Selfservicegroepsbeheer instellen in Microsoft Entra-id
Microsoft Entra ID biedt selfservice groepsbeheerfuncties waarmee gebruikers hun eigen beveiligingsgroepen of Microsoft 365-groepen kunnen maken en beheren. De eigenaar van de groep kan aanvragen voor een lidmaatschap goedkeuren of weigeren en het beheer van een groepslidmaatschap delegeren. Selfservice groepsbeheerfuncties zijn niet beschikbaar voor beveiligingsgroepen of distributielijsten met e-mail.
Selfservicegroepslidmaatschap
U kunt gebruikers toestaan beveiligingsgroepen te maken om de toegang tot gedeelde resources te beheren. Gebruikers kunnen beveiligingsgroepen maken vanuit het Microsoft Entra-beheercentrum, met behulp van PowerShell of via de Portal Mijn groepen.
Alleen de eigenaren van de groep kunnen het lidmaatschap bijwerken. U kunt groepseigenaren de mogelijkheid geven om lidmaatschapsaanvragen van de portal Mijn groepen goed te keuren of te weigeren. Beveiligingsgroepen die zijn gemaakt via zelfbediening in de portal Mijn Groepen, kunnen door alle gebruikers worden gebruikt, ongeacht of ze door de eigenaar zijn goedgekeurd of automatisch zijn goedgekeurd. In de portal Mijn groepen kunt u lidmaatschapsopties wijzigen wanneer u de groep maakt.
Microsoft 365-groepen bieden samenwerkingsmogelijkheden voor uw gebruikers. U kunt groepen maken in een van de Microsoft 365-toepassingen, zoals SharePoint en Microsoft Teams. U kunt ook Microsoft 365-groepen maken in Azure Portals met behulp van Microsoft Graph PowerShell of via de portal Mijn groepen. Zie Meer informatie over groepen voor meer informatie over het verschil tussen beveiligingsgroepen en Microsoft 365-groepen.
| Groepen die zijn gemaakt in | Standaardgedrag van beveiligingsgroep | Standaardgedrag voor Microsoft 365-groepen |
|---|---|---|
| Microsoft Graph PowerShell | Alleen eigenaren kunnen leden toevoegen. Zichtbaar maar niet beschikbaar om deel te nemen in MyApp Groups Toegangsvenster. |
Open om lid te worden voor alle gebruikers. |
| Azure-portal | Alleen eigenaren kunnen leden toevoegen. Zichtbaar maar niet beschikbaar om deel te nemen in de portal Mijn groepen. Eigenaar wordt niet automatisch toegewezen bij het maken van groepen. |
Open om lid te worden voor alle gebruikers. |
| Portal Mijn groepen | Gebruikers kunnen hier groepen beheren en toegang aanvragen om lid te worden van groepen. Lidmaatschapsopties kunnen worden gewijzigd wanneer een groep wordt gemaakt. |
Open om lid te worden voor alle gebruikers. Lidmaatschapsopties kunnen worden gewijzigd wanneer een groep wordt gemaakt. |
Scenario's voor selfservice voor groepsbeheer
Twee scenario's helpen bij het uitleggen van selfservicegroepsbeheer.
Gedelegeerd groepsbeheer
In dit voorbeeldscenario beheert een beheerder de toegang tot een SaaS-toepassing (Software as a Service) die het bedrijf gebruikt. Het beheren van de toegangsrechten is lastig, dus de beheerder vraagt de eigenaar van het bedrijf om een nieuwe groep te maken. De beheerder wijst toegang voor de toepassing toe aan de nieuwe groep en voegt alle personen die al toegang hebben tot de toepassing toe aan de groep. De bedrijfseigenaar kan meer gebruikers toevoegen en deze gebruikers worden automatisch ingericht op de toepassing.
De bedrijfseigenaar hoeft niet op de beheerder te wachten om de toegang voor gebruikers te beheren. Als de beheerder dezelfde machtigingen verleent aan een manager in een andere bedrijfsgroep, kan die persoon ook de toegang voor hun eigen groepsleden beheren. De eigenaar van het bedrijf en de manager kunnen elkaars groepslidmaatschappen niet bekijken of beheren. De beheerder kan nog steeds alle gebruikers zien die toegang hebben tot de toepassing en toegangsrechten blokkeren, indien nodig.
Notitie
Voor gedelegeerde scenario's moet de beheerder ten minste beschikken over de rol Beheerder van bevoorrechte rollen van Microsoft Entra.
Groepsbeheer via zelfbediening
In dit voorbeeldscenario hebben twee gebruikers SharePoint Online-sites die ze onafhankelijk hebben ingesteld. Ze willen elkaars teams toegang geven tot hun sites. Om deze taak uit te voeren, kunnen ze één groep maken in Microsoft Entra-id. In SharePoint Online selecteert elk van hen die groep om toegang tot hun sites te verlenen.
Wanneer iemand toegang wil, vraagt hij of zij dit aan via de portal Mijn groepen. Na goedkeuring krijgen ze automatisch toegang tot beide SharePoint Online-sites. Later beslist één van hen dat alle personen die de site openen ook toegang moeten krijgen tot een specifieke SaaS-toepassing. De beheerder van de SaaS-toepassing kan toegangsrechten toevoegen voor de toepassing aan de SharePoint Online-site. Vanaf dat moment geven alle aanvragen die worden goedgekeurd toegang tot de twee SharePoint Online-sites en ook naar de SaaS-toepassing.
Een groep beschikbaar maken voor self-service door gebruikers
Log in op het Microsoft Entra-beheercentrum als ten minste een Globale beheerder.
Selecteer Microsoft Entra ID.
Selecteer Alle groepen>groepen en selecteer vervolgens Algemene instellingen.
Notitie
Deze instelling beperkt alleen de toegang tot groepsgegevens in Mijn groepen. De toegang tot groepsinformatie wordt niet beperkt via andere methoden, zoals Microsoft Graph API-aanroepen of het Microsoft Entra-beheercentrum.
Notitie
Wijzigingen met betrekking tot de selfservice groepsbeheerinstelling worden momenteel beoordeeld en zullen niet worden doorgevoerd zoals oorspronkelijk gepland. Een datum voor afschaffing zal op een later tijdstip worden aangekondigd.
Stel Eigenaren kunnen aanvragen voor groepslidmaatschap in het toegangsvenster beheren in op Ja.
Stel Mogelijkheid van gebruikers beperken om toegang te krijgen tot groepsfuncties in het toegangsvenster in op Nee.
Stel Gebruikers kunnen beveiligingsgroepen maken in Azure-portals, API of PowerShell in op Ja of Nee.
Zie Groepsinstellingen voor meer informatie over deze instelling.
Stel Gebruikers kunnen Microsoft 365-groepen maken in Azure-portals, API of PowerShell in op Ja of Nee.
Zie Groepsinstellingen voor meer informatie over deze instelling.
U kunt ook Eigenaren die leden kunnen toewijzen als groepseigenaren in de Azure portal gebruiken om meer gedetailleerde toegang te verkrijgen voor het zelfbedieningsbeheer van groepen voor uw gebruikers.
Wanneer gebruikers groepen kunnen maken, mogen alle gebruikers in uw organisatie nieuwe groepen maken. Als standaardeigenaar kunnen ze vervolgens leden toevoegen aan deze groepen. U kunt geen personen opgeven die hun eigen groepen kunnen maken. U kunt personen alleen opgeven om een ander groepslid groepseigenaar te maken.
Notitie
Een Microsoft Entra ID P1- of P2-licentie is vereist voor gebruikers om lid te worden van een beveiligingsgroep of Microsoft 365-groep en voor eigenaren om lidmaatschapsaanvragen goed te keuren of te weigeren. Zonder een Microsoft Entra ID P1- of P2-licentie kunnen gebruikers hun groepen nog steeds beheren in de MyApp-groepen Toegangsvenster. Maar ze kunnen geen groep maken waarvoor goedkeuring van de eigenaar is vereist en ze kunnen geen verzoek indienen om lid te worden van een groep.
Groepsinstellingen
Met de groepsinstellingen kunt u bepalen wie beveiligings- en Microsoft 365-groepen kan maken.
In de volgende tabel kunt u bepalen welke waarden u wilt kiezen.
| Instelling | Waarde | Effect op uw huurder |
|---|---|---|
| Gebruikers kunnen beveiligingsgroepen maken in Azure Portal, API of PowerShell. | Ja | Alle gebruikers in uw Microsoft Entra-organisatie mogen nieuwe beveiligingsgroepen maken en leden toevoegen aan deze groepen in de Azure-portal, API of PowerShell. Deze nieuwe groepen worden ook weergegeven in de Toegangsvenster voor alle andere gebruikers. Als de beleidsinstelling van de groep dit toestaat, kunnen andere gebruikers verzoeken maken om lid te worden van deze groepen. |
| Nee | Gebruikers kunnen geen beveiligingsgroepen maken. Ze kunnen nog steeds het lidmaatschap beheren van groepen waarvoor ze eigenaar zijn en aanvragen van andere gebruikers goedkeuren om lid te worden van hun groepen. | |
| Gebruikers kunnen Microsoft 365-groepen maken in Azure Portal, API of PowerShell. | Ja | Alle gebruikers in uw Microsoft Entra-organisatie mogen nieuwe Microsoft 365-groepen maken en leden toevoegen aan deze groepen in de Azure-portal, API of PowerShell. Deze nieuwe groepen worden ook weergegeven in de Toegangsvenster voor alle andere gebruikers. Als de beleidsinstelling van de groep dit toestaat, kunnen andere gebruikers verzoeken maken om lid te worden van deze groepen. |
| Nee | Gebruikers kunnen geen Microsoft 365-groepen maken. Ze kunnen nog steeds het lidmaatschap beheren van groepen waarvoor ze eigenaar zijn en aanvragen van andere gebruikers goedkeuren om lid te worden van hun groepen. |
Hier volgen enkele meer details over deze groepsinstellingen:
- Het kan tot 15 minuten duren voordat deze instellingen van kracht zijn.
- Als u sommige, maar niet alle gebruikers in staat wilt stellen om groepen te maken, kunt u aan deze gebruikers een rol toewijzen waarmee groepen kunnen worden gemaakt, zoals groepsbeheerder.
- Deze instellingen zijn bedoeld voor gebruikers en hebben geen invloed op service-principals. Als u bijvoorbeeld een service-principal hebt met machtigingen om groepen te maken, zelfs als u deze instellingen instelt op Nee, kan de service-principal nog steeds groepen maken.
Groepsinstellingen configureren met Behulp van Microsoft Graph
Om de instelling Gebruikers kunnen Microsoft 365-groepen maken in Azure-portals, API of PowerShell te configureren met behulp van Microsoft Graph, configureer het EnableGroupCreation-object in het groupSettings-object. Zie Overzicht van groepsinstellingen voor meer informatie.
Als u de instelling Gebruikers kunnen beveiligingsgroepen maken in Azure-portalen, API of PowerShell wilt configureren met behulp van Microsoft Graph, werk dan de allowedToCreateSecurityGroups eigenschap van defaultUserRolePermissions in het authorizationPolicy-object bij.
Volgende stappen
Zie voor meer informatie over Microsoft Entra ID: