Gerenciar grupos do Microsoft Entra e associação a grupos

Os grupos do Microsoft Entra são usados para gerenciar usuários que precisam do mesmo acesso e permissões para recursos, como aplicativos e serviços potencialmente restritos. Em vez de adicionar permissões especiais a usuários individuais, você cria um grupo que aplica as permissões especiais a todos os membros desse grupo.

Este artigo aborda cenários básicos de grupo em que um único grupo é adicionado a um único recurso e os usuários são adicionados como membros a esse grupo. Para cenários mais complexos, como grupos de associação dinâmica e criação de regras, consulte a documentação de gerenciamento de usuários do Microsoft Entra.

Antes de adicionar grupos e membros, saiba mais sobre grupos e tipos de associação para ajudá-lo a decidir quais opções usar ao criar um grupo.

Pré-requisitos

Nenhuma

Criar um grupo básico e adicionar membros

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Você pode criar um grupo básico e adicionar seus membros ao mesmo tempo usando o centro de administração do Microsoft Entra. Você deve ter pelo menos a função de Administrador de Grupos ou Administrador de Usuário atribuída para criar grupos. Analise as funções apropriadas do Microsoft Entra para gerenciar grupos

Para criar um grupo básico e adicionar membros:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Selecione Novo grupo.

    Captura de ecrã da página 'Microsoft Entra groups' com a opção 'Novo grupo' realçada.

  4. Selecione um tipo de grupo. Para obter mais informações sobre tipos de grupo, consulte o artigo Saiba mais sobre grupos e tipos de associação.

    • Selecionar o tipo de Grupo do Microsoft 365 habilita a opção Endereço de email do Grupo.
  5. Insira um nome de grupo. Escolha um nome que se lembre e que faça sentido para o grupo. Será realizada uma verificação para determinar se o nome já está em uso. Se o nome já estiver em uso, você será solicitado a alterar o nome do seu grupo.

    • O nome do grupo não pode começar com um espaço. Iniciar o nome com um espaço impede que o grupo apareça como uma opção para etapas como adicionar atribuições de função aos membros do grupo.
  6. Endereço de email do grupo: disponível apenas para tipos de grupo do Microsoft 365. Insira um endereço de e-mail manualmente ou use o endereço de e-mail criado a partir do nome do Grupo que você forneceu.

  7. Descrição do grupo. Adicione uma descrição opcional ao seu grupo.

  8. Alternar as funções do Microsoft Entra pode ser atribuído à configuração de grupo para sim para usar esse grupo para atribuir funções do Microsoft Entra aos membros.

    • Esta opção só está disponível com licenças P1 ou P2.
    • Você deve ter pelo menos a função de Administrador de Função Privilegiada .
    • Ativar esta opção seleciona automaticamente Atribuído como o tipo de associação.
    • A capacidade de adicionar funções durante a criação do grupo é adicionada ao processo.
    • Saiba mais sobre grupos atribuíveis a funções.
  9. Selecione um tipo de associação. Para obter mais informações sobre tipos de associação, consulte o artigo Saiba mais sobre grupos e tipos de associação.

  10. Opcionalmente, adicione Proprietários ou Membros. Membros e proprietários podem ser adicionados depois de criar seu grupo.

    1. Selecione o link em Proprietários ou Membros para preencher uma lista de todos os usuários em seu diretório.
    2. Escolha usuários na lista e, em seguida, selecione o botão Selecionar na parte inferior da janela.

    Captura de ecrã a mostrar a seleção de membros para o seu grupo durante o processo de criação do grupo.

  11. Selecione Criar. Seu grupo está criado e pronto para você gerenciar outras configurações.

    Desativar o e-mail de boas-vindas do grupo

    Uma notificação de boas-vindas é enviada a todos os usuários quando eles são adicionados a um novo grupo do Microsoft 365, independentemente do tipo de associação. Quando um atributo de um usuário ou dispositivo é alterado, todas as regras para grupos dinâmicos de associação na organização são processadas para possíveis alterações de associação. Os usuários que são adicionados também recebem a notificação de boas-vindas. Você pode desativar esse comportamento no Exchange PowerShell.

Adicionar membros ou proprietários de um grupo

Membros e proprietários podem ser adicionados a partir de grupos existentes. O processo é o mesmo para membros e proprietários. Você precisará da função Administrador de Grupos ou Administrador de Usuários para adicionar membros e proprietários.

Precisa adicionar vários membros ao mesmo tempo? Saiba mais sobre a opção adicionar membros em massa .

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Selecione o grupo que você precisa gerenciar.

  4. Selecione Membros ou Proprietários.

    Captura de ecrã da página Descrição geral do Grupo com as opções do menu Membros e Proprietários realçadas.

  5. Selecione + Adicionar (membros ou proprietários).

  6. Percorra a lista ou introduza um nome na caixa de pesquisa. Você pode escolher vários nomes ao mesmo tempo. Quando estiver pronto, selecione o botão Selecionar .

    A página Visão Geral do Grupo é atualizada para mostrar o número de membros que agora foram adicionados ao grupo.

Remover membros ou proprietários de um grupo

Membros e proprietários podem ser removidos de grupos existentes. O processo é o mesmo para membros e proprietários. Você precisará da função Administrador de Grupos ou Administrador de Usuários para remover membros e proprietários.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Selecione o grupo que você precisa gerenciar.

  4. Selecione Membros ou Proprietários.

  5. Marque a caixa ao lado de um nome da lista e selecione o botão Remover .

    Captura de ecrã dos membros do grupo com um nome selecionado e o botão Remover realçado.

Editar configurações de grupo

Você pode editar o nome, a descrição ou o tipo de associação de um grupo. Você precisará da função Administrador de Grupos ou Administrador de Usuários para editar as configurações de um grupo.

Para editar as configurações do grupo:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Percorra a lista ou introduza um nome de grupo na caixa de pesquisa. Selecione o grupo que você precisa gerenciar.

  4. Selecione Propriedades no menu lateral.

  5. Atualize as informações de configurações gerais conforme necessário, incluindo:

    • Nome do grupo. Edite o nome do grupo existente.

    • Descrição do grupo. Edite a descrição do grupo existente.

    • Tipo de grupo. Não é possível alterar o tipo de grupo depois de criado. Para alterar o tipo de grupo, você deve excluir o grupo e criar um novo.

    • Tipo de associação. Altere o tipo de associação. Se você habilitou as funções do Microsoft Entra podem ser atribuídas à opção de grupo , não poderá alterar o tipo de associação. Para obter mais informações sobre os tipos de associação disponíveis, consulte o artigo Saiba mais sobre grupos e tipos de associação.

    • ID do objeto. Você não pode alterar a ID do objeto, mas pode copiá-la para usá-la em seus comandos do PowerShell para o grupo. Para saber mais sobre como usar cmdlets do PowerShell, veja Cmdlets do Microsoft Entra para definir configurações de grupo.

Adicionar um grupo a outro grupo

Para o tipo de grupo de segurança, você pode adicionar um grupo existente a outro grupo (também conhecido como grupos aninhados). Dependendo dos tipos de associação ao grupo, você pode adicionar um grupo como membro de outro grupo, assim como um usuário, que aplica configurações como permissões de acesso e funções a grupos aninhados. Mas para grupos aninhados, o Entra não aplica a associação atribuída a recursos e aplicativos compartilhados.

Você precisará da função Administrador de Grupos ou Administrador de Usuários para editar a associação ao grupo. Para saber mais sobre grupos de segurança, veja O que saber antes de criar um grupo.

No momento, não suportamos:

  • Adicionar grupos a um grupo sincronizado com o Ative Directory local.
  • Adicionar grupos de segurança a grupos do Microsoft 365.
  • Adicionar grupos do Microsoft 365 a grupos de segurança ou outros grupos do Microsoft 365.
  • Associação atribuída a recursos compartilhados e aplicativos para grupos de segurança aninhados.
  • Aplicação de licenças a grupos de segurança aninhados.
  • Adicionar grupos de distribuição em cenários de aninhamento.
  • Adicionar grupos de segurança como membros de grupos de segurança habilitados para email.
  • Adicionar grupos como membros de um grupo atribuível por função.
  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Na página Todos os grupos , procure e selecione o grupo que pretende tornar membro de outro grupo.

    Observação

    Só pode adicionar o seu grupo como membro a um outro grupo de cada vez. Não há suporte para caracteres curinga na caixa de pesquisa Selecionar grupo .

  4. Na página Visão geral do grupo, selecione Associações de grupo no menu lateral.

  5. Selecione + Adicionar associações.

  6. Localize o grupo do qual você deseja que seu grupo seja membro e escolha Selecionar.

    Para este exercício, estamos adicionando "Política de MDM - Oeste" ao grupo "Política de MDM - Todas as organizações". O grupo "MDM - política - Oeste" terá o mesmo acesso que o grupo "Política MDM - Todas as organizações".

    Captura de ecrã a mostrar como tornar um grupo membro de outro grupo com a participação no menu lateral e a opção 'Adicionar associação' realçada.

    Agora você pode revisar a página "Política de MDM - Oeste - Associações de grupo" para ver o relacionamento entre grupo e membro.

    Para obter uma visão mais detalhada da relação entre grupo e membro, selecione o nome do grupo pai (política MDM - All org) e dê uma olhada nos detalhes da página "Política MDM - Oeste".

Remover um grupo de outro grupo

Para o tipo de grupo de segurança, você pode adicionar um grupo existente a outro grupo (também conhecido como grupos aninhados). Dependendo dos tipos de associação ao grupo, você pode adicionar um grupo como membro de outro grupo, assim como um usuário, que aplica configurações como permissões de acesso e funções a grupos aninhados. Mas para grupos aninhados, o Entra não aplica a associação atribuída a recursos e aplicativos compartilhados.

Você precisará da função Administrador de Grupos ou Administrador de Usuários para editar a associação ao grupo. Para saber mais sobre grupos de segurança, veja O que saber antes de criar um grupo.

Você pode remover um grupo de segurança existente de outro grupo de segurança; no entanto, remover o grupo também remove qualquer acesso herdado para seus membros.

  1. Na página Todos os grupos , procure e selecione o grupo que precisa remover como membro de outro grupo.

  2. Na página Visão Geral do grupo, selecione Associações de grupo.

  3. Selecione o grupo pai na página Associações de grupo.

  4. Selecione Remover.

    Para este exercício, vamos agora remover "MDM policy - West" do grupo "MDM policy - All org".

    Captura de ecrã da página 'Associação ao grupo' que mostra os detalhes do membro e do grupo com a opção 'Remover membro' realçada.

Excluir um grupo

Você pode excluir um grupo por vários motivos, mas normalmente será porque você:

  • Escolha a opção Tipo de grupo incorreto.
  • Criado um grupo duplicado por engano.
  • Não precisa mais do grupo.
  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Pesquise e selecione o grupo que deseja excluir.

  4. Selecione Excluir.