在权限来源组转换后设置自助组管理

在使用权威源 (SOA) 将组转换为 Microsoft Entra 时，启用自助服务组管理可以让用户自行管理其组成员身份，同时减少管理负担。 本文介绍如何在 SOA 转换后为不同的组类型配置自助服务组管理，包括每个组类型的功能、限制和最佳做法。

• 安全组
• 启用邮件的安全组
• 分发组

安全组

自助管理体验

将安全组的 SOA 转换为 Microsoft Entra 后，您可以通过自助体验将其作为 Microsoft Entra 中的安全组进行管理：

• 我的组 - 组所有者可以管理成员身份、查看组详细信息和执行其他自助服务任务。 租户管理员必须在“Microsoft Entra ID 租户设置”中显式启用安全组以在“我的组中”进行自助服务管理。 有关详细信息，请参阅在 Microsoft Entra ID 中设置自助服务组管理。
• Microsoft Entra 管理中心 - 管理员可以管理组设置和所有权。
• Microsoft Graph - 管理员可以使用 Microsoft Graph API 批量自动执行任务和管理组。

支持的方案

• 分配角色和权限
• 应用条件访问策略
• 控制对应用和资源的访问
• 管理组成员身份、所有权和属性
• 访问包分配策略的范围
• 触发生命周期工作流执行

治理集成

Microsoft Entra 中的安全组可以与治理功能集成：

• 访问包（使用权利管理）：捆绑和委托对资源的访问权限、自动执行审批工作流和管理访问生命周期。
• 生命周期工作流：自动执行用户和组生命周期事件，例如预配、取消预配和访问评审。

如何启用自助管理和适当的组所有权及加入策略

1. 填充组所有者：在转换 SOA 之前，请确保在本地组管理工具中建立组所有权。
2. 转换 SOA：将颁发机构组源转换为 Microsoft Entra。
3. 设置自助服务组管理策略（如果适用）：如果您的组织使用 自助服务组管理，在转移组后，请在 “我的组” 中手动应用策略。

启用邮件的安全组

自助管理体验

将已启用邮件功能的安全组转换为服务请求代理 (SOA) 后，它们将成为启用云管理功能的邮件安全组。

已启用云托管邮件的安全组存在一些限制：

• 这些组在 Microsoft Entra 中是只读的。
• 它们无法通过“我的组”或自助服务接口进行管理。
• 管理仅适用于使用 Exchange Online 管理中心或 Exchange PowerShell 的管理员。

如果需要自助服务管理，请考虑将启用邮件的安全组转换为本地环境中的标准安全组，然后转换 SOA。 此解决方法将删除组启用邮件的功能。

治理集成

当前，邮件启用的安全组与 Microsoft Entra 治理功能（如访问包或生命周期工作流）不兼容。

通讯组

自助管理体验

转换本地通讯组列表的 SOA 后，可以将其转换为云管理的通讯组。 如果可能，请将通讯组转换为 Microsoft 365 组，以便进行完整的自助服务和治理集成。 有关详细信息，请参阅 将通讯组列表升级到 Microsoft 365 组。

局限性

• 无法使用 “我的组”管理云分发组。
• 自助服务管理只能通过 Exchange 的最终用户自助服务门户进行。
• 不支持将嵌套分发组直接转换为 Microsoft 365 组。

治理集成

分发组不能用于 Microsoft Entra 管理功能，例如访问包或生命周期工作流。 但是，如果将通讯组转换为Microsoft 365 个组，则取消阻止治理方案。

摘要表

管理员的重要提示

• 为自助服务启用安全组：在用户推出之前，在 Microsoft Entra Admin Center 中为自助服务启用安全组。
• 建立组所有权：必须在转换 SOA 之前在本地设置所有权，以确保获得适当的自助服务体验。
• 支持治理方案：仅Microsoft Entra 安全组和Microsoft 365 组支持治理功能。 通讯组和支持邮件的安全组不具备此功能。
• 规划限制：查看当前组类型，并考虑 将其升级到 Microsoft 365 组 ，以获取最佳的最终用户和治理体验。

有关组管理的详细信息，请参阅 了解组类型、成员身份类型和访问管理。

相关内容

• 将通讯组列表升级到 Microsoft 365 组
• 如何配置组 SOA
• 群组 SOA 概述