Управление разрешениями пользователей на создание групп Microsoft 365

  • Статья

По умолчанию все пользователи могут создавать группы Microsoft 365. Это рекомендуемый подход, так как он позволяет пользователям начать совместную работу без помощи ИТ-специалистов.

Если вашей организации требуется ограничить пользователей, которые могут создавать группы, можно ограничить Группы Microsoft 365 создание членами определенной группы Microsoft 365 или группы безопасности.

Если вас беспокоит создание пользователями команд или групп, которые не соответствуют вашим бизнес-стандартам, рассмотрите возможность потребовать от пользователей пройти учебный курс, а затем добавить их в группу разрешенных пользователей.

Ограничение числа пользователей, которые могут создавать группу, влияет на все службы, которые используют группы для доступа, в том числе:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Планировщик
  • Power BI (классическая модель)
  • Project в Интернете / Дорожная карта

Действия, описанные в этой статье, не помешают членам определенных ролей создавать группы. Глобальные администраторы Microsoft 365 могут создавать группы с помощью Центр администрирования Microsoft 365, Планировщика, Exchange и SharePoint, но не в других расположениях, таких как Teams. Другие роли могут создавать Группы Microsoft 365 ограниченными средствами, перечисленными ниже.

  • Администратор Exchange: Центр администрирования Exchange, Microsoft Entra ID
  • Поддержка партнеров уровня 1: Центр администрирования Microsoft 365, Центр администрирования Exchange, Microsoft Entra ID
  • Поддержка партнеров уровня 2: Центр администрирования Microsoft 365, Центр администрирования Exchange, Microsoft Entra ID
  • Записи каталогов: Microsoft Entra ID
  • Администратор групп: Microsoft Entra ID
  • Администратор SharePoint: Центр администрирования SharePoint, Microsoft Entra ID
  • Администратор службы Teams: Центр администрирования Teams, Microsoft Entra ID
  • Администратор пользователей: Центр администрирования Microsoft 365, Microsoft Entra ID

Если вы являетесь членом одной из этих ролей, вы можете создать Группы Microsoft 365 для ограниченных пользователей, а затем назначить пользователя владельцем группы.

Требования к лицензированию

Чтобы управлять тем, кто создает группы, следующие пользователи должны Microsoft Entra ID лицензии P1 или P2 или Microsoft Entra назначенные им лицензии EDU уровня "Базовый":

  • Администратор, который настраивает эти параметры создания группы
  • Участники группы, которым разрешено создавать группы

Примечание.

Дополнительные сведения о назначении лицензий Azure см. в статье Назначение или удаление лицензий в Центр администрирования Microsoft Entra.

Следующим пользователям не требуется Microsoft Entra ID P1, P2 или Microsoft Entra назначенных им базовых лицензий EDU:

  • Люди, которые являются членами групп Microsoft 365 и не имеют возможности создавать другие группы.

Шаг 1. Создание группы для пользователей, которым необходимо создать группы Microsoft 365

Только одна группа в вашей организации может быть использована для управления тем, кто может создавать Группы Microsoft 365. Но вы можете вложить другие группы в качестве членов этой группы.

Администраторы в перечисленных выше ролях не должны быть членами этой группы: они сохраняют возможность создавать группы.

  1. В Центре администрирования перейдите на страницу Группы.

  2. Щелкните Добавить группу.

  3. Выберите нужный тип группы. Запомните имя группы. Он потребуется позже.

  4. Завершите настройку группы, добавив людей или другие группы, которые должны иметь возможность создавать группы в качестве участников (не владельцев).

Подробные инструкции см. в статье Создание, изменение и удаление группы безопасности в Центр администрирования Microsoft 365.

Шаг 2. Запуск команд PowerShell

Вы будете использовать бета-модульMicrosoft Graph PowerShell, чтобы изменить параметр гостевого доступа на уровне группы:

  • Если вы уже установили бета-версию, выполните команду Update-Module Microsoft.Graph.Beta , чтобы убедиться, что это последняя версия этого модуля.

Скопируйте приведенный ниже сценарий в текстовый редактор, например Блокнот или Windows PowerShell ISE.

Замените <GroupName> именем созданной группы. Например:

$GroupName = "Group Creators"

Сохраните файл как GroupCreators.ps1.

В окне PowerShell перейдите в расположение, в котором вы сохранили файл (введите "CD <FileLocation>").

Запустите скрипт, введя следующее:

.\GroupCreators.ps1

и войдите с помощью учетной записи администратора при появлении запроса.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

В последней строке скрипта будут отображаться обновленные параметры:

Снимок экрана: выходные данные скрипта PowerShell.

Если в будущем вы хотите изменить используемую группу, можно повторно запустить сценарий с именем новой группы.

Если вы хотите отключить ограничение на создание группы и разрешить всем пользователям создавать группы, задайте для $GroupName значение "", а $AllowGroupCreation " $true" и повторно запустите скрипт.

Шаг 3. Проверка

Внесение изменений в силу может занять тридцать минут или более. Вы можете проверить новые параметры, выполнив следующие действия.

  1. Войдите в Microsoft 365 с учетной записью пользователя, у которого не должна быть возможность создавать группы. То есть они не являются членом созданной группы или администратором.

  2. Выберите плитку Планировщик .

  3. В Планировщике выберите Создать план в области навигации слева, чтобы создать план.

  4. Должно появиться сообщение о том, что создание плана и группы отключено.

Повторите ту же процедуру с участником группы.

Примечание.

Если члены группы не могут создавать группы, проверка, что они не заблокированы с помощью политики почтовых ящиков OWA.

Рекомендации по планированию системы управления совместной работой

Создание плана управления совместной работой

Начало работы с Office 365 PowerShell

Настройка самостоятельного управления группами в Microsoft Entra ID

Set-ExecutionPolicy.

Microsoft Entra командлеты для настройки параметров группы