Microsoft Entra 组用于管理用户,这些用户全都需要对资源(例如可能受限的应用和服务)具有相同的访问权限和权限。 无需向单个用户添加特殊权限,而是创建一个组,并将特殊权限应用于该组的每个成员。
本文介绍了将单个组添加到单个资源并将用户作为成员添加到该组的基本组方案。 有关动态成员资格组和规则创建等更复杂的场景,请参阅 Microsoft Entra 用户管理文档。
在添加组和成员之前,请了解组和成员身份类型,以帮助确定创建组时要使用的选项。
Microsoft Entra 组用于管理用户,这些用户全都需要对资源(例如可能受限的应用和服务)具有相同的访问权限和权限。 无需向单个用户添加特殊权限,而是创建一个组,并将特殊权限应用于该组的每个成员。
本文介绍了将单个组添加到单个资源并将用户作为成员添加到该组的基本组方案。 有关动态成员资格组和规则创建等更复杂的场景,请参阅 Microsoft Entra 用户管理文档。
在添加组和成员之前,请了解组和成员身份类型,以帮助确定创建组时要使用的选项。
提示
本文中的步骤可能因开始使用的门户而略有不同。
可以使用 Microsoft Entra 管理中心创建基本组并同时添加成员。 必须至少获得“组管理员”或“用户管理员”角色才能创建组。 查看用于管理组的相应 Microsoft Entra 角色
创建基本组并添加成员:
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
选择新建组。
选择一个组类型。 有关组类型的详细信息,请参阅了解组和成员身份类型一文。
输入一个组名称。选择一个容易记住并对该组来说有意义的名称。 将执行检查以确定该名称是否已在使用中。 如果该名称已在使用中,系统将要求你更改组的名称。
组电子邮件地址:仅适用于 Microsoft 365 组类型。 手动输入电子邮件地址或使用基于提供的组名称生成的电子邮件地址。
组说明。 向组添加说明(可选操作)。
将“可以将 Microsoft Entra 角色分配给组”设置切换为“是”,以使用此组将 Microsoft Entra 角色分配给成员。
选择一个成员身份类型。有关成员身份类型的详细信息,请参阅了解组和成员身份类型一文。
(可选)添加所有者或成员。 创建组后,可以添加成员和所有者。
选择“创建”。 随即将创建组,该组已准备就绪,可供管理其他设置。
每个用户都会在其被添加到新的 Microsoft 365 组时收到欢迎通知,无论成员身份类型如何。 当用户或设备的某个属性发生更改时,将处理组织中所有动态成员资格组规则以进行潜在的成员资格更改。 添加的用户也会收到欢迎通知。 可以在 Exchange PowerShell 中关闭此行为。
可以在现有的组中添加成员和所有者。 对于成员和所有者,该过程是相同的。 需要“组管理员”或“用户管理员”角色才能添加成员和所有者。
需要一次添加多个成员? 了解批量添加成员选项。
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
选择需要管理的组。
选择“成员”或“所有者”。
选择“+ 添加”(成员或所有者)。
滚动浏览列表或在搜索框中输入名字。 可以一次选择多个名字。 准备好后,选择“选择”按钮。
“组概述”页面将更新,以显示当前添加到组的成员数。
可以从现有的组中移除成员和所有者。 对于成员和所有者,该过程是相同的。 需要“组管理员”或“用户管理员”角色才能添删除成员和所有者。
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
选择需要管理的组。
选择“成员”或“所有者”。
选中列表中的名字旁边的框,然后选择“删除”按钮。
可以编辑组的名称、描述或成员身份类型。 需要“组管理员”或“用户管理员”角色才能编辑组的设置。
编辑组设置:
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
滚动浏览列表或在搜索框中输入组名称。 选择需要管理的组。
在侧菜单中选择“属性”。
按所需更新“常规设置”信息,包括:
组名称。 编辑现有组名称。
组说明。 编辑现有组说明。
组类型。 创建组类型后将无法更改。 若要更改“组类型”,则必须删除该组并创建新组。
成员身份类型。 更改成员身份类型。 如果已启用“可以将 Microsoft Entra 角色分配给组”选项,则无法更改成员身份类型。 有关可用成员身份类型的详细信息,请参阅了解组和成员身份类型一文。
对象 ID。 无法更改对象 ID,但可将其复制以在组的 PowerShell 命令中使用。 有关 PowerShell cmdlet 的详细信息,请参阅用于配置组设置的 Microsoft Entra cmdlet。
对于安全组类型,可以将现有组添加到另一个组(也称为嵌套组)。 根据组成员身份类型,可以将组像用户一样添加为另一个组的成员,这会将访问权限和角色等设置应用于嵌套组。 但对于嵌套组,Entra 不会向共享资源和应用程序应用分配的成员身份。
需要“组管理员”或“用户管理员”角色才能编辑组成员身份。 有关安全组的详细信息,请参阅创建组之前要了解的内容。
我们目前不支持:
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
在“所有组”页上,搜索并选择要成为另一个组的成员的组。
注意
一次只可以将组作为成员添加到另一个组。 “选择组”搜索框中不支持通配符。
在组“概述”页上,从侧菜单中选择“组成员身份”。
选择“+ 添加成员身份”。
找到希望你的组成为其成员的组,然后选择“选择”。
在本练习中,我们将在“MDM 策略 - 所有组织”组中添加“MDM 策略 - 西部”。 “MDM - 策略 - 西部”组将具有与“MDM 策略 - 所有组织”组相同的访问权限。
现在可以查看“MDM 策略 - 西部 - 组成员身份”页,以查看组和成员关系。
有关组和成员关系的更加详细的视图,请选择父组名称(MDM 策略 - 所有组织)并查看“MDM 策略 - 西部”页详细信息。
对于安全组类型,可以将现有组添加到另一个组(也称为嵌套组)。 根据组成员身份类型,可以将组像用户一样添加为另一个组的成员,这会将访问权限和角色等设置应用于嵌套组。 但对于嵌套组,Entra 不会向共享资源和应用程序应用分配的成员身份。
需要“组管理员”或“用户管理员”角色才能编辑组成员身份。 有关安全组的详细信息,请参阅创建组之前要了解的内容。
可以从另一个安全组中移除现有安全组;但是,移除组时也会移除其成员继承的任何访问权限。
在“所有组”页上,搜索并选择需要移除其在其他组中的成员身份的组。
在组“概述”页上,选择“组成员身份”。
从“组成员身份”页中选择父组。
选择“删除” 。
在本练习中,我们现在将从“MDM 策略 - 所有组织”组中删除“MDM 策略 - 西部”。
可以因为各种原因删除组,但通常是因为:
至少以组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
搜索并选择要删除的组。
选择“删除”。