Настройка самостоятельного управления группами в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra предоставляет функции самостоятельного управления группами, которые позволяют пользователям создавать собственные группы безопасности или группы Microsoft 365 и управлять ими. Владелец группы может утверждать или отклонять запросы на членство, а также делегировать управление членством в группе. Функции самостоятельного управления группами недоступны для групп безопасности с поддержкой почты или списков рассылки.
Членство в группе самообслуживания
Вы можете разрешить пользователям создавать группы безопасности для управления доступом к общим ресурсам. Пользователи могут создавать группы безопасности из Центра администрирования Microsoft Entra, с помощью PowerShell или на портале "Мои группы".
Только владельцы группы могут изменять состав участников. Вы можете предоставить владельцам групп возможность утвердить или запретить запросы на членство на портале "Мои группы". Группы безопасности, созданные самостоятельно через портал "Мои группы", доступны для присоединения всем пользователям, независимо от того, требуют ли они одобрения владельца или автоматически одобрены. На портале "Мои группы" можно изменить параметры членства при создании группы.
Группы Microsoft 365 предоставляют возможности совместной работы для пользователей. Группы можно создавать в любом из приложений Microsoft 365, таких как SharePoint и Microsoft Teams. Вы также можете создавать группы Microsoft 365 в портал Azure с помощью Microsoft Graph PowerShell или на портале "Мои группы". Дополнительные сведения о различиях между группами безопасности и группами Microsoft 365 см. в статье "Сведения о группах".
| Группы, созданные в | Поведение группы безопасности по умолчанию | Поведение группы Microsoft 365 по умолчанию |
|---|---|---|
| Microsoft Graph PowerShell | Только владельцы могут добавлять участников. Видимый в Панели доступа групп MyApp, но недоступный для присоединения. |
Доступно для присоединения всем пользователям. |
| Портал Azure | Только владельцы могут добавлять участников. Видимый, но недоступный для присоединения на портале "Мои группы". Владелец не назначается автоматически при создании группы. |
Доступно для всех пользователей. |
| Портал "Мои группы" | Пользователи могут управлять группами и запрашивать доступ на присоединение к группам. Параметры членства можно изменить при создании группы. |
Доступно для присоединения всеми пользователями. Параметры членства можно изменить при создании группы. |
Сценарии самостоятельного управления группами
Два сценария помогают объяснить самостоятельное управление группами.
Делегированное управление группами
В этом примере администратор управляет доступом к приложению Software as Service (SaaS), используемому компанией. Управление правами доступа является громоздким, поэтому администратор просит владельца бизнеса создать новую группу. Администратор назначает приложению доступ к новой группе и добавляет в группу всех пользователей, уже имеющих доступ к приложению. Впоследствии владелец компании может добавить несколько пользователей, и им автоматически будет предоставлен доступ к приложению.
Владельцу бизнеса не нужно ждать, пока администратор управляет доступом для пользователей. Если администратор предоставляет одному и тому же разрешение руководителю в другой бизнес-группе, этот пользователь также может управлять доступом для своих членов группы. Владелец бизнеса и менеджер не могут просматривать или управлять членством в группах друг друга. Администратор по-прежнему может видеть всех пользователей, имеющих доступ к приложению, и при необходимости блокировать права доступа.
Примечание.
Для делегированных сценариев администратору необходимо иметь по крайней мере роль администратора привилегированных ролей Microsoft Entra .
Управление группами самообслуживания
В этом примере у двух пользователей есть сайты SharePoint Online, которые они настраивают независимо. Они хотят предоставить командам взаимный доступ к своим сайтам. Для выполнения этой задачи они могут создать одну группу в идентификаторе Microsoft Entra. В SharePoint Online каждый из них выбирает группу для предоставления доступа к своим сайтам.
Когда кто-то хочет получить доступ, он запрашивает его на портале "Мои группы". После утверждения они автоматически получают доступ к обоим сайтам SharePoint Online. Позже один из них решает, что все пользователи сайта также должны получить доступ к определенному приложению SaaS. Администратор приложения SaaS может добавить права доступа к сайту SharePoint Online для приложения. После этого все запросы, которые получают утвержденные, предоставляют доступ к двум сайтам SharePoint Online, а также приложению SaaS.
Сделать группу доступной для самообслуживания пользователями
Войдите в центр администрирования Microsoft Entra как минимум в качестве глобального администратора.
Выберите Microsoft Entra ID.
Выберите Все группы>Группы, а затем выберите Основные параметры.
Примечание.
Этот параметр ограничивает доступ только к сведениям о группе в моих группах. Он не ограничивает доступ к сведениям о группе с помощью других методов, таких как вызовы API Microsoft Graph или Центр администрирования Microsoft Entra.
Примечание.
Изменения в настройке «Управление группами в режиме самообслуживания» в настоящее время находятся на рассмотрении и не будут реализованы, как первоначально планировалось. Дата устаревания будет объявлена в будущем.
Присвойте параметру Владельцы могут управлять запросами на членство в группе на панели доступа значение Да.
Установите для параметра Ограничить доступ пользователей к возможностям групп на панели доступа значение Нет.
Настройте параметр Пользователи могут создавать группы безопасности на порталах Azure, через API или PowerShell со значением Да или Нет.
Дополнительные сведения об этом параметре см. в разделе "Параметры группы".
Настройте параметр Пользователи могут создавать группы Microsoft 365 на порталах Azure, через API или PowerShell со значением Да или Нет.
Дополнительные сведения об этом параметре см. в разделе "Параметры группы".
Можно также использовать параметр Владельцы, которые могут назначать участников владельцами групп на порталах Azure, чтобы контроль доступа к самостоятельному управлению группами для ваших пользователей был более детальным.
Когда пользователи могут создавать группы, все пользователи в вашей организации могут создавать новые группы. В качестве владельца по умолчанию они могут добавлять участников в эти группы. Нельзя указывать пользователей, которые могут создавать собственные группы. Вы можете указывать отдельных лиц только для того, чтобы сделать другого члена группы владельцем группы.
Примечание.
Лицензия Microsoft Entra ID P1 или P2 необходима для того, чтобы пользователи запрашивали присоединение к группе безопасности или группе Microsoft 365 и для владельцев, чтобы утвердить или запретить запросы на членство. Без лицензии Microsoft Entra ID P1 или P2 пользователи по-прежнему могут управлять своими группами в Панель доступа групп MyApp. Но они не могут создать группу, требующую утверждения владельца, и они не могут запросить присоединение к группе.
Параметры группы
Параметры группы позволяют контролировать, кто может создавать группы безопасности и Группы Microsoft 365.
Следующая таблица поможет вам решить, какие значения выбрать.
| Настройки | Значение | Эффект на вашего арендатора |
|---|---|---|
| Пользователи могут создавать группы безопасности в портал Azure, API или PowerShell. | Да | Все пользователи в организации Microsoft Entra могут создавать новые группы безопасности и добавлять участников в эти группы в портал Azure, API или PowerShell. Эти новые группы также отображаются в Панель доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы. |
| Нет | Пользователи не могут создавать группы безопасности. Они по-прежнему могут управлять членством в группах, для которых они являются владельцем и утверждать запросы от других пользователей, чтобы присоединиться к их группам. | |
| Пользователи могут создавать группы Microsoft 365 в портал Azure, API или PowerShell. | Да | Все пользователи в организации Microsoft Entra могут создавать новые группы Microsoft 365 и добавлять участников в эти группы в портал Azure, API или PowerShell. Эти новые группы также отображаются в Панель доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы. |
| Нет | Пользователи не могут создавать группы Microsoft 365. Они по-прежнему могут управлять членством в группах, для которых они являются владельцем и утверждать запросы от других пользователей, чтобы присоединиться к их группам. |
Ниже приведены дополнительные сведения об этих параметрах группы:
- Эти настройки могут вступить в силу через 15 минут.
- Если вы хотите, чтобы только отдельные пользователи могли создавать группы, вы можете назначить этим пользователям роль, которая имеет разрешения для создания групп, например Администратор группы.
- Эти параметры предназначены для пользователей и не влияют на субъекты-службы. Например, если у вас есть субъект-служба с разрешениями на создание групп, даже если задано значение "Нет", субъект-служба по-прежнему может создавать группы.
Настройка параметров группы с помощью Microsoft Graph
Чтобы настроить параметр Пользователи могут создавать группы Microsoft 365 в порталах Azure, API или PowerShell с помощью Microsoft Graph, настройте EnableGroupCreation объект в groupSettings объекте. Дополнительные сведения см. в разделе "Обзор параметров группы".
Чтобы настроить параметр Пользователи могут создавать группы безопасности в порталах Azure, API или PowerShell с помощью Microsoft Graph, обновите свойство allowedToCreateSecurityGroups объекта authorizationPolicy.
Следующие шаги
Дополнительные сведения об идентификаторе Microsoft Entra см. в следующих статье: