Sicherheitsgruppen in Microsoft 365 erstellen und verwalten

Dank Microsoft 365-Sicherheitsgruppen, früher als Office 365-Sicherheitsgruppen bekannt, verwalten Administratoren den Zugriff beispielweise auf SharePoint-Websites, indem Sie Benutzer gruppieren, die gleiche Berechtigungen erfordern. So weisen Sie den Zugriff nur einmal für die gesamte Gruppe zu und nicht einzeln für jeden Benutzer. In diesem Artikel zeigen wir Ihnen, wie Sie im Microsoft / Office 365 Admin Center eine Sicherheitsgruppe erstellen, ihr Mitglieder hinzufügen und daraus entfernen, und den ganzen Prozess mit PowerShell-Befehlen optimieren.

Sicherheitsgruppen in Microsoft 365 erstellen und verwalten

Schnellzugriff:

Funktionsweise der Sicherheitsgruppen

Die Funktionsweise der Sicherheitsgruppen in Microsoft 365 ist recht einfach: Erstellen Sie zunächst eine Sicherheitsgruppe und fügen Sie ihr Mitglieder hinzu. Eine solche Gruppe können Sie dann beispielweise nutzen, um deren Mitgliedern Zugriff auf eine bestimmte Website in SharePoint zu gewähren. Somit verfügt jeder Benutzer innerhalb der Sicherheitsgruppe über dieselben Berechtigungen für diese Seite. Wenn der Zugriff einer Gruppe auf eine Ressource widerrufen wird, wirken sich die Änderungen auf alle Gruppenmitglieder aus. Wird ein Mitglied aus einer Gruppe entfernt, so verliert es auch seine Berechtigungen. Dies bedeutet Zeiteinsparungen bei der Zugriffsverwaltung, insbesondere bei größeren Organisationen mit vielen Benutzern. Außerdem kann eine Sicherheitsgruppe in eine E-Mail-aktivierte (mail-enabled) Sicherheitsgruppe umgewandelt und zum Senden von Benachrichtigungen (E-Mails) an alle Mitglieder dieser Gruppe verwendet werden.

Unterschiede zwischen Sicherheitsgruppen, Microsoft 365- / Office 365-Gruppen und Distributionslisten

Ähnlich wie bei jedem anderen Tool dienen Sicherheitsgruppen einen bestimmten Zweck: Sie erlauben Administratoren, die Zugriffsrechte auf verschiedene Ressourcen zu verwalten. Sie sind jedoch nicht zum Senden und Empfangen von E-Mails vorgesehen. Es gibt nämlich einen anderen Gruppentyp, die über eine E-Mail-Adresse für die Kommunikation mit deren Mitgliedern verfügt und die Verwaltung von Zugriffsrechten ermöglicht – die E-Mail-aktivierte Sicherheitsgruppe. Wenn Sie aber eine solche Gruppe nur für die Kommunikation mit einigen Benutzern brauchen (z.B. je nach Standort, Abteilung usw.), nutzen Sie besser eine Verteilerliste dazu. Und falls Sie eine Gruppe für die Zusammenarbeit zwischen Benutzern benötigen (mit einer Gruppen-E-Mail sowie einem freigegebenen Arbeitsbereich für Konversationen, Dateien, Kalendereinträge usw.), ist eine Microsoft 365-Gruppe die beste Option. Mehr über Microsoft 365-Gruppen und Verteilerlisten erfahren Sie in diesem Artikel.

Sicherheitsgruppen erstellen und verwalten

Es gibt verschiedene Möglichkeiten, eine Sicherheitsgruppe in Ihrer Organisation zu erstellen. Im Folgenden erfahren Sie, wie Sie dies im Microsoft 365 Admin Center und mithilfe von PowerShell-Befehlen tun.

Erstellen und Verwalten von Sicherheitsgruppen im Microsoft 365 Admin Center

Um eine Sicherheitsgruppe im Microsoft 365 Admin Center zu erstellen, gehen Sie auf Groups > Active groups und klicken Sie auf Add a group.

Neue Sicherheitsgruppe einfügen

Auf der rechten Seite des Fensters wird ein dreistufiger Assistent geöffnet. Wählen Sie im Schritt Group type die Option Security aus und klicken Sie auf Next, um fortzufahren.

Gruppentyp auswählen

Geben Sie im Schritt Basics den Namen Ihrer Gruppe (obligatorisch) und eine kurze Beschreibung (optional) ein. Dann klicken Sie auf Next.

Gruppe benennen

Im Schritt Finish überprüfen Sie die Einstellungen der Gruppe und klicken Sie auf Create group.

Konfiguration der Gruppe überprüfen

Wenn Ihre neue Sicherheitsgruppe fertig ist, klicken Sie auf Close und kehren Sie zur Seite Active groups zurück.

Jetzt können Sie dieser Gruppe Mitglieder hinzufügen. Um dies zu tun, gehen Sie auf die Registerkarte Members und klicken Sie auf View all and manage members. In dem sich öffnenden Fenster können Sie die Gruppenmitgliedschaft bearbeiten.

Gruppenmitglieder einfügen

Klicken Sie auf Add members und wählen Sie Benutzer, Gruppen oder andere Ressourcen aus, die Sie der Sicherheitsgruppe hinzufügen möchten. Nutzen Sie das Suchfeld, um bestimmte Mitglieder schnell zu finden. Wenn Sie fertig sind, bestätigen Sie mit einem Klick auf Save. Schließen Sie das Fenster und kehren Sie zur Seite Active groups zurück.

Mitglieder auswählen

Wenn Sie Gruppenmitglieder entfernen möchten, wählen Sie deren Sicherheitsgruppe aus, wechseln Sie zur Registerkarte Members, klicken Sie auf View all and manage members wie oben beschrieben. Klicken Sie auf die Schaltfläche X neben dem Mitglied, das Sie aus der Gruppe löschen möchten. Wenn Sie fertig sind, schließen Sie das Fenster.

Mitglieder entfernen

Und wenn Sie die ganze Sicherheitsgruppe löschen möchten, finden Sie sie auf der Seite Active groups, klicken Sie auf die Schaltfläche mit drei Punkten und wählen Sie Delete group aus der Dropdown-Liste aus.

Sicherheitsgruppe entfernen

Erstellen und Verwalten von Sicherheitsgruppen mit PowerShell-Befehlen

Sie können Microsoft 365-Sicherheitsgruppen auch mit Exchange Online- oder Azure Active Directory-Cmdlets verwalten. In diesem Artikel zeigen wir Ihnen, wie Sie die AAD-Cmdlets verwenden. Zu diesem Zweck müssen Sie zunächst eine Verbindung zu Ihrem Azure Active Directory herstellen und sich mit dem folgenden Befehl anmelden:

Connect-MsolService

Sicherheitsgruppe erstellen

Sie können jetzt eine Sicherheitsgruppe erstellen, indem Sie das folgende Cmdlet ausführen:

New-MsolGroup -DisplayName "Name Ihrer Sicherheitsgruppe" -Description "Sicherheitsgruppe erstellt mit PowerShell"

Verwenden Sie den Parameter -DisplayName, um den Namen der Gruppe anzugeben, und den Parameter -Description (optional), um zusätzliche Informationen einzugeben, die Sie benötigen. Bestätigen Sie die Erstellung der Sicherheitsgruppe wie folgt:

Get-MsolGroup -SearchString "Name Ihrer Sicherheitsgruppe"

Mit -SearchString „Name Ihrer Sicherheitsgruppe“ zeigen Sie nur die neu erstellte Gruppe und mit -GroupType Security“ alle Gruppen an.

Mitglieder in Sicherheitsgruppe einfügen

Der folgende Befehl fügt der Gruppe ein Mitglied hinzu:

Add-MsolGroupMember -groupobjectID <GUID> -groupmembertype User -groupmemberobjectID <GUID>

Wobei:

  • -groupobjectID identifiziert die Gruppe (anhand von GUID),
  • -groupmembertype ist der Typ des Gruppenmitglieds (User oder Group),
  • -groupmemberobjectID ist die GUID des Benutzers.

Um Mitglieder einer Sicherheitsgruppe hinzuzufügen (oder daraus zu entfernen), müssen Sie den Globally Unique Identifier (GUID) der Gruppe und der Benutzer kennen, die Sie hinzufügen (oder entfernen). Mit den folgenden Befehlen zeigen Sie den Identifier eines bestimmten Benutzers an:

$(Get-MsolUser -UserPrincipalName "UPN des Benutzers").ObjectID

Und zum Anzeigen des GUID einer Gruppe:

Get-MsolGroup -SearchString "Name Ihrer Sicherheitsgruppe"

Um diese Identifier nicht manuell zu kopieren, erstellen Sie zwei separate Variablen. Die erste ruft den GUID des Benutzers ab:

$UserID = (Get-MsolUser -UserPrincipalName "UPN des Benutzers").ObjectID

und die zweite den GUID Ihrer Sicherheitsgruppe:

$GroupID = (Get-MsolGroup -SearchString "Name Ihrer Sicherheitsgruppe").ObjectID

Für Variablen zum Hinzufügen eines neuen Benutzers sieht das Cmdlet so aus:

Add-MsolGroupMember -groupobjectID $GroupID -groupmembertype User -groupmemberobjectID $UserID

Der größte Vorteil von Gruppenverwaltung mit PowerShell besteht darin, dass Sie viele Benutzer gleichzeitig zu einer Gruppe hinzufügen können. Erstellen Sie dazu zunächst eine Liste aller Benutzer, die Sie einer Gruppe hinzufügen möchten:

Get-MsolUser -Title "Berufsbezeichnung des Benutzers"

Hier nutzen wir den Parameter -Title, der eine Liste aller Benutzer erzeugt, deren Feld Job title (Berufsbezeichnung) in Active Directory mit dem Parameterwert übereinstimmt. Sie können aber auch einen anderen Parameter wählen: Department. Er listet alle Benutzer auf, die Informationen im Feld Department AD haben.

Wir nehmen jetzt dieses Cmdlet, um eine Variable zu erstellen, die eine Liste von GUIDs aller Benutzer enthält, die die definierten Kriterien erfüllen:

$UserList = (Get-MsolUser -Title "Berufsbezeichnung des Benutzers").objectID

Als Nächstes erstellen Sie eine Schleife, die jedes Objekt aus $UserList auf das Cmdlet anwendet, mit dem neue Benutzer hinzugefügt werden:

foreach ($user in $UserList) {Add-MsolGroupMember -groupobjectID $GroupID -groupmembertype User -GroupmemberobjectID $user}

So überprüfen Sie, ob der Gruppe neue Mitglieder hinzugefügt wurden. Dieser Befehl zeigt nämlich alle Gruppenmitglieder an:

Get-MsolGroupMember -groupobjectID $GroupID

Es ist auch möglich, eine weitere Sicherheitsgruppe als Mitglied einer Sicherheitsgruppe hinzuzufügen. Um dies zu tun, erstellen Sie zuerst eine Variable:

$AddedGroupID = (Get-MsolGroup -SearchString "Name der Gruppe, die Sie hinzufügen möchten").objectID

Verwenden Sie es dann in dem Befehl, mit dem Sie zuvor Mitglieder einer Gruppe hinzugefügt haben:

Add-MsolGroupMember -groupobjectID $GroupID -groupmembertype Group -groupmemberobjectID $AddedGroupID

Beachten Sie, dass -groupmembertype einen anderen Wert hat: Group.

Entfernen der Gruppenmitglieder und der Sicherheitsgruppe

Wenn Sie einen Benutzer aus einer Sicherheitsgruppe entfernen möchten, nehmen Sie die gleichen Variablen wie beim Hinzufügen von Mitgliedern und verwenden Sie das folgende Cmdlet (Sie können auch mehrere Mitglieder oder Gruppen wie oben beschrieben entfernen):

Remove-MsolGroupMember -groupobjectID $GroupID -groupmembertype User -groupmemberobjectID $UserID

Um die ganze Sicherheitsgruppe zu entfernen, nutzen Sie das folgende Cmdlet:

Remove-MsolGroup -objectid $GroupID

Außerdem können Sie den Parameter -Force am Ende des obigen Befehls einfügen. So werden Sie nicht aufgefordert, diesen Vorgang fortzusetzen.

Lesen Sie auch:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*