Verwalten von Microsoft Entra-Gruppen und -Gruppenmitgliedschaften

Microsoft Entra-Gruppen werden verwendet, um Benutzer*innen zu verwalten, die alle denselben Zugriff auf und dieselben Berechtigungen für Ressourcen benötigen, wie z. B. potenziell eingeschränkte Apps und Dienste. Anstatt einzelnen Benutzern spezielle Berechtigungen hinzuzufügen, erstellen Sie eine Gruppe, in der die speziellen Berechtigungen für jedes Mitglied dieser Gruppe angewendet werden.

In diesem Artikel werden grundlegende Gruppenszenarien behandelt, in denen einer einzelnen Ressource eine einzelne Gruppe hinzugefügt wird, und in denen Benutzer als Mitglieder dieser Gruppe hinzugefügt werden. Weitere Informationen zu komplexeren Szenarien wie dynamischen Mitgliedergruppen und der Erstellung von Regeln finden Sie in der Microsoft Entra-Dokumentation zur Benutzerverwaltung.

Erfahren Sie vor dem Hinzufügen von Gruppen und Mitgliedern mehr über Gruppen- und Mitgliedschaftstypen, um entscheiden zu können, welche Optionen Sie beim Erstellen einer Gruppe am besten verwenden.

Voraussetzungen

Keine

Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Sie können eine einfache Gruppe erstellen und Ihre Mitglieder gleichzeitig über das Microsoft Entra Admin Center hinzufügen. Sie müssen mindestens die Gruppenadministrator- oder Benutzeradministrator-Rolle zum Erstellen von Gruppen zugewiesen haben. Überblick über die entsprechenden Microsoft Entra-Rollen zum Verwalten von Gruppen

So erstellen Sie eine einfache Gruppe und fügen ihr Mitglieder hinzu:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

  3. Wählen Sie Neue Gruppe aus.

    Screenshot der Seite „Microsoft Entra-Gruppen“ mit hervorgehobener Option „Neue Gruppe“

  4. Wählen Sie einen Gruppentyp aus. Weitere Informationen zu Gruppentypen finden Sie im Artikel über Gruppen- und Mitgliedschaftstypen.

    • Wenn Sie den Gruppentyp Microsoft 365 auswählen, wird die Option Gruppen-E-Mail-Adresse aktiviert.
  5. Geben Sie einen Gruppennamen. ein. Wählen Sie einen Namen, den Sie sich merken können und der für die Gruppe Sinn macht. Es wird geprüft, ob der Name bereits verwendet wird. Wenn der Name bereits verwendet wird, werden Sie aufgefordert, den Namen Ihrer Gruppe zu ändern.

    • Der Name der Gruppe darf nicht mit einem Leerzeichen beginnen. Wenn der Name mit einem Leerzeichen beginnt, wird die Gruppe nicht als Option für Schritte wie das Hinzufügen von Rollenzuweisungen zu Gruppenmitgliedern angezeigt.
  6. Gruppen-E-Mail-Adresse: Nur für Microsoft 365-Gruppentypen verfügbar. Geben Sie eine E-Mail-Adresse manuell ein, oder verwenden Sie die E-Mail-Adresse, die aus dem von Ihnen bereitgestellten Gruppennamen erstellt wurde.

  7. Beschreibung der Gruppe. Fügen Sie ggf. eine Beschreibung zu Ihrer Gruppe hinzu.

  8. Setzen Sie die Einstellung Microsoft Entra-Rollen können der Gruppe zugewiesen werden auf „Ja“, um den Mitgliedern dieser Gruppe Microsoft Entra-Rollen zuzuweisen.

    • Diese Option ist nur mit P1- oder P2-Lizenzen verfügbar.
    • Sie müssen mindestens über die Rolle Priviligierte Administratorrolle verfügen.
    • Wenn Sie diese Option aktivieren, wird als Mitgliedschaftstyp automatisch Zugewiesen ausgewählt.
    • Die Möglichkeit zum Hinzufügen von Rollen beim Erstellen der Gruppe wird dem Prozess hinzugefügt.
    • Weitere Informationen zu Gruppen, denen Rollen zugewiesen werden können.
  9. Wählen Sie einen Mitgliedschaftstyp aus. Weitere Informationen zu Mitgliedschaftstypen finden Sie im Artikel über Gruppen- und Mitgliedschaftstypen.

  10. Fügen Sie optional Besitzer oder Mitglieder hinzu. Mitglieder und Besitzer können nach dem Erstellen Ihrer Gruppe hinzugefügt werden.

    1. Wählen Sie den Link unter Besitzer oder Mitglieder aus, um eine Liste aller Benutzer in Ihrem Verzeichnis zu erstellen.
    2. Wählen Sie Benutzer aus der Liste aus, und wählen Sie dann unten im Fenster die Schaltfläche Auswählen aus.

    Screenshot der Auswahl von Mitgliedern für Ihre Gruppe während des Gruppenerstellungsvorgangs.

  11. Klicken Sie auf Erstellen. Ihre Gruppe ist erstellt und steht Ihnen zum Verwalten anderer Einstellungen zur Verfügung.

    Deaktivieren der Begrüßungs-E-Mail für Gruppen

    Eine Willkommensbenachrichtigung wird an alle Benutzer unabhängig von der Art ihrer Mitgliedschaft gesendet, wenn sie einer neuen Microsoft 365-Gruppe hinzugefügt worden sind. Wenn sich eine Eigenschaft von Benutzenden oder Geräten ändert, werden alle Regeln für dynamische Mitgliedergruppen in der Organisation auf mögliche Änderungen der Mitgliedschaft überprüft. Hinzugefügte Benutzer erhalten dann ebenfalls eine Begrüßungsnachricht. Sie können dieses Verhalten in Exchange PowerShell deaktivieren.

Hinzufügen von Mitgliedern oder Besitzern einer Gruppe

Mitglieder und Besitzer können aus vorhandenen Gruppen hinzugefügt werden. Der Prozess ist für Mitglieder und Besitzer derselbe. Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um Mitglieder und Besitzer hinzufügen zu können.

Müssen Sie mehrere Mitglieder gleichzeitig hinzufügen? Erfahren Sie mehr über die Option zum Hinzufügen von Mitgliedern in einem Massenvorgang.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

  3. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  4. Wählen Sie entweder Mitglieder oder Besitzer aus.

    Screenshot der Seite „Gruppenübersicht“ mit hervorgehobenen Menüoptionen „Mitglieder“ und „Besitzer“.

  5. Wählen Sie + Hinzufügen (Mitglieder oder Besitzer) aus.

  6. Scrollen Sie durch die Liste, oder geben Sie einen Namen in das Suchfeld ein. Sie können mehrere Namen auf einmal auswählen. Wählen Sie die Schaltfläche Auswählen aus, wenn Sie bereit sind.

    Die Seite Gruppenübersicht wird aktualisiert und zeigt danach die Anzahl der Mitglieder an, die nun der Gruppe hinzugefügt sind.

Entfernen von Mitgliedern oder Besitzern einer Gruppe

Mitglieder und Besitzer können aus vorhandenen Gruppen entfernt werden. Der Prozess ist für Mitglieder und Besitzer derselbe. Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um Mitglieder und Besitzer entfernen zu können.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

  3. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  4. Wählen Sie entweder Mitglieder oder Besitzer aus.

  5. Aktivieren Sie das Kontrollkästchen neben einem Namen aus der Liste, und wählen Sie die Schaltfläche Entfernen aus.

    Screenshot von Gruppenmitgliedern mit ausgewähltem Namen und hervorgehobener Schaltfläche „Entfernen“.

Bearbeiten von Gruppeneinstellungen

Sie können den Namen, die Beschreibung und den Mitgliedschaftstyp einer Gruppe ändern. Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um die Einstellungen einer Gruppe bearbeiten zu können.

So bearbeiten Sie Ihre Gruppeneinstellungen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

  3. Scrollen Sie durch die Liste, oder geben Sie einen Gruppennamen in das Suchfeld ein. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  4. Wählen Sie aus dem Menü an der Seite Eigenschaften aus.

  5. Aktualisieren Sie die Informationen unter Allgemeine Einstellungen nach Bedarf, einschließlich:

    • Gruppenname. Bearbeiten Sie den vorhandenen Gruppennamen.

    • Beschreibung der Gruppe. Bearbeiten Sie die vorhandene Gruppenbeschreibung.

    • Gruppentyp. Sie können den Typ der Gruppe nach deren Erstellung nicht mehr ändern. Um den Gruppentyp zu ändern, müssen Sie die Gruppe löschen und eine neue erstellen.

    • Mitgliedschaftstyp. Ändern Sie den Typs der Mitgliedschaft. Wenn Sie Option Microsoft Entra-Rollen können der Gruppe zugewiesen werden aktiviert haben, können Sie den Mitgliedschaftstyp nicht ändern. Weitere Informationen zu den verfügbaren Mitgliedschaftstypen finden Sie im Artikel über Gruppen- und Mitgliedschaftstypen.

    • Objekt-ID. Sie können die Objekt-ID nicht ändern, aber Sie können sie kopieren, um sie in Ihren PowerShell-Befehlen für die Gruppe zu verwenden. Weitere Informationen zur Verwendung von PowerShell-Cmdlets finden Sie unter Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen.

Hinzufügen einer Gruppe zu einer anderen Gruppe

Beim Typ Sicherheitsgruppe können Sie eine bestehende Sicherheitsgruppe zu einer anderen Sicherheitsgruppe hinzufügen (dieser Vorgang wird auch als Schachteln von Gruppen bezeichnet). Abhängig von den Gruppenmitgliedschaftstypen können Sie als Mitglied einer anderen Gruppe ebenso wie ein Benutzer eine Gruppe hinzufügen, wodurch Einstellungen wie Zugriffsberechtigungen und Rollen auf die geschachtelten Gruppen anwendet werden. Für geschachtelte Gruppen wendet Entra jedoch keine zugewiesene Mitgliedschaft auf freigegebene Ressourcen und Anwendungen an.

Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um die Gruppenmitgliedschaft bearbeiten zu können. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Wissenswertes vor dem Erstellen einer Gruppe.

Zurzeit wird Folgendes nicht unterstützt:

  • Hinzufügen von Gruppen zu einer mit der lokalen Active Directory-Instanz synchronisierten Gruppe
  • Hinzufügen von Sicherheitsgruppen zu Microsoft 365-Gruppen.
  • Hinzufügen von Microsoft 365-Gruppen zu Sicherheitsgruppen oder anderen Microsoft 365-Gruppen.
  • Zugewiesene Mitgliedschaft für freigegebene Ressourcen und Apps für geschachtelte Sicherheitsgruppen.
  • Anwenden von Lizenzen auf geschachtelte Sicherheitsgruppen.
  • Hinzufügen von Verteilergruppen in geschachtelten Szenarien
  • Hinzufügen von Sicherheitsgruppen als Mitglieder von E-Mail-aktivierten Sicherheitsgruppen.
  • Hinzufügen von Gruppen als Mitglieder einer Gruppe, der Rollen zugewiesen werden können
  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

  3. Suchen Sie auf der Seite Alle Gruppen nach der Gruppe, die Mitglied einer anderen Gruppe werden soll, und wählen Sie sie aus.

    Hinweis

    Sie können Ihre Gruppe jeweils nur einer anderen Gruppe als Mitglied hinzufügen. Im Suchfeld Gruppe auswählen werden keine Platzhalterzeichen unterstützt.

