管理 Microsoft Entra 组和组成员身份

Microsoft Entra 组用于管理用户,这些用户全都需要对资源(例如可能受限的应用和服务)具有相同的访问权限和权限。 无需向单个用户添加特殊权限,而是创建一个组,并将特殊权限应用于该组的每个成员。

本文介绍了将单个组添加到单个资源并将用户作为成员添加到该组的基本组方案。 有关动态成员资格组和规则创建等更复杂的场景,请参阅 Microsoft Entra 用户管理文档

在添加组和成员之前,请了解组和成员身份类型,以帮助确定创建组时要使用的选项。

先决条件

创建基本组并添加成员

提示

本文中的步骤可能因开始使用的门户而略有不同。

可以使用 Microsoft Entra 管理中心创建基本组并同时添加成员。 必须至少获得“组管理员”或“用户管理员”角色才能创建组。 查看用于管理组的相应 Microsoft Entra 角色

创建基本组并添加成员:

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“”>“所有组”。

  3. 选择新建组

    “Microsoft Entra 组”页的屏幕截图,其中突出显示了“新建组”选项。

  4. 选择一个组类型。 有关组类型的详细信息,请参阅了解组和成员身份类型一文。

    • 选择“Microsoft 365”组类型可启用“组电子邮件地址”选项。
  5. 输入一个组名称。选择一个容易记住并对该组来说有意义的名称。 将执行检查以确定该名称是否已在使用中。 如果该名称已在使用中,系统将要求你更改组的名称。

    • 组的名称不能以空格开头。 以空格开头的名称会导致组无法显示为选项,例如在向组成员添加角色分配等步骤时。
  6. 组电子邮件地址:仅适用于 Microsoft 365 组类型。 手动输入电子邮件地址或使用基于提供的组名称生成的电子邮件地址。

  7. 组说明。 向组添加说明(可选操作)。

  8. 将“可以将 Microsoft Entra 角色分配给组”设置切换为“是”,以使用此组将 Microsoft Entra 角色分配给成员。

    • 此选项仅适用于 P1 或 P2 许可证。
    • 必须至少具有“特权角色管理员”角色
    • 启用此选项会自动选择“已分配”作为成员身份类型。
    • 已在相关过程中添加在创建组时添加角色的功能。
  9. 选择一个成员身份类型。有关成员身份类型的详细信息,请参阅了解组和成员身份类型一文。

  10. (可选)添加所有者或成员。 创建组后,可以添加成员和所有者。

    1. 选择“所有者”或“成员”下的链接,以填充目录中每个用户的列表。
    2. 从列表中选择用户,然后选择窗口底部的“选择”按钮。

    在组创建过程中选择组成员的屏幕截图。

  11. 选择“创建”。 随即将创建组,该组已准备就绪,可供管理其他设置。

    关闭组欢迎电子邮件

    每个用户都会在其被添加到新的 Microsoft 365 组时收到欢迎通知,无论成员身份类型如何。 当用户或设备的某个属性发生更改时,将处理组织中所有动态成员资格组规则以进行潜在的成员资格更改。 添加的用户也会收到欢迎通知。 可以在 Exchange PowerShell 中关闭此行为。

添加组的成员或所有者

可以在现有的组中添加成员和所有者。 对于成员和所有者,该过程是相同的。 需要“组管理员”或“用户管理员”角色才能添加成员和所有者

需要一次添加多个成员? 了解批量添加成员选项。

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“”>“所有组”。

  3. 选择需要管理的组。

  4. 选择“成员”或“所有者”。

    组概述页的屏幕截图,其中突出显示了“成员和所有者”菜单选项。

  5. 选择“+ 添加”(成员或所有者)。

  6. 滚动浏览列表或在搜索框中输入名字。 可以一次选择多个名字。 准备好后,选择“选择”按钮。

    “组概述”页面将更新,以显示当前添加到组的成员数。

删除组的成员或所有者

可以从现有的组中移除成员和所有者。 对于成员和所有者,该过程是相同的。 需要“组管理员”或“用户管理员”角色才能添删除成员和所有者

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“”>“所有组”。

  3. 选择需要管理的组。

  4. 选择“成员”或“所有者”。

  5. 选中列表中的名字旁边的框,然后选择“删除”按钮。

    组成员的屏幕截图,已在其中选择一个名字,并突出显示“删除”按钮。

编辑组设置

可以编辑组的名称、描述或成员身份类型。 需要“组管理员”或“用户管理员”角色才能编辑组的设置。

编辑组设置:

