Hallitse, ketkä voivat luoda Microsoft 365 -ryhmät

  • Artikkeli

Oletusarvoisesti kaikki käyttäjät voivat luoda Microsoft 365 -ryhmiä. Tätä menetelmää suositellaan, koska sen avulla käyttäjät voivat aloittaa yhteistyön ilman IT-apua.

Jos yrityksesi edellyttää, että rajoitat ryhmien luontia, voit rajoittaa Microsoft 365 -ryhmät luomisen tietyn Microsoft 365 -ryhmän tai käyttöoikeusryhmän jäsenille.

Jos olet huolissasi siitä, että käyttäjät luovat tiimejä tai ryhmiä, jotka eivät täytä liiketoimintastandardejasi, harkitse, että käyttäjien on suoritettava koulutuskurssi ja lisättävä heidät sitten sallittujen käyttäjien ryhmään.

Kun rajoitat ryhmän luontioikeutta, se vaikuttaa kaikkiin ryhmiin käyttöoikeuksia käyttäviin palveluihin, kuten:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (perinteinen)
  • Projectin verkkoversio / toteutussuunnitelma

Tämän artikkelin vaiheet eivät estä tiettyjen roolien jäseniä luomasta ryhmiä. Microsoft 365:n yleiset järjestelmänvalvojat voivat luoda ryhmiä Microsoft 365 -hallintakeskus, Plannerin, Exchangen ja SharePointin kautta, mutta eivät muiden sijaintien, kuten Teamsin, kautta. Muut roolit voivat luoda Microsoft 365 -ryhmät rajoitetuin keinoin, jotka on lueteltu alla.

  • Exchange-järjestelmänvalvoja: Exchange-hallintakeskus, Microsoft Entra ID
  • Kumppanitason 1 tuki: Microsoft 365 -hallintakeskus, Exchange-hallintakeskus, Microsoft Entra ID
  • Kumppanitason 2 tuki: Microsoft 365 -hallintakeskus, Exchange-hallintakeskus, Microsoft Entra ID
  • Hakemiston kirjoittajat: Microsoft Entra ID
  • Ryhmien järjestelmänvalvoja: Microsoft Entra ID
  • SharePoint-järjestelmänvalvoja: SharePoint-hallintakeskus, Microsoft Entra ID
  • Teams-palvelun järjestelmänvalvoja: Teams-hallintakeskus, Microsoft Entra ID
  • Käyttäjän järjestelmänvalvoja: Microsoft 365 -hallintakeskus, Microsoft Entra ID

Jos olet jonkin roolin jäsen, voit luoda Microsoft 365 -ryhmät rajoitetuille käyttäjille ja määrittää sitten käyttäjän ryhmän omistajaksi.

Käyttöoikeusvaatimukset

Ryhmien luojien hallinta edellyttää, että seuraavat henkilöt tarvitsevat Microsoft Entra ID P1- tai P2-käyttöoikeuksia tai Microsoft Entra Basic EDU -käyttöoikeuksia:

  • Järjestelmänvalvoja, joka määrittää nämä ryhmän luontiasetukset
  • Ryhmän jäsenet, joilla on oikeus luoda ryhmiä

Huomautus

Lisätietoja Azure-käyttöoikeuksien määrittämisestä on artikkelissa Käyttöoikeuksien määrittäminen tai poistaminen Microsoft Entra -hallintakeskus.

Seuraavat henkilöt eivät tarvitse Microsoft Entra ID P1- tai P2- tai Microsoft Entra Basic EDU -käyttöoikeuksia:

  • Ihmiset, jotka ovat Microsoft 365 -ryhmien jäseniä ja joilla ei ole mahdollisuutta luoda muita ryhmiä.

Vaihe 1: Ryhmän luominen käyttäjille, joiden on luotava Microsoft 365 -ryhmiä

Vain yhden organisaatiosi ryhmän avulla voidaan hallita sitä, ketkä voivat luoda Microsoft 365 -ryhmät. Voit kuitenkin asettaa muita ryhmiä sisäkkäin tämän ryhmän jäseninä.

Yllä lueteltujen roolien järjestelmänvalvojien ei tarvitse olla tämän ryhmän jäseniä: he säilyttävät mahdollisuuden luoda ryhmiä.

  1. Siirry hallintakeskuksessa Ryhmät-sivulle.

  2. Napsauta Lisää ryhmä.

  3. Valitse haluamasi ryhmätyyppi. Muista luomasi ryhmän nimi. Tarvitset sitä myöhemmin.

  4. Viimeistele ryhmän määrittäminen ja lisää henkilöt tai muut ryhmät, joiden haluat voivan luoda ryhmiä jäseninä (ei omistajina).

Katso yksityiskohtaiset ohjeet kohdasta Käyttöoikeusryhmän luominen, muokkaaminen tai poistaminen Microsoft 365 -hallintakeskus.

Vaihe 2: suorita PowerShell-komennot.

Muutat ryhmätason vieraskäyttöasetusta Microsoft Graph PowerShellBeta -moduulin avulla:

  • Jos olet jo asentanut beetaversion, suorita Update-Module Microsoft.Graph.Beta sen varmistamiseksi, että se on tämän moduulin uusin versio.

Kopioi alla oleva komentosarja tekstieditoriin, kuten Muistioon, tai ise-Windows PowerShell.

Korvaa <GroupName> luomasi ryhmän nimellä. Esimerkki:

$GroupName = "Group Creators"

Tallenna tiedosto GroupCreators.ps1.

Siirry PowerShell-ikkunassa sijaintiin, johon tallensit tiedoston (kirjoita "CD <FileLocation>").

Suorita komentosarja kirjoittamalla:

.\GroupCreators.ps1

ja kirjaudu pyydettäessä sisään järjestelmänvalvojatililläsi .

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

Komentosarjan viimeisellä rivillä näkyvät päivitetyt asetukset:

Näyttökuva PowerShell-komentosarjan tulostuksesta.

Jos haluat tulevaisuudessa muuttaa käytettävää ryhmää, voit suorittaa komentosarjan uudelleen uuden ryhmän nimellä.

Jos haluat poistaa käytöstä ryhmän luontirajoituksen ja antaa kaikkien käyttäjien taas luoda ryhmiä, määrittää $GroupName arvoksi ja $AllowGroupCreation $true ja suorittaa komentosarjan uudelleen.

Vaihe 3: varmista toimivuus.

Muutosten voimaantulo voi kestää vähintään 30 minuuttia. Voit tarkistaa uudet asetukset toimimalla seuraavasti:

  1. Kirjaudu sisään Microsoft 365:een sellaisen henkilön käyttäjätilillä, jolla ei pitäisi olla mahdollisuutta luoda ryhmiä. He eivät siis ole luomasi ryhmän tai järjestelmänvalvojan jäseniä.

  2. Valitse Planner-ruutu .

  3. Luo suunnitelma valitsemalla Plannerissa uusi suunnitelma vasemmasta siirtymisruudusta.

  4. Sinun pitäisi saada viesti siitä, että suunnitelman ja ryhmän luominen on poistettu käytöstä.

Yritä samaa toimintosarjaa uudelleen ryhmän jäsenen kanssa.

Huomautus

Jos ryhmän jäsenet eivät voi luoda ryhmiä, tarkista, että heitä ei estetä OWA-postilaatikkokäytännön kautta.

Yhteistyön hallinnan suunnittelusuositukset

Yhteistyösuunnitelman luominen

Office 365:n PowerShellin käytön aloittaminen

Omatoimisen ryhmänhallinnan määrittäminen Microsoft Entra ID

Set-ExecutionPolicy

Microsoft Entra cmdlet-komentoja ryhmäasetusten määrittämiseen