Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Группы Microsoft Entra используются для управления пользователями, которым требуются одинаковые разрешения и доступ к ресурсам, например потенциально ограниченные приложения и службы. Вместо добавления специальных разрешений отдельным пользователям будет создана группа, которая применяет специальные разрешения ко всем членам этой группы.
В этой статье рассматриваются основные сценарии групп, в которых одна группа добавляется в один ресурс, а пользователи добавляются в эту группу в качестве членов. Более сложные сценарии, такие как динамические группы членства и создание правил, см. в документации по управлению пользователями Microsoft Entra.
Прежде чем добавлять группы и члены, узнайте о группах и типах членства , чтобы помочь вам решить, какие параметры следует использовать при создании группы.
Необходимые условия
Для управления группами в Microsoft Entra требуются следующие предварительные требования:
- Роль администратора пользователей или администратора групп требуется для управления параметрами членства в группах.
- Подписка Azure. Если ее нет, создайте бесплатную учетную запись.
- Доступ к клиенту Microsoft Entra. Дополнительные сведения см. в статье "Создание нового клиента".
Создание базовой группы и добавление участников
Вы можете создать базовую группу и добавить участников одновременно с помощью Центра администрирования Microsoft Entra. Вам должна быть назначена по крайней мере роль администратора групп или администратора пользователей для создания групп. Просмотрите соответствующие роли Microsoft Entra для управления группами.
Примечание.
Делегированное администрирование между клиентами использует детализированные делегированные права администратора (GDAP). Создание группы администраторами GDAP не поддерживается, если целевой клиент использует префикс политики именования групп или суффикс, который ссылается на атрибуты вызывающего пользователя, например название отдела или компании. Чтобы создать группу, используйте учетную запись администратора в целевом клиенте.
Чтобы создать простую группу и добавить членов, сделайте следующее:
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Перейдите к Entra ID>Группы>Все группы.
Выберите Создать группу.
Выберите тип группы. Дополнительные сведения о типах групп см. в статье о группах и типах членства .
- Выбор типа группы Microsoft 365 включает параметр адреса электронной почты группы .
Введите имя группы. Выберите имя, которое вы помните, и это имеет смысл для группы. Начнется процесс проверки для определения того, используется ли уже имя. Если имя уже используется, вам будет предложено изменить имя своей группы.
- Имя группы не может начинаться с пробела. Если имя начинается с пробела, группа не будет отображаться как вариант в таких действиях, как назначение ролей участникам группы.
Адрес электронной почты группы: доступен только для типов групп Microsoft 365. Введите адрес электронной почты вручную или используйте адрес электронной почты, созданный на основе указанного имени группы.
Описание группы. Добавьте необязательное описание для вашей группы.
Установите для параметра Роли Microsoft Entra можно назначать группе значение «Да», чтобы использовать эту группу для назначения ролей Microsoft Entra участникам группы.
- Этот параметр доступен только с лицензиями P1 или P2.
- У вас должна быть по крайней мере роль администратора привилегированных ролей .
- Включение этого параметра автоматически выбирает назначенный тип членства.
- Возможность добавлять роли при создании группы добавляется в процесс.
- Дополнительные сведения о группах с возможностью назначения ролей.
Выберите тип членства. Дополнительные сведения о типах членства см. в статье о группах и типах членства .
При необходимости добавьте владельцев или участников. Членов и владельцев можно добавить после создания группы.
- Выберите ссылку в разделе "Владельцы " или "Участники ", чтобы заполнить список всех пользователей в каталоге.
- Выберите пользователей из списка и нажмите кнопку "Выбрать " в нижней части окна.
Нажмите кнопку "Создать". Ваша группа создана и готова для управления другими параметрами.
Отключение отправки приветственного сообщения электронной почты для группы
Приветственное уведомление отправляется всем пользователям при добавлении в новую группу Microsoft 365 независимо от типа членства. При изменении атрибута пользователя или устройства все правила для динамических групп членства в организации обрабатываются для потенциальных изменений членства. После этого добавляемым пользователям также отправляются приветственные уведомления. Это поведение можно отключить в Exchange PowerShell.
Добавление участников или владельцев группы
Члены и владельцы могут быть добавлены из существующих групп. Процесс одинаков для членов и владельцев. Вам потребуется роль администратора групп или администратора пользователей , чтобы добавить участников и владельцев.
Примечание.
Нужно одновременно добавить несколько членов? Узнайте о параметре массового добавления участников.
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Перейдите к Entra ID>Группы>Все группы.
Выберите группу, которой будете управлять.
Выберите участников или владельцев.
Выберите + Добавить (участники или владельцы).
Прокрутите список или введите имя в поле поиска. Вы можете одновременно выбрать несколько имен. Когда вы будете готовы, нажмите кнопку "Выбрать ".
Страница Общие сведения о группе обновится, чтобы отобразить количество участников, добавленных в группу.
Удаление участников или владельцев группы
Члены и владельцы могут быть удалены из существующих групп. Процесс одинаков для членов и владельцев. Для удаления участников и владельцев потребуется роль администратора групп или администратора пользователей .
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Перейдите к Entra ID>Группы>Все группы.
Выберите группу, которой будете управлять.
Выберите участников или владельцев.
Установите флажок рядом с именем из списка и нажмите кнопку "Удалить ".
Изменение параметров группы
Вы можете изменить имя группы, описание или тип членства. Для изменения параметров группы потребуется роль администратора групп или администратора пользователей .
Чтобы изменить параметры группы, сделайте следующее:
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Перейдите к Entra ID>Группы>Все группы.
Прокрутите список или введите имя группы в поле поиска. Выберите группу, которой будете управлять.
Выберите "Свойства " в боковом меню.
При необходимости обновите общие сведения о параметрах , в том числе:
Имя группы. Измените существующее имя группы.
Описание группы. Измените существующее описание группы.
Тип группы. Тип группы нельзя изменить после создания. Чтобы изменить тип группы, необходимо удалить группу и создать новую.
Тип членства. Измените тип членства. Если вы включили параметр Группе можно назначать роли Microsoft Entra, изменить тип членства нельзя. Дополнительные сведения о доступных типах членства см. в статье о группах и типах членства .
Идентификатор объекта. Невозможно изменить идентификатор объекта, но можно скопировать его и использовать в командах PowerShell для группы. Дополнительные сведения об использовании командлетов PowerShell см. в статье Командлеты Microsoft Entra для настройки параметров групп.
Добавление группы в другую группу
Для типа группы безопасности можно добавить существующую группу в другую группу (также называемую вложенными группами). В зависимости от типов членства в группах можно добавить группу в качестве члена другой группы. Вложенные группы можно использовать для определения членства и областей применения условного доступа. Вложенные группы не получают доступа к общим ресурсам и приложениям, назначенным родительской группе.
В настоящее время мы не поддерживаем:
- добавление группы в другую группу, синхронизированную с локальной службой Active Directory;
- Добавление групп безопасности в группы Microsoft 365.
- Добавление групп Microsoft 365 в группы безопасности или другие группы Microsoft 365.
- Назначена принадлежность к общим ресурсам и приложениям для вложенных групп безопасности.
- Применение лицензий к вложенным группам безопасности.
- Добавление групп рассылки в сценариях вложения.
- добавление групп безопасности в качестве элементов групп безопасности с поддержкой электронной почты.
- Добавление групп в качестве членов группы с возможностью назначения ролей.
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Перейдите к Entra ID>Группы>Все группы.
На странице Все группы найдите и выберите группу, которую нужно сделать участником другой группы.
Примечание.
Вы можете добавить свою группу в качестве участника только в одну другую группу одновременно. Подстановочные знаки не поддерживаются в строке поиска Выбор группы.
На странице обзора группы выберите членства в группах в боковом меню.
Выберите +Добавить членство.
Найдите группу, членом которой должна стать ваша группа, и выберите «Выбрать».
В этом упражнении мы добавляем "Политика MDM — Запад" в группу "Политика MDM — Все организации". Группа "MDM - policy - West" будет иметь тот же доступ, что и группа "MDM policy - All org".
Теперь вы можете просмотреть страницу "Политика MDM — Запад — Членство в группах", чтобы увидеть связь между группой и её участниками.
Чтобы более подробно изучить взаимосвязь между группой и участником, выберите название родительской группы («Политика управления мобильными устройствами — Все организации») и ознакомьтесь со сведениями на странице «Политика управления мобильными устройствами — Запад».
Удаление группы из другой группы
Вы можете удалить существующую группу безопасности из состава другой группы безопасности; однако при удалении группы также удаляются все унаследованные права доступа у участников этой группы.
На странице «Все группы» найдите и выберите группу, которую нужно удалить из участников другой группы.
На странице "Обзор группы" выберите членство в группах.
Выберите родительскую группу на странице членства в группах .
Выберите Удалить.
В этом упражнении мы удалим «MDM policy - West» из группы «MDM policy - All org».
Удаление группы
Удаление группы может потребоваться по разным причинам. Вот наиболее распространенные из них:
- Выберите неправильный параметр типа группы .
- По ошибке создан дубликат группы.
- Группа больше не нужна.
Войдите в центр администрирования Microsoft Entra с правами администратора групп.
Перейдите к Entra ID>Группы>Все группы.
Найдите и выберите группу для удаления.
Нажмите кнопку "Удалить".