Изменить

Поделиться через

Управление группами Microsoft Entra и членством в группах

  • Практическое руководство

Группы Microsoft Entra используются для управления пользователями, которым требуются одинаковые разрешения и доступ к ресурсам, например потенциально ограниченные приложения и службы. Вместо добавления специальных разрешений отдельным пользователям создается группа, которая применяет специальные разрешения для каждого члена этой группы.

В этой статье рассматриваются основные сценарии групп, в которых одна группа добавляется в один ресурс и пользователи добавляются в эту группу в качестве участников. Более сложные сценарии, такие как динамические группы членства и создание правил, см. в документации по управлению пользователями Microsoft Entra.

Прежде чем добавлять группы и члены, узнайте о группах и типах членства, чтобы помочь вам решить, какие параметры следует использовать при создании группы.

Необходимые компоненты

нет

Создание базовой группы и добавление участников

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете создать базовую группу и добавить участников одновременно с помощью Центра администрирования Microsoft Entra. Вам должна быть назначена по крайней мере роль администратора групп или администратора пользователей для создания групп. Просмотрите соответствующие роли Microsoft Entra для управления группами

Чтобы создать базовую группу и добавить участников, выполните приведенные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Выберите "Создать группу".

    Снимок экрана: страница

  4. Выберите тип группы. Дополнительные сведения о типах групп см . в статье о группах и типах членства .

    • Выбор типа группы Microsoft 365 включает параметр адреса электронной почты группы.

  5. Введите имя группы. Выберите имя, которое вы помните, и это имеет смысл для группы. Проверка будет выполнена, чтобы определить, используется ли имя. Если имя уже используется, вам будет предложено изменить имя группы.

    • Имя группы не может начинаться с пробела. При запуске имени с пробелом группа не будет отображаться в качестве параметра для таких шагов, как добавление назначений ролей в члены группы.

  6. Адрес электронной почты группы: доступен только для типов групп Microsoft 365. Введите адрес электронной почты вручную или используйте адрес электронной почты, созданный из предоставленного имени группы.

  7. Описание группы. Добавьте необязательное описание в группу.

  8. Переключение ролей Microsoft Entra можно назначить параметру группы "Да", чтобы использовать эту группу для назначения ролей Microsoft Entra участникам.

    • Этот параметр доступен только с лицензиями P1 или P2.
    • У вас должна быть по крайней мере роль администратора привилегированных ролей.
    • Включение этого параметра автоматически выбирает назначенный тип членства.
    • Возможность добавлять роли при создании группы добавляется в процесс.
    • Дополнительные сведения о группах с возможностью назначения ролей.

  9. Выберите тип членства. Дополнительные сведения о типах членства см. в статье о группах и типах членства.

  10. При необходимости добавьте владельцев или участников. После создания группы можно добавить участников и владельцев.

    1. Выберите ссылку в разделе "Владельцы" или "Участники", чтобы заполнить список всех пользователей в каталоге.
    2. Выберите пользователей из списка и нажмите кнопку "Выбрать " в нижней части окна.

    Снимок экрана: выбор участников для группы во время процесса создания группы.

  11. Нажмите кнопку "Создать". Ваша группа создана и готова к управлению другими параметрами.

    Отключить приветственное сообщение группы

    Уведомление приветствия отправляется всем пользователям при добавлении в новую группу Microsoft 365 независимо от типа членства. При изменении атрибута пользователя или устройства все правила для динамических групп членства в организации обрабатываются для потенциальных изменений членства. Пользователи, которые добавляются, также получают приветственное уведомление. Это поведение можно отключить в Exchange PowerShell.

Добавление участников или владельцев группы

Члены и владельцы могут быть добавлены из существующих групп. Процесс одинаков для членов и владельцев. Вам потребуется роль администратора групп или администратора пользователей, чтобы добавить участников и владельцев.

Нужно добавить несколько членов одновременно? Сведения о добавлении элементов в массовом режиме .

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Выберите группу, управляемую.

  4. Выберите участников или владельцев.

    Снимок экрана: страница обзора группы с выделенными параметрами меню

  5. Выберите +Добавить (участники или владельцы).

  6. Прокрутите список или введите имя в поле поиска. Вы можете выбрать несколько имен одновременно. Когда вы будете готовы, нажмите кнопку "Выбрать ".

    На странице "Обзор группы" отображается количество участников, которые теперь добавляются в группу.

Удаление участников или владельцев группы

Члены и владельцы могут быть удалены из существующих групп. Процесс одинаков для членов и владельцев. Для удаления участников и владельцев потребуется роль администратора групп или администратора пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Выберите группу, управляемую.

  4. Выберите участников или владельцев.

  5. Установите флажок рядом с именем из списка и нажмите кнопку "Удалить ".

    Снимок экрана: элементы группы с выбранным именем и выделенной кнопкой

Изменение параметров группы

Вы можете изменить имя группы, описание или тип членства. Для изменения параметров группы потребуется роль администратора групп или администратора пользователей.

Чтобы изменить параметры группы, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Прокрутите список или введите имя группы в поле поиска. Выберите группу, управляемую.

  4. Выберите "Свойства " в боковом меню.

  5. При необходимости обновите общие сведения о параметрах, в том числе:

    • Имя группы. Измените существующее имя группы.

    • Описание группы. Измените описание существующей группы.

    • Тип группы. Вы не можете изменить тип группы после ее создания. Чтобы изменить тип группы, необходимо удалить группу и создать новую.

    • Тип членства. Измените тип членства. Если для параметра группы можно назначить роли Microsoft Entra, изменить тип членства нельзя. Дополнительные сведения о доступных типах членства см . в статье о группах и типах членства .

    • Идентификатор объекта. Вы не можете изменить идентификатор объекта, но его можно скопировать для использования в командах PowerShell для группы. Дополнительные сведения об использовании командлетов PowerShell см . в командлетах Microsoft Entra для настройки параметров группы.

Добавление группы в другую группу

Для типа группы безопасности можно добавить существующую группу в другую группу (также называемую вложенными группами). В зависимости от типов членства в группе можно добавить группу в качестве члена другой группы так же, как и пользователь, который применяет такие параметры, как разрешения доступа и роли к вложенным группам. Но для вложенных групп Entra не применяет назначенное членство к общим ресурсам и приложениям.

Для изменения членства в группах вам потребуется роль администратора групп или администратора пользователей. Дополнительные сведения о группах безопасности см. в разделе "Что знать перед созданием группы".

В настоящее время мы не поддерживаем:

  • Добавление групп в группу, синхронизированную с локальная служба Active Directory.
  • Добавление групп безопасности в группы Microsoft 365.
  • Добавление групп Microsoft 365 в группы безопасности или другие группы Microsoft 365.
  • Назначено членство в общих ресурсах и приложениях для вложенных групп безопасности.
  • Применение лицензий к вложенным группам безопасности.
  • Добавление групп рассылки в вложенные сценарии.
  • Добавление групп безопасности в качестве членов групп безопасности с поддержкой почты.
  • Добавление групп в качестве членов группы, назначаемой ролем.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. На странице "Все группы" найдите и выберите группу, которую вы хотите стать членом другой группы.

    Заметка

    Вы можете добавить группу только в качестве участника в одну другую группу одновременно. Подстановочные знаки не поддерживаются в поле поиска "Выбор группы ".

  4. На странице обзора группы выберите членства в группах в боковом меню.

  5. Выберите +Добавить членство.

  6. Найдите группу, в которую вы хотите, чтобы группа была участником, и нажмите кнопку "Выбрать".

    В этом упражнении мы добавим "политику MDM - Запад" в группу "Политика MDM — все организации". Группа MDM - policy - West будет иметь тот же доступ, что и группа "Политика MDM - Все организации".

    Снимок экрана: создание группы участника другой группы с членством в группах из бокового меню и выделенным параметром

    Теперь вы можете просмотреть страницу "Политика MDM - Западная группа - членство в группах", чтобы увидеть связь группы и члена.

    Чтобы получить более подробное представление о связи группы и члена, выберите имя родительской группы (политика MDM — все организации) и просмотрите сведения о странице "Политика MDM — Запад".

Удаление группы из другой группы

Для типа группы безопасности можно добавить существующую группу в другую группу (также называемую вложенными группами). В зависимости от типов членства в группе можно добавить группу в качестве члена другой группы так же, как и пользователь, который применяет такие параметры, как разрешения доступа и роли к вложенным группам. Но для вложенных групп Entra не применяет назначенное членство к общим ресурсам и приложениям.

Для изменения членства в группах вам потребуется роль администратора групп или администратора пользователей. Дополнительные сведения о группах безопасности см. в разделе "Что знать перед созданием группы".

Вы можете удалить существующую группу безопасности из другой группы безопасности; Однако удаление группы также удаляет любой унаследованный доступ для своих членов.

  1. На странице "Все группы" найдите и выберите группу, необходимую для удаления в качестве члена другой группы.

  2. На странице "Обзор группы" выберите членство в группах.

  3. Выберите родительскую группу на странице членства в группах .

  4. Нажмите кнопку " Удалить".

    В этом упражнении мы теперь удалим "политика MDM - Запад" из группы "Политика MDM — все организации".

    Снимок экрана: страница

Удаление группы

Вы можете удалить группу по любым причинам, но обычно это будет связано с тем, что вы:

  • Выберите неправильный параметр типа группы.
  • Создана повторяющаяся группа по ошибке.
  • Больше не требуется группа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Перейдите к группам>удостоверений>Все группы.

  3. Найдите и выберите группу, которую вы хотите удалить.

  4. Нажмите кнопку " Удалить".

Связанный контент