Freigeben über


Einrichten der Self-Service-Gruppenverwaltung in Microsoft Entra ID

Sie können Benutzern die Erstellung und Verwaltung ihrer eigenen Sicherheitsgruppen oder Microsoft 365-Gruppen in Microsoft Entra ID ermöglichen. Der Besitzer der Gruppe kann Mitgliedschaftsanforderungen genehmigen oder ablehnen sowie die Steuerung der Gruppenmitgliedschaft delegieren. Self-Service-Funktionen zur Gruppenverwaltung sind nicht für E-Mail-aktivierte Sicherheitsgruppen oder Verteilerlisten verfügbar.

Self-Service-Gruppenmitgliedschaft

Sie können Benutzern das Erstellen von Sicherheitsgruppen gestatten, die zum Verwalten des Zugriffs auf freigegebene Ressourcen verwendet werden. Benutzer können Sicherheitsgruppen im Azure-Portal mithilfe von Azure Active Directory (Azure AD) PowerShell oder über das Portal "Meine Gruppen" erstellen.

Screenshot, der das Portal

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Die Aktualisierung der Mitgliedschaft ist nur den Eigentümern der Gruppe möglich. Sie können den Eigentümern der Gruppe jedoch ermöglichen, über das Portal "Meine Gruppen" Mitgliedschaftsanträge zu genehmigen oder abzulehnen. Sicherheitsgruppen, die über das Portal „Meine Gruppen“ erstellt wurden, stehen allen Benutzenden zur Teilnahme zur Verfügung, unabhängig davon, ob sie von der Inhaberin bzw. dem Inhaber genehmigt wurden oder automatisch genehmigt wurden. Im Portal "Meine Gruppen" können Sie die Mitgliedschaftsoptionen ändern, wenn Sie die Gruppe erstellen.

Microsoft 365-Gruppen bieten Ihren Benutzern Möglichkeiten zur Zusammenarbeit. Sie können in jeder der Microsoft 365-Anwendungen wie SharePoint, Microsoft Teams und Planner Gruppen erstellen. Sie können Microsoft 365-Gruppen auch in Azure-Portalen mithilfe von Microsoft Graph PowerShell oder über das Portal "Meine Gruppen" erstellen. Weitere Informationen zum Unterschied zwischen Sicherheitsgruppen und Microsoft 365-Gruppen finden Sie unter Wissenswertes vor dem Erstellen einer Gruppe.

Erstellte Gruppen in Standardverhalten von Sicherheitsgruppen Standardverhalten von Microsoft 365-Gruppen
Microsoft Graph PowerShell Nur Besitzer können Mitglieder hinzufügen.
Sichtbar, aber nicht für den Beitritt im MyApps-Gruppenzugriffsbereich verfügbar
Beitritt aller Benutzer ist möglich.
Azure portal Nur Besitzer können Mitglieder hinzufügen.
Sichtbar, aber nicht verfügbar, um dem Portal "Meine Gruppen" beizutreten.
Besitzer wird bei der Gruppenerstellung nicht automatisch zugewiesen.
Beitritt aller Benutzer ist möglich.
Portal "Meine Gruppen" Benutzer können Gruppen verwalten und den Zugriff auf die Teilnahme an Gruppen hier anfordern.
Mitgliedschaftsoptionen können bei der Erstellung einer Gruppe geändert werden.
Beitritt aller Benutzer ist möglich.
Mitgliedschaftsoptionen können bei der Erstellung einer Gruppe geändert werden.

Szenarien der Self-Service-Gruppenverwaltung

Zwei Szenarien helfen bei der Erläuterung der Self-Service-Gruppenverwaltung.

Delegierte Gruppenverwaltung

In diesem Beispiel gehen wir von einem Administrator aus, der den Zugriff auf eine SaaS-Anwendung (Software as a Service) verwaltet, die im Unternehmen verwendet wird. Die Verwaltung dieser Zugriffsrechte wird immer mühsamer, und der Administrator bittet den Geschäftsinhaber, eine neue Gruppe zu erstellen. Der Administrator weist den Zugriff auf die Anwendung der neuen Gruppe zu und fügt der Gruppe alle Personen zu, die bereits auf die Anwendung zugreifen. Der Geschäftsinhaber kann dann weitere Benutzer hinzufügen, und die Benutzer erhalten automatisch Zugriff auf die Anwendung.

Der Geschäftsinhaber muss nicht warten, bis der Administrator die Verwaltungsschritte für den Zugriff der Benutzer durchgeführt hat. Wenn der Administrator einem Manager in einer anderen Geschäftseinheit die gleiche Berechtigung erteilt, kann diese Person ebenfalls den Zugriff für ihre eigenen Gruppenmitglieder verwalten. Weder der Geschäftsinhaber noch der Manager kann die Gruppenmitgliedschaften des jeweils anderen anzeigen oder verwalten. Der Administrator kann weiterhin alle Benutzer anzeigen, die auf die Anwendung zugreifen können, und kann die Zugriffsrechte bei Bedarf blockieren.

Hinweis

Für delegierte Szenarien muss der Administrator mindestens über eine Rolle Administrator für privilegierte Rollen in Microsoft Entra verfügen.

Self-Service-Gruppenverwaltung

In diesem Beispiel gehen wir von zwei Benutzern aus, die beide über unabhängig voneinander eingerichtete SharePoint Online-Websites verfügen. Sie möchten dem anderen Team jeweils Zugriff auf ihre Websites gewähren. Um diese Aufgabe auszuführen, können sie eine Gruppe in der Microsoft Entra-ID erstellen. In SharePoint Online wählt jeder diese Gruppe aus, um Zugriff auf ihre Websites zu ermöglichen.

Wenn jemand Zugriff möchte, beantragt er diesen über das Portal "Meine Gruppen". Nach der Genehmigung erhalten sie automatisch Zugriff auf beide SharePoint Online-Websites. Später entscheidet einer der Hauptbenutzer, dass alle Personen, die auf die Website zugreifen, auch Zugriff auf eine bestimmte SaaS-Anwendung erhalten sollen. Der Administrator der SaaS-Anwendung kann der SharePoint Online-Website Zugriffsrechte für die Anwendung hinzufügen. Anschließend können alle Personen, deren Zugriff genehmigt wird, auf die beiden SharePoint Online-Websites und diese SaaS-Anwendung zugreifen.

Einrichten einer Gruppe für Self-Service durch Benutzer

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie Alle Gruppen>Gruppen und dann Allgemeine Einstellungen aus.

    Hinweis

    Diese Einstellung schränkt nur den Zugriff auf Gruppeninformationen in Meine Gruppen ein. Der Zugriff auf Gruppeninformationen über andere Methoden wie Microsoft Graph-API-Aufrufe oder das Microsoft Entra Admin Center wird nicht eingeschränkt.

    Screenshot: allgemeine Einstellungen für Microsoft Entra-Gruppen.

    Hinweis

    Änderungen an der Einstellung für die Self-Service-Gruppenverwaltung, die ursprünglich für Juni 2024 geplant waren, werden derzeit überprüft und werden nicht wie ursprünglich geplant stattfinden. Ein geplantes Einstellungsdatum wird noch bekanntgegeben.

  4. Legen Sie Besitzer können Anforderungen für eine Gruppenmitgliedschaft im Zugriffspanel verwalten auf Ja fest.

  5. Legen Sie Benutzerfähigkeit zum Zugriff auf Gruppenfunktionen im Zugriffsbereich einschränken auf Nein fest.

  6. Legen Sie Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen auf Ja oder Nein fest.

    Weitere Informationen zu dieser Einstellung finden Sie unter Gruppeneinstellungen.

  7. Legen Sie Benutzer können Microsoft 365-Gruppen in Azure-Portalen, API oder PowerShell erstellen auf Ja oder Nein fest.

    Weitere Informationen zu dieser Einstellung finden Sie unter Gruppeneinstellungen.

Sie können auch Besitzer, die im Azure-Portal Mitglieder als Gruppenbesitzer zuweisen können, verwenden, um eine detailliertere Zugriffssteuerung über die Gruppenverwaltung nach dem Self-Service-Prinzip für Ihre Benutzer zu erreichen.

Wenn Benutzer Gruppen erstellen können, dürfen alle Benutzer in Ihrer Organisation neue Gruppen erstellen. Als Standardbesitzer können sie dann Mitglieder zu diesen Gruppen hinzufügen. Sie können keine Personen angeben, die ihre eigenen Gruppen erstellen können. Sie können lediglich Personen angeben, die ein anderes Gruppenmitglied als Gruppenbesitzer festlegen.

Hinweis

Eine Microsoft Entra ID P1- oder P2-Lizenz ist erforderlich, damit Benutzer den Beitritt zu einer Sicherheitsgruppe oder Microsoft 365-Gruppe anfordern und Besitzer Mitgliedsanforderungen genehmigen oder ablehnen können. Auch ohne eine Microsoft Entra ID P1- oder P2-Lizenz können Benutzer ihre Gruppen im „MyApp Groups"-Zugriffsbereich verwalten. Sie können jedoch keine Gruppe erstellen, die die Genehmigung des Besitzers erfordert, und sie können nicht dazu auffordern, einer Gruppe beizutreten.

Gruppeneinstellungen

Mithilfe von Gruppeneinstellungen können Sie steuern, wer Sicherheits- und Microsoft 365-Gruppen erstellen kann.

Screenshot: Ändern der Einstellungen für Microsoft Entra-Sicherheitsgruppen.

Die folgende Tabelle hilft Ihnen bei der Entscheidung, welche Werte Sie auswählen müssen.

Einstellung Wert Auswirkung auf Ihren Mandanten
Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen. Ja Alle Benutzer in Ihrer Microsoft Entra-Organisation können im Azure-Portal, in der API oder in PowerShell neue Sicherheitsgruppen erstellen und diesen Gruppen Mitglieder hinzufügen. Diese neuen Gruppen werden auch für alle Benutzer im Zugriffsbereich angezeigt. Wenn die Richtlinieneinstellung der Gruppe dies zulässt, können andere Benutzer Anforderungen in Bezug auf den Beitritt zu diesen Gruppen erstellen.
Nein Benutzer können keine Sicherheitsgruppen erstellen. Sie können weiterhin die Mitgliedschaft von Gruppen verwalten, bei denen Sie Besitzer sind, und Anfragen anderer Benutzer genehmigen, um ihren Gruppen beizutreten.
Benutzer können Microsoft 365-Gruppen im Azure-Portal, API oder PowerShell erstellen. Ja Alle Benutzer in Ihrer Microsoft Entra-Organisation können im Azure-Portal, in der API oder in PowerShell neue Microsoft 365-Gruppen erstellen und diesen Gruppen Mitglieder hinzufügen. Diese neuen Gruppen werden auch für alle Benutzer im Zugriffsbereich angezeigt. Wenn die Richtlinieneinstellung der Gruppe dies zulässt, können andere Benutzer Anforderungen in Bezug auf den Beitritt zu diesen Gruppen erstellen.
Nein Benutzer können keine M365-Gruppen erstellen. Sie können weiterhin die Mitgliedschaft von Gruppen verwalten, bei denen Sie Besitzer sind, und Anfragen anderer Benutzer genehmigen, um ihren Gruppen beizutreten.

Im Folgenden finden Sie einige zusätzliche Details zu diesen Gruppeneinstellungen:

  • Es kann bis zu 15 Minuten dauern, bis die Einstellung wirksam wird.
  • Wenn Sie einigen, aber nicht allen Benutzern das Erstellen von Gruppen ermöglichen möchten, können Sie diesen Benutzern eine Rolle mit der Berechtigung zum Erstellen von Gruppen zuweisen, beispielsweise Gruppenadministrator.
  • Diese Einstellungen gelten für Benutzer und wirken sich nicht auf Dienstprinzipale aus. Wenn Sie beispielsweise über einen Dienstprinzipal mit Berechtigungen zum Erstellen von Gruppen verfügen, kann der Dienstprinzipal auch dann weiterhin Gruppen erstellen, wenn Sie diese Einstellungen auf Nein festlegen.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Zum Konfigurieren der Einstellung Benutzer können Microsoft 365-Gruppen in Azure-Portalen, der -API oder in PowerShell erstellen mithilfe von Microsoft Graph, konfigurieren Sie das EnableGroupCreation-Objekt im groupSettings-Objekt. Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen.

Um die Einstellung Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen mit Microsoft Graph zu konfigurieren, aktualisieren Sie die allowedToCreateSecurityGroupsEigenschaft defaultUserRolePermissions im authorizationPolicy-Objekt.

Nächste Schritte

Weitere Informationen über Microsoft Entra ID finden Sie unter: