Определяне кой може да създава групи на Office 365

Автори: Даян Фейгъл
Последна актуализация: 6 ноември 2017 г.

Тъй като за потребителите е съвсем лесно да създават групи на Office 365, не сте затрупани с искания да създавате групи от името на другите. За нуждите на вашата фирма обаче може да искате да контролирате кой може да създава групи. Защо да правите това?

Тази статия обяснява как да забраните възможността за създаване на групи във всички услуги на Office 365, които използват групи:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Нито администраторите, нито потребителите ще могат да създават екипи.

  • StaffHub: Нито администраторите, нито ръководителите ще могат да създават екипи.

  • Planner: Потребителите няма да могат да създават планове.

Най-добрият начин да направите това е да създадете група за защита, след което само хората в нея ще могат създават групи на Office 365 и екипи в тези приложения. Тази статия ще ви преведе през стъпките.

За да контролирате кой създава групи на Office 365, използвате Windows PowerShell, което е много подобно на командата C:\ в старата среда на DOS. Ако никога не сте използвали PowerShell, тази задача е чудесен начин да започнете. Ще ви преведем стъпка по стъпка през това, което трябва да направите.

Какво трябва да знаете, преди да започнете

  • Командите на PowerShell в тази статия променят само това кой може да създава групи на Office 365. Те не влияят върху нищо друго в средата на Office 365.

  • Приложете стъпките в тази статия само веднъж във вашата организация, за една група за защита. Ако се опитате да ги приложите отново за друга група за защита, ще получите грешка, която изглежда така:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Стъпките в тази статия не забраняват на членовете на следните роли да създават групи на Office 365 в центъра за администриране на Office 365. Те обаче им забраняват да създават групи на Office 365 от приложенията, както и да създават екипи (тъй като не можете да създавате екипи в центъра за администриране на Office 365).

    • Глобални администратори на Office 365

    • Администратор на пощенска кутия

    • Поддръжка на партньори от ниво 1

    • Поддръжка на партньори от ниво 2

    • Създатели на указатели

    Ако сте член на някоя от тези роли, можете да създадете групи на Office 365 за потребителите, за които това е забранено, и след това да укажете потребителя като собственик на групата.

  • Важно е да използвате група за защита – както е описано в стъпка 1 на тази статия – за да ограничите кой може да създава групи на Office 365. Не се опитвайте да използвате група на Office 365 за това. Ако се опитате да използвате група на Office 365, членовете няма да могат да създадат група от SharePoint, тъй като той проверява за група за защита.

  • Настройването на Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True дава на потребителите само разрешения да създават групи за защита, но не и групи на Office 365. За повече информация за тази кратка команда вижте Set-Msolcompanysettings.

  • Да предположим, че сте изпълнили стъпките в тази статия и сте дали възможност на някои потребители да създават групи на Office 365. По някаква причина обаче те не могат да създадат група на Office 365 чрез Outlook. Проверете дали тези потребители не са блокирани чрез техните правила за пощенската кутия на OWA. Тези правила предоставят допълнителни контроли за блокиране на създаването на групи на Office 365 чрез Outlook.

Инсталиране на версията за предварителен преглед на Модул на Azure Active Directory за Windows PowerShell

ВАЖНО: Процедурите в тази статия изискват версията за ПРЕДВАРИТЕЛЕН ПРЕГЛЕД на Модул на Azure Active Directory за Windows PowerShell и по-конкретно, модул AzureADPreview, версия 2.0.0.137 or later.

Като най-добра практика препоръчваме винаги да поддържате най-новите версии: деинсталирайте старата версия на AzureADPreview и изтеглете най-новата, преди да изпълнявате команди на PowerShell.

  1. Отворете Windows PowerShell като администратор:

    1. В лентата за търсене въведете Windows PowerShell.

    2. Щракнете с десния бутон върху Windows PowerShell и изберете Изпълнявай като администратор.

      Отворете PowerShell с "Изпълнявай като администратор".

    Ще се отвори изскачащият прозорец на Windows PowerShell. Подканата C:\Windows\system32 означава, че сте го отворили като администратор.

    Как изглежда PowerShell, когато го отворите за пръв път.

  2. За да деинсталирате предишна версия на AzureADPreview, изпълнете тази команда:

    Uninstall-Module AzureADPreview
  3. За да инсталирате най-новата версия на AzureADPreview, изпълнете тази команда:

    Install-Module AzureADPreview

    В съобщението за ненадеждно хранилище въведете Y. Инсталирането на новия модул ще отнеме около минута.

Стъпка 1: Създайте група за защита за потребителите, които трябва да създават групи на Office 365

Можете да използвате само една група за защита във вашата организация, за да контролирате кой може да създава групи на Office 365. Можете обаче да вложите други групи за защита като членове на тази група. Например групата с име "Разрешено създаване на групи" е определената група за защита, а групите с име "Потребители на Microsoft Planner" и "Потребители на Exchange Online" са членове на тази група.

  1. В центъра за администриране на Office 365 създайте група от типа Група за защита. Запомнете името на групата! То ще ви трябва по-късно.

    Създаване на група за защита в центъра за администриране.

  2. Добавете хората или другите групи за защита, които искате да могат да създават групи на Office 365 във вашата организация.

За подробни инструкции вижте Създаване, редактиране или изтриване на група за защита в центъра за администриране на Office 365.

Стъпка 2: Изпълнете командите на PowerShell

Най-често срещаните грешки са липсата на модула за визуализация и правописните грешки. Вместо да въвеждате всяка команда, копирайте и поставете командите и примерите от тази статия. Можете да използвате клавишите със стрелки наляво и надясно за придвижване в командата, преди да я изпълните, и клавишите със стрелки нагоре и надолу – за превъртане през предишните команди. Ако допуснете грешка, ще се появи червен текст, че има грешка. Просто въведете командата отново. Ако имате затруднения, свържете се с нас!

Тези стъпки са тествани и проверени за последно на 6 ноември 2017 г.

  1. Ако не сте го направили вече, отворете прозорец на Windows PowerShell на компютъра си (няма значение дали това е нормален прозорец на Windows PowerShell, или такъв, който сте отворили чрез избора на Изпълнявай като администратор).

  2. Изпълнете командите по-долу. Натискайте Enter след всяка команда.

    Import-Module AzureADPreview
    Connect-AzureAD

    В екрана Влизане във вашия акаунт, който се отваря, въведете своя акаунт на администратор за Office 365 и паролата, за да се свържете към услугата, и щракнете върху Влизане.

    Въведете своите идентификационни данни на Office 365
  3. Намерете името на вашата група за защита от Стъпка 1 с помощта на следния синтаксис:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Например, нарекох групата "Разрешено_създаване_на_групи". Така че ще изпълня:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Това ще покаже свойствата на моята група за защита "Разрешено_създаване_на_групи".

    Информация за група чрез PowerShell на Azure AD

    Виждате, че стойността на свойството ObjectID на моята група "Разрешено_създаване_на_групи" е afc88.... Не е необходимо да си записвате ObjectID на вашата група за защита, но ще трябва да можете да я разпознаете в следващите стъпки.

  4. Изпълнете тази команда:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Изпълнете тази команда:

    $Setting = $Template.CreateDirectorySetting()
  6. Изпълнете тази команда:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Ако получите грешка като тази, преминете към стъпка 7. Съобщението за грешка означава, че не е необходимо да изпълнявате стъпка 6.

    Ако получите грешка като тази, преминете към стъпка 7.

    В противен случай, след успешно завършване, кратката команда връща ИД на новия обект на настройките.

  7. Изпълнете тази команда:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Изпълнете тази команда:

    $Setting["EnableGroupCreation"] = $False
  9. Използвайте следния синтаксис:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Например, нарекох групата "Разрешено_създаване_на_групи", така че ще изпълня следната команда:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Изпълнете тази команда:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. За да проверите дали вашата група за защита МОЖЕ да създава групи, докато всички други във вашата организация не могат, изпълнете тази команда:

    (Get-AzureADDirectorySetting).Values

    Резултатът трябва да изглежда така (но със стойност ID за вашата група за защита – тук трябва да можете да я разпознаете):

    Ето как ще изглеждат вашите настройки, когато сте готови.

    Само членовете на групата за защита Разрешено_създаване_на_групи (Afc88abb.....) могат да създават групи. Никой друг не може, както е указано чрез EnableGroupCreation = False.

Стъпка 3: Уверете се, че работи

  1. Влезте в Office 365 с потребителския акаунт на човек, който би трябвало да НЕ може да създава групи. Т.е., който не е член на групата за защита, която сте създали.

  2. Изберете плочката Planner.

  3. В Planner изберете Нов план, за да създадете план.

    В Planner изберете "Нов план".

  4. Би трябвало да получите съобщение, че не можете да създадете план:

    Съобщение, че не можете да създадете план.

Какво да направя, ако това не работи?

Проверете дали тези потребители не са блокирани чрез техните правила за пощенската кутия на OWA.

Ако това не реши проблема, обадете ни се за помощ.

Премахнете ограничението за това кой може да създава групи

Да предположим, че след известно време решите да премахнете зададеното ограничение кой може да създава групи. Изпълнете тази команда:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Повече информация за управлението на групи

По подразбиране всички потребители на Office 365 могат да създават групи на Office 365:

  • Всеки потребител може да създаде до 250 групи на Office 365.

  • За администраторите на Office 365 няма ограничение за броя групи на Office 365, които могат да създават.

  • По подразбиране максималният брой групи на Office 365 в организацията понастоящем е 500 000, но може да бъде увеличен при поискване. За повече информация относно ограниченията за групите на Office 365 вижте Групи на Office 365 – помощ за администратори.

Няколко услуги на Office 365изискват възможност за създаване на групи на Office 365 за определени функции. Например когато бъде създаден план чрез Microsoft Planner, автоматично се създава група. Това означава, че потребителите може неволно да създадат множество групи, докато експериментират със създаването на планове.

Може да искате по-стриктен контрол върху създаването на групи на Office 365 и да предпочитате да може да ги създава не всеки, а само потребителите на услугите на Office 365, които изискват създаване на групи на Office 365.

Забележка : Имайте предвид, че възможността да контролирате кои потребители могат да създават групи на Office 365 не ви дава възможност да контролирате участието на лицензираните потребители в груповите дейности, като например да създават задачи в Planner или да отговарят в разговорите в Outlook.

Ако по-рано сте създали обект на настройките на група и трябва да промените стойността за дадена настройка (например да укажете друга група), можете да използвате следната процедура.

  1. Отворете прозореца на Windows PowerShell на компютъра си и изпълнете следната команда:

    Import-Module AzureADPreview
    Connect-AzureAD

    В екрана Влизане във вашия акаунт, който се отваря, въведете идентификационните си данни, за да се свържете към услугата, и щракнете върху Влизане.

    Въведете своите идентификационни данни на Office 365
  2. След като се свържете с услугата на Office 365, трябва да създадете препратка към обекта на настройките на групата, който съдържа настройките на конфигурацията. За да направите това, ще ви трябва неговият ObjectId. Ако не знаете въпросния ObjectId, можете да го потърсите, като напишете и въведете следната кратка команда:

    Get-AzureADDirectorySetting

    Това ще покаже текущия обект на настройките на групата, включително неговия ObjectId.

    Пример за стойности, които е възможно да се покажат Намиране на обект на настройките на група
  3. След като намерите ObjectID на обекта на настройките на групата, можете да го използвате, за да изберете обекта на настройките на групата, който съдържа вашите настройки. Напишете и въведете следната кратка команда:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Използвайте например ObjectId от изображението по-горе:

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Ще се върнете в командния прозорец в модула на Azure Active Directory в Windows.

  4. След като изберете обекта на настройките на групата, трябва да проверите текущите стойности на конфигурацията, като напишете и въведете следното:

    $setting.values
    Екранна снимка на списъка с текущите конфигурационни стойности

    Това ще покаже стойностите на настройките за обекта на настройките на групата и ще ви върне в командния прозорец в модула на Azure Active Directory в Windows. В примера по-горе GroupCreationAllowedGroupId показва, че членовете на групата за защита 1f8f32... могат да създават групи. И тъй като EnableGroupCreation = "False", никой друг във фирмата не може да създава групи.

  5. Сега можете да направите определени промени в стойностите на настройките на групата. Можете например да използвате следната кратка команда, ако искате да насочите към друга група, която да разрешава създаването на групи:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Нека например да сменим по-рано указаната група AllowedtoCreateGroups с друга група, която създадохме с ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    След като конфигурирате настройките, ще се върнете в командния прозорец в модула на Azure Active Directory в Windows.

  6. След като конфигурирате новите настройки, можете да ги приложите директно към обекта на настройките на групата, като напишете и въведете следното:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Например като използваме ObjectID на обекта на настройките на групата, редактираме:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Ще се върнете в командния прозорец в модула на Azure Active Directory в Windows.

  7. Можете да проверите дали настройките на групата са актуализирани, като изпълните кратката команда $settings.values и проверите стойностите.

    Обект на настройките на група с променена стойност

    Имайте предвид, че настройката GroupCreationAllowedGroupId е сменена с новата група.

Свързани статии

Първи стъпки с Office 365 PowerShell
Конфигуриране на настройките за групи на Office 365 в Azure AD
Публикация в блог: Кратки команди на Azure Active Directory за конфигуриране на настройките на групи Кратки команди на Azure Active Directory – MSDN

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към участниците в Office Insider

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×