Spravujte, kdo může vytvářet skupiny Office 365

Poslední aktualizace: 11. června 2018

Vytváření skupin Office 365 je jednoduché, takže je uživatelé můžou vytvářet sami, aby vás nezasypávali svými požadavky a vy je nemuseli vytvářet za ně. V některých firmách si kontrolu nad tím, kdo smí skupiny vytvářet, možná raději ponecháte vy. Proč?

V tomto článku se dozvíte, jak zakázat vytváření skupin ve všech službách Office 365, které skupiny používají:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Správci ani uživatelé nemůžou vytvářet týmy.

  • StaffHub: Správci ani vedoucí nemůžou vytvářet týmy.

  • Planner: Uživatelé nebudou moct vytvořit nový plán ve webové a mobilní aplikaci Planner.

  • Power BI

Nejlepší je vytvořit skupinu zabezpečení. V aplikacích pak bodu moci vytvářet skupiny Office 365 a týmy jenom uživatelé zařazení do skupiny zabezpečení. Článek vysvětluje jednotlivé kroky tohoto postupu.

K řízení vytváření skupin Office 365 použijete prostředí Windows PowerShell, které se hodně podobá psaní příkazů na řádku C:\ ve starém prostředí DOS. Tento článek je vhodným úvodem pro ty, kteří PowerShell nikdy nepoužívali. Podrobně vás provede jednotlivými kroky, které je potřeba udělat.

Co potřebujete vědět, než začnete

  • K provádění kroků uvedených v tomto článku je nutné mít předplatné Azure Active Directory (Azure AD) Premium. Správce, který konfiguruje nastavení, a členové příslušných skupin musí mít přiřazené licence Azure AD Premium. Další informace najdete v článku Začínáme s Azure Active Directory Premium.

  • K provedení postupu uvedeného v tomto článku se nepokoušejte použít verzi GA – Azure Active Directory PowerShell pro Graph. Nebude fungovat.

  • Powershellové příkazy v tomto článku mění jenom uživatele, kteří smí vytvářet skupiny Office 365. Na zbytek prostředí Office 365 nebudou mít vliv.

  • Kroky popisované v tomto článku použijete v organizaci jen jednou a jen pro jednu skupinu zabezpečení. Pokud se pokusíte je použít znovu pro jinou skupinu zabezpečení, zobrazí se chyba podobná této:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Kroky popisované v tomto článku nezakazují členům následujících rolí vytvářet skupiny Office 365 v Centru pro správu Office 365. Ale nedovolí jim v aplikacích vytvářet skupiny Office 365 a nedovolí jim ani vytvářet týmy (v Centru pro správu