  4. Wählen Sie auf der Seite „Gruppenübersicht“ aus dem Menü an der Seite Gruppenmitgliedschaften aus.

  5. Wählen Sie + Mitgliedschaften hinzufügen aus.

  6. Suchen Sie nach der Gruppe, deren Mitglied Ihre Gruppe sein soll, und wählen Sie Auswählen aus.

    In dieser Übung fügen wir der Gruppe „MDM-Richtlinie – Alle Org“ die Gruppe „MDM-Richtlinie – Westen“ hinzu. Die Gruppe „MDM-Richtlinie – Westen“ verfügt über dieselben Zugriffsberechtigungen wie die Gruppe „MDM-Richtlinie – Alle Org“.

    Screenshot der Aufnahme einer Gruppe als Mitglied einer anderen Gruppe durch Auswahl von „Gruppenmitgliedschaft“ aus dem Menü an der Seite und hervorgehobener Option „Mitgliedschaft hinzufügen“.

    Jetzt können Sie die Seite „MDM-Richtlinie – Westen – Gruppenmitgliedschaften“ anzeigen, um sich die Beziehung zwischen Gruppe und Mitglied anzusehen.

    Für eine detailliertere Ansicht der Beziehung zwischen Gruppe und Mitglied wählen Sie den Namen der übergeordneten Gruppe (MDM-Richtlinie – Alle Org.) aus und schauen sich die Details auf der Seite „MDM-Richtlinie – Westen“ an.

Entfernen einer Gruppe aus einer anderen Gruppe

Beim Typ Sicherheitsgruppe können Sie eine bestehende Sicherheitsgruppe zu einer anderen Sicherheitsgruppe hinzufügen (dieser Vorgang wird auch als Schachteln von Gruppen bezeichnet). Abhängig von den Gruppenmitgliedschaftstypen können Sie als Mitglied einer anderen Gruppe ebenso wie ein Benutzer eine Gruppe hinzufügen, wodurch Einstellungen wie Zugriffsberechtigungen und Rollen auf die geschachtelten Gruppen anwendet werden. Für geschachtelte Gruppen wendet Entra jedoch keine zugewiesene Mitgliedschaft auf freigegebene Ressourcen und Anwendungen an.

Sie benötigen die Rolle Gruppenadministrator oder Benutzeradministrator, um die Gruppenmitgliedschaft bearbeiten zu können. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Wissenswertes vor dem Erstellen einer Gruppe.

Sie können eine vorhandene Sicherheitsgruppe aus einer anderen Sicherheitsgruppe entfernen. Durch das Entfernen der Gruppe werden jedoch auch alle geerbten Zugriffsberechtigungen ihrer Mitglieder entfernt.

  1. Suchen Sie auf der Seite Alle Gruppen die Gruppe, die als Mitglied einer anderen Gruppe entfernt werden soll, und wählen Sie sie aus.

  2. Wählen Sie auf der Seite „Gruppenübersicht“ Gruppenmitgliedschaften aus.

  3. Wählen Sie die übergeordnete Gruppe auf der Seite Gruppenmitgliedschaften aus.

  4. Wählen Sie Entfernen.

    Für diese Übung entfernen wir jetzt „MDM-Richtlinie – Westen" aus der Gruppe „MDM-Richtlinie – Alle Org.".

    Screenshot der Seite „Gruppenmitgliedschaft“ mit Mitglieds- und Gruppendetails und hervorgehobener Option „Mitgliedschaft entfernen“.

Löschen einer Gruppe

Für das Löschen einer Gruppe kann es verschiedene Gründe geben. Häufig liegt jedoch einer der folgenden Gründe vor:

  • Wählen Sie den falschen Gruppentyp aus.
  • Es wurde versehentlich eine bereits vorhandene Gruppe hinzugefügt.
  • Die Gruppe wird nicht mehr benötigt.
  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.

  3. Suchen Sie die Gruppe, die Sie löschen möchten, und wählen Sie sie aus.

  4. Klicken Sie auf Löschen.