Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID bietet Self-Service-Gruppenverwaltungsfeatures, mit denen Benutzer eigene Sicherheitsgruppen oder Microsoft 365-Gruppen erstellen und verwalten können. Die besitzende Person der Gruppe kann Mitgliedschaftsanforderungen genehmigen oder ablehnen sowie die Steuerung der Gruppenmitgliedschaft delegieren. Funktionen für die Self-Service-Gruppenverwaltung sind nicht für E-Mail-aktivierte Sicherheitsgruppen oder Verteilerlisten verfügbar.
Self-Service-Gruppenmitgliedschaft
Sie können Benutzern das Erstellen von Sicherheitsgruppen ermöglichen, um den Zugriff auf freigegebene Ressourcen zu verwalten. Benutzer können Sicherheitsgruppen über das Microsoft Entra Admin Center, mithilfe von PowerShell oder über das Portal "Meine Gruppen"erstellen.
Nur die Besitzer der Gruppe können die Mitgliedschaft aktualisieren. Sie können Gruppenbesitzern die Möglichkeit geben, Mitgliedschaftsanfragen aus dem Portal "Meine Gruppen" zu genehmigen oder zu verweigern. Sicherheitsgruppen, die über das Portal „Meine Gruppen“ erstellt wurden, stehen allen Benutzenden zur Teilnahme zur Verfügung, unabhängig davon, ob sie von der besitzenden Person genehmigt oder automatisch genehmigt wurden. Im Portal „Meine Gruppen“ können Sie die Mitgliedschaftsoptionen ändern, wenn Sie die Gruppe erstellen.
Microsoft 365-Gruppen bieten Benutzenden Möglichkeiten zur Zusammenarbeit. Sie können Gruppen in einer der Microsoft 365-Anwendungen erstellen, z. B. SharePoint und Microsoft Teams. Sie können Microsoft 365-Gruppen auch in Azure-Portalen mithilfe von Microsoft Graph PowerShell oder über das Portal „Meine Gruppen“ erstellen. Weitere Informationen zum Unterschied zwischen Sicherheitsgruppen und Microsoft 365-Gruppen finden Sie unter Wissenswertes vor dem Erstellen einer Gruppe.
| Erstellte Gruppen in | Standardverhalten von Sicherheitsgruppen | Standardverhalten von Microsoft 365-Gruppen |
|---|---|---|
| Microsoft Graph PowerShell | Nur Besitzende können Mitglieder hinzufügen. Sichtbar, jedoch kein Beitritt im Gruppenzugriffsbereich „Meine Apps“ möglich |
Beitritt für alle Benutzenden möglich |
| Azure-Portal | Nur Besitzende können Mitglieder hinzufügen. Sichtbar, jedoch kein Beitritt im Portal „Meine Gruppen“ möglich Die besitzende Person wird bei der Gruppenerstellung nicht automatisch zugewiesen. |
Beitritt für alle Benutzenden möglich |
| Portal „Meine Gruppen“ | Benutzende können Gruppen verwalten und den Zugriff auf die Teilnahme an Gruppen hier anfordern. Mitgliedschaftsoptionen können bei der Erstellung einer Gruppe geändert werden. |
Beitritt für alle Benutzenden möglich Mitgliedschaftsoptionen können bei der Erstellung einer Gruppe geändert werden. |
Szenarien der Self-Service-Gruppenverwaltung
Die Self-Service-Gruppenverwaltung kann anhand von zwei Szenarien erläutert werden.
Delegierte Gruppenverwaltung
In diesem Beispielszenario verwaltet ein Administrator den Zugriff auf eine SaaS-Anwendung (Software as a Service), die das Unternehmen verwendet. Die Verwaltung der Zugriffsrechte ist mühsam, daher bitten die Administrierenden die unternehmensbesitzende Person, eine neue Gruppe zu erstellen. Die Administrierenden weisen den Zugriff auf die Anwendung der neuen Gruppe zu und fügen der Gruppe alle Personen hinzu, die bereits auf die Anwendung zugreifen. Die unternehmensbesitzende Person kann dann weitere Benutzende hinzufügen, und die Benutzenden erhalten automatisch Zugriff auf die Anwendung.
Die unternehmensbesitzende Person muss nicht warten, bis die Administrierenden die Verwaltungsschritte für den Zugriff der Benutzenden durchgeführt haben. Wenn Administrierende einer Führungskraft in einer anderen Unternehmensgruppe die gleiche Berechtigung erteilen, kann diese Person ebenfalls den Zugriff für ihre eigenen Gruppenmitglieder verwalten. Weder die unternehmensbesitzende Person noch die Führungskraft kann die Gruppenmitgliedschaften der jeweils anderen Person anzeigen oder verwalten. Administrierende können weiterhin alle Benutzenden anzeigen, die auf die Anwendung zugreifen können, und kann die Zugriffsrechte bei Bedarf blockieren.
Hinweis
Für delegierte Szenarien müssen Administrierende mindestens über die Rolle für Administrierende für privilegierte Rollen in Microsoft Entra verfügen.
Self-Service-Gruppenverwaltung
In diesem Beispielszenario verfügen zwei Benutzende über unabhängig voneinander eingerichtete SharePoint Online-Websites. Sie möchten dem jeweils anderen Team Zugriff auf die Websites gewähren. Für diese Aufgabe können sie eine Gruppe in Microsoft Entra ID erstellen. In SharePoint Online wählt jede Person diese jeweilige Gruppe aus, um Zugriff auf ihre Websites zu ermöglichen.
Wenn eine Person Zugriff möchte, beantragt sie diesen über das Portal „Meine Gruppen“. Nach der Genehmigung erhält automatisch Zugriff auf beide SharePoint Online-Websites. Später entscheidet eine der besitzenden Personen, dass alle Personen, die auf die Website zugreifen, auch Zugriff auf eine bestimmte SaaS-Anwendung erhalten sollen. Die Administrierenden der SaaS-Anwendung können der SharePoint Online-Website Zugriffsrechte für die Anwendung hinzufügen. Anschließend können alle Personen, deren Zugriff genehmigt wird, auf die beiden SharePoint Online-Websites und diese SaaS-Anwendung zugreifen.
Einrichten einer Gruppe für Self-Service durch Benutzende
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie Alle Gruppen>Gruppen und dann Allgemeine Einstellungen aus.
Hinweis
Diese Einstellung schränkt nur den Zugriff auf Gruppeninformationen in Meine Gruppen ein. Der Zugriff auf Gruppeninformationen über andere Methoden wie Microsoft Graph-API-Aufrufe oder Microsoft Entra Admin Center wird nicht eingeschränkt.
Hinweis
Änderungen in Bezug auf die Self Service Group Management-Einstellung werden derzeit überprüft und werden nicht wie ursprünglich geplant stattfinden. Ein geplantes Einstellungsdatum wird noch bekanntgegeben.
Legen Sie Besitzende können Anforderungen für eine Gruppenmitgliedschaft im Zugriffspanel verwalten auf Ja fest.
Legen Sie Benutzerfähigkeit zum Zugriff auf Gruppenfunktionen im Zugriffsbereich einschränken auf Nein fest.
Legen Sie Benutzende können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen auf Ja oder Nein fest.
Weitere Informationen zu dieser Einstellung finden Sie unter Gruppeneinstellungen.
Legen Sie Benutzende können Microsoft 365-Gruppen in Azure-Portalen, API oder PowerShell erstellen auf Ja oder Nein fest.
Weitere Informationen zu dieser Einstellung finden Sie unter Gruppeneinstellungen.
Sie können auch Besitzende, die im Azure-Portal Mitglieder als Gruppenbesitzende zuweisen können verwenden, um eine differenzierte Zugriffssteuerung über die Self-Service-Gruppenverwaltung für Ihre Benutzenden zu erreichen.
Wenn Benutzende Gruppen erstellen können, dürfen alle Benutzende in Ihrer Organisation neue Gruppen erstellen. Als Standardbesitzende können sie dann Mitglieder zu diesen Gruppen hinzufügen. Sie können keine Personen angeben, die ihre eigenen Gruppen erstellen können. Sie können lediglich Personen angeben, die andere Gruppenmitglieder als Gruppenbesitzende festlegen.
Hinweis
Eine Microsoft Entra ID P1- oder P2-Lizenz ist erforderlich, damit Benutzende den Beitritt zu einer Sicherheitsgruppe oder Microsoft 365-Gruppe anfordern und Besitzende Mitgliedsanforderungen genehmigen oder ablehnen können. Auch ohne eine Microsoft Entra ID P1- oder P2-Lizenz können Benutzende ihre Gruppen im Gruppenzugriffsbereich „Meine Apps“ verwalten. Sie können jedoch keine Gruppe erstellen, die die Genehmigung der besitzenden Person erfordert, und sie können nicht dazu auffordern, einer Gruppe beizutreten.
Gruppeneinstellungen
Mithilfe von Gruppeneinstellungen können Sie steuern, wer Sicherheits- und Microsoft 365-Gruppen erstellen kann.
Die folgende Tabelle hilft Ihnen bei der Entscheidung, welche Werte Sie auswählen müssen.
| Einstellung | value | Auswirkung auf Ihren Mandanten |
|---|---|---|
| Benutzende können Sicherheitsgruppen im Azure-Portal, in der API oder in PowerShell erstellen | Ja | Alle Benutzende in Ihrer Microsoft Entra-Organisation können im Azure-Portal, in der API oder in PowerShell neue Sicherheitsgruppen erstellen und diesen Gruppen Mitglieder hinzufügen. Diese neuen Gruppen werden auch für alle anderen Benutzenden im Zugriffsbereich angezeigt. Wenn die Richtlinieneinstellung der Gruppe dies zulässt, können andere Benutzende Anforderungen in Bezug auf den Beitritt zu diesen Gruppen erstellen. |
| Nein | Benutzende können keine Sicherheitsgruppen erstellen. Sie können weiterhin die Mitgliedschaft von Gruppen verwalten, bei denen Sie Besitzende sind, und Anfragen anderer Benutzender genehmigen, um ihren Gruppen beizutreten. | |
| Benutzende können Microsoft 365-Gruppen im Azure-Portal, in der API oder in PowerShell erstellen | Ja | Alle Benutzenden in Ihrer Microsoft Entra-Organisation können im Azure-Portal, in der API oder in PowerShell neue Microsoft 365-Gruppen erstellen und diesen Gruppen Mitglieder hinzufügen. Diese neuen Gruppen werden auch für alle anderen Benutzenden im Zugriffsbereich angezeigt. Wenn die Richtlinieneinstellung der Gruppe dies zulässt, können andere Benutzende Anforderungen in Bezug auf den Beitritt zu diesen Gruppen erstellen. |
| Nein | Benutzer können keine Microsoft 365-Gruppen erstellen. Sie können weiterhin die Mitgliedschaft von Gruppen verwalten, bei denen Sie Besitzende sind, und Anfragen anderer Benutzender genehmigen, um ihren Gruppen beizutreten. |
Im Folgenden finden Sie einige zusätzliche Details zu diesen Gruppeneinstellungen:
- Es kann bis zu 15 Minuten dauern, bis diese Einstellungen wirksam werden.
- Wenn Sie einigen, aber nicht allen Benutzern das Erstellen von Gruppen ermöglichen möchten, können Sie diesen Benutzern eine Rolle mit der Berechtigung zum Erstellen von Gruppen zuweisen, beispielsweise Gruppenadministrator.
- Diese Einstellungen gelten für Benutzende und wirken sich nicht auf Dienstprinzipale aus. Wenn Sie beispielsweise über einen Dienstprinzipal mit Berechtigungen zum Erstellen von Gruppen verfügen, kann der Dienstprinzipal auch dann weiterhin Gruppen erstellen, wenn Sie diese Einstellungen auf Nein festlegen.
Konfigurieren von Gruppeneinstellungen mithilfe von Microsoft Graph
Zum Konfigurieren der Einstellung Benutzende können Microsoft 365-Gruppen in Azure-Portalen, in der API oder in PowerShell erstellen mithilfe von Microsoft Graph, konfigurieren Sie das EnableGroupCreation-Objekt im groupSettings-Objekt. Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen.
Zum Konfigurieren der Einstellung Benutzende können Sicherheitsgruppen in Azure-Portalen, in der API oder in PowerShell erstellen mithilfe von Microsoft Graph aktualisieren Sie die allowedToCreateSecurityGroups-Eigenschaft von defaultUserRolePermissions im authorizationPolicy-Objekt.
Nächste Schritte
Weitere Informationen zu Microsoft Entra ID finden Sie hier: