Zarządzanie tym, kto może tworzyć grupy platformy Microsoft 365

  • Artykuł

Domyślnie wszyscy użytkownicy mogą tworzyć grupy platformy Microsoft 365. Jest to zalecana opcja, ponieważ umożliwia użytkownikom rozpoczęcie współpracy bez konieczności pomocy ze strony działu IT.

Jeśli Twoja firma wymaga ograniczenia osób, które mogą tworzyć grupy, możesz ograniczyć tworzenie grup platformy Microsoft 365 do członków określonej grupy tej platformy lub grupy zabezpieczeń.

Jeśli martwisz się o użytkowników tworzących zespoły lub grupy, które nie są zgodne ze standardami biznesowymi, rozważ wymaganie od użytkowników ukończenia kursu szkoleniowego, a następnie dodanie ich do grupy dozwolonych użytkowników.

Ograniczenie liczby osób, które mogą utworzyć grupę, ma wpływ na wszystkie usługi korzystające z grup w celu uzyskania dostępu, w tym:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (klasyczny)
  • Project dla sieci Web / Plan

Kroki opisane w tym artykule nie uniemożliwią członkom niektórych ról tworzenia grup. Administratorzy globalni platformy Microsoft 365 mogą tworzyć grupy za pośrednictwem centrum administracyjnego platformy Microsoft 365, usługi Planner, programu Exchange i programu SharePoint, ale nie innych lokalizacji, takich jak Teams. Inne role mogą tworzyć grupy platformy Microsoft 365 za pośrednictwem ograniczonych środków wymienionych poniżej.

  • Administrator programu Exchange: Centrum administracyjne programu Exchange, Tożsamość Microsoft Entra
  • Pomoc techniczna w warstwie 1 partnera: Centrum administracyjne platformy Microsoft 365, Centrum administracyjne programu Exchange, Tożsamość Microsoft Entra
  • Pomoc techniczna w warstwie Partner 2: Centrum administracyjne platformy Microsoft 365, Centrum administracyjne programu Exchange, Tożsamość Microsoft Entra
  • Autorzy katalogów: Tożsamość Microsoft Entra
  • Administrator grup: Tożsamość Microsoft Entra
  • Administrator programu SharePoint: centrum administracyjne programu SharePoint, Tożsamość Microsoft Entra
  • Administrator usługi Teams: centrum administracyjne usługi Teams, Tożsamość Microsoft Entra
  • Administrator użytkowników: Centrum administracyjne platformy Microsoft 365, Tożsamość Microsoft Entra

Jeśli jesteś członkiem jednej z tych ról, możesz utworzyć Grupy Microsoft 365 dla użytkowników objętych ograniczeniami, a następnie przypisywać tych użytkowników jako właścicieli grup.

Wymagania dotyczące licencjonowania

Aby zarządzać tym, kto tworzy grupy, następujące osoby muszą mieć przypisane licencje Tożsamość Microsoft Entra P1 lub P2 lub Microsoft Entra podstawowej wersji EDU:

  • Administrator, który konfiguruje te ustawienia tworzenia grup
  • Członkowie grupy, którzy mogą tworzyć grupy

Uwaga

Aby uzyskać więcej informacji na temat przypisywania licencji platformy Azure, zobacz Przypisywanie lub usuwanie licencji w centrum administracyjne Microsoft Entra.

Następujące osoby nie muszą mieć przypisanych licencji Tożsamość Microsoft Entra P1, P2 ani Microsoft Entra Podstawowa EDU:

  • Osoby, które są członkami grup platformy Microsoft 365 i nie mają możliwości tworzenia innych grup.

Krok 1. Tworzenie grupy dla użytkowników, którzy muszą tworzyć grupy platformy Microsoft 365

Tylko jedna grupa w organizacji może być przeznaczona do kontrolowania, kto może tworzyć grupy platformy Microsoft 365. Można jednak zagnieździć inne grupy jako członków tej grupy.

Administratorzy w wymienionych powyżej rolach nie muszą być członkami tej grupy: zachowują oni możliwość tworzenia grup.

  1. W centrum administracyjnym przejdź do strony Grupy.

  2. Kliknij pozycję Dodaj grupę.

  3. Wybierz odpowiedni typ grupy. Zapamiętaj nazwę tej grupy! Będzie potrzebna później.

  4. Zakończ konfigurowanie grupy, dodając osoby lub inne grupy, którym chcesz umożliwić tworzenie grup jako członkowie (nie właściciele).

Aby uzyskać szczegółowe instrukcje, zobacz Tworzenie, edytowanie lub usuwanie grupy zabezpieczeń w centrum administracyjnym platformy Microsoft 365.

Krok 2. Uruchamianie poleceń programu PowerShell

Użyjesz modułu Microsoft Graph PowerShellBeta , aby zmienić ustawienie dostępu gościa na poziomie grupy:

  • Jeśli zainstalowano już wersję beta, uruchom polecenie Update-Module Microsoft.Graph.Beta , aby upewnić się, że jest to najnowsza wersja tego modułu.

Skopiuj poniższy skrypt do edytora tekstów, takiego jak Notatnik, lub środowiska Windows PowerShell ISE.

Zastąp <ciąg GroupName> nazwą utworzonej grupy. Przykład:

$GroupName = "Group Creators"

Zapisz plik jako GroupCreators.ps1.

W oknie programu PowerShell przejdź do lokalizacji, w której zapisano plik (wpisz "CD <FileLocation>").

Uruchom skrypt, wpisując:

.\GroupCreators.ps1

i zaloguj się przy użyciu konta administratora po wyświetleniu monitu.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

W ostatnim wierszu skryptu zostaną zaktualizowane ustawienia:

Wycinek ekranu przedstawiający dane wyjściowe skryptów programu PowerShell.

Jeśli w przyszłości chcesz zmienić używaną grupę, możesz ponownie uruchomić skrypt z nazwą nowej grupy.

Jeśli chcesz wyłączyć ograniczenie tworzenia grupy i ponownie zezwolić wszystkim użytkownikom na tworzenie grup, ustaw $GroupName na wartość "", a $AllowGroupCreation na "$true" i uruchom ponownie skrypt.

Krok 3. Sprawdzenie działania

Wprowadzenie zmian może potrwać co najmniej trzydzieści minut. Nowe ustawienia możesz sprawdzić, wykonując następujące czynności:

  1. Zaloguj się na platformie Microsoft 365 przy użyciu konta użytkownika osoby, która nie powinna mieć możliwości tworzenia grup. Oznacza to, że nie są one członkiem utworzonej grupy ani administratorem.

  2. Wybierz kafelek Planner .

  3. W aplikacji Planner wybierz pozycję Nowy plan w lewym okienku nawigacji, aby utworzyć plan.

  4. Powinien zostać wyświetlony komunikat informujący o wyłączeniu możliwości tworzenia planu i grupy.

Spróbuj ponownie wykonać tę samą procedurę z członkiem grupy.

Uwaga

Jeśli członkowie grupy nie mogą tworzyć grup, sprawdź, czy nie są blokowani za pośrednictwem ich zasad skrzynki pocztowej aplikacji OWA.

Zalecenia dotyczące planowania zarządzania współpracą

Tworzenie planu zarządzania współpracą

Rozpoczynanie pracy z programem Office 365 PowerShell

Konfigurowanie samoobsługowego zarządzania grupami w Tożsamość Microsoft Entra

Set-ExecutionPolicy

Microsoft Entra poleceń cmdlet do konfigurowania ustawień grupy