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“”>“所有组”。

  3. 滚动浏览列表或在搜索框中输入组名称。 选择需要管理的组。

  4. 在侧菜单中选择“属性”。

    组概述页的屏幕截图,其中突出显示了“属性”菜单选项。

  5. 按所需更新“常规设置”信息,包括

    • 组名称。 编辑现有组名称。

    • 组说明。 编辑现有组说明。

    • 组类型。 创建组类型后将无法更改。 若要更改“组类型”,则必须删除该组并创建新组

    • 成员身份类型。 更改成员身份类型。 如果已启用“可以将 Microsoft Entra 角色分配给组”选项,则无法更改成员身份类型。 有关可用成员身份类型的详细信息,请参阅了解组和成员身份类型一文。

    • 对象 ID。 无法更改对象 ID,但可将其复制以在组的 PowerShell 命令中使用。 有关 PowerShell cmdlet 的详细信息,请参阅用于配置组设置的 Microsoft Entra cmdlet

将组添加到另一个组

对于安全组类型,可以将现有组添加到另一个组(也称为嵌套组)。 根据组成员身份类型,可以将组像用户一样添加为另一个组的成员,这会将访问权限和角色等设置应用于嵌套组。 但对于嵌套组,Entra 不会向共享资源和应用程序应用分配的成员身份。

需要“组管理员”或“用户管理员”角色才能编辑组成员身份。 有关安全组的详细信息,请参阅创建组之前要了解的内容

我们目前不支持:

  • 将组添加到与本地 Active Directory 同步的组。
  • 将安全组添加到 Microsoft 365 组。
  • 将 Microsoft 365 组添加到安全组或其他 Microsoft 365 组。
  • 为嵌套安全组分配共享资源和应用的成员身份。
  • 将许可证应用于嵌套安全组。
  • 在嵌套方案中添加通讯组。
  • 将安全组添加为启用了邮件的安全组的成员。
  • 将组添加为可分配角色组的成员。
  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“”>“所有组”。

  3. 在“所有组”页上,搜索并选择要成为另一个组的成员的组。

    注意

    一次只可以将组作为成员添加到另一个组。 “选择组”搜索框中不支持通配符。

  4. 在组“概述”页上,从侧菜单中选择“组成员身份”。

  5. 选择“+ 添加成员身份”。

  6. 找到希望你的组成为其成员的组,然后选择“选择”。

    在本练习中,我们将在“MDM 策略 - 所有组织”组中添加“MDM 策略 - 西部”。 “MDM - 策略 - 西部”组将具有与“MDM 策略 - 所有组织”组相同的访问权限。

    在侧菜单中将组设为另一组的成员,并突出显示了“添加成员身份”选项的屏幕截图。

    现在可以查看“MDM 策略 - 西部 - 组成员身份”页,以查看组和成员关系。

    有关组和成员关系的更加详细的视图,请选择父组名称(MDM 策略 - 所有组织)并查看“MDM 策略 - 西部”页详细信息。

从另一个组中删除组

对于安全组类型,可以将现有组添加到另一个组(也称为嵌套组)。 根据组成员身份类型,可以将组像用户一样添加为另一个组的成员,这会将访问权限和角色等设置应用于嵌套组。 但对于嵌套组,Entra 不会向共享资源和应用程序应用分配的成员身份。

需要“组管理员”或“用户管理员”角色才能编辑组成员身份。 有关安全组的详细信息,请参阅创建组之前要了解的内容

可以从另一个安全组中移除现有安全组;但是,移除组时也会移除其成员继承的任何访问权限。

  1. 在“所有组”页上,搜索并选择需要移除其在其他组中的成员身份的组。

  2. 在组“概述”页上,选择“组成员身份”。

  3. 从“组成员身份”页中选择父组。

  4. 选择“删除” 。

    在本练习中,我们现在将从“MDM 策略 - 所有组织”组中删除“MDM 策略 - 西部”。

    显示成员和组详细信息的“组成员身份”页屏幕截图,其中突出显示了“删除成员身份”选项。

删除组

可以因为各种原因删除组,但通常是因为:

  • 选择不正确的“组类型”选项。
  • 错误地创建了重复组。
  • 不再需要组。
  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“”>“所有组”。

  3. 搜索并选择要删除的组。

  4. 选择“删除”。