性群組設定變更。

注意

這些設定的行為最近已變更。 請確定已為您的組織設定這些設定。 如需詳細資訊,請參閱 為什麼群組設定變更?

下表可協助您決定要選擇的值。

設定 對您租使用者的影響
使用者可以在 Azure 入口網站、API 或 PowerShell 中建立安全性群組 Yes 您 Azure AD 組織中的所有使用者都可以建立新的安全性群組,並在 Azure 入口網站、API 或 PowerShell 中將成員新增至這些群組。 這些新的群組也會顯示在其他所有使用者的 [存取面板] 中。 如果群組的原則設定允許,其他使用者可以建立加入這些群組的要求。
No 使用者無法建立安全性群組,也無法變更其為擁有者的現有群組。 不過,他們仍然可以管理這些群組的成員資格,以及核准其他使用者加入其群組的要求。
使用者可以在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組 Yes 您 Azure AD 組織中的所有使用者都可以建立新的 Microsoft 365 群組,並在 Azure 入口網站、API 或 PowerShell 中將成員新增至這些群組。 這些新的群組也會顯示在其他所有使用者的 [存取面板] 中。 如果群組的原則設定允許,其他使用者可以建立加入這些群組的要求。
No 使用者無法建立 Microsoft 365 群組,也無法變更其為擁有者的現有群組。 不過,他們仍然可以管理這些群組的成員資格,以及核准其他使用者加入其群組的要求。

以下是這些群組設定的一些其他詳細資料。

  • 這些設定最多可能需要15分鐘的時間才會生效。
  • 如果您想要讓部分(而非全部)使用者建立群組,您可以為這些使用者指派可建立群組的角色,例如 群組系統管理員
  • 這些設定適用于使用者,且不會影響服務主體。 例如,如果您的服務主體具有建立群組的許可權,即使您將這些設定設為 [ ],服務主體仍可以建立群組。

群組設定為何變更?

先前的群組設定執行名稱是 使用者可以在 azure 入口網站中建立安全性群組使用者可以在 azure 入口網站中建立 Microsoft 365 群組。 先前的設定只會在 Azure 入口網站中建立受控群組,並不適用于 API 或 PowerShell。 在 Azure 入口網站中建立新的設定控制項群組,以及 API 和 PowerShell。 新設定更安全。

新設定的預設值已設為先前的 API 或 PowerShell 值。 新設定的預設值可能會與先前只控制 Azure 入口網站行為的值不同。 從2021年5月開始,有幾周的轉換期間,您可以在新設定生效之前選取慣用的預設值。 現在新的設定生效,您必須確認已為您的組織設定新的設定。

下一步

這些文章提供有關 Azure Active Directory 的其他資訊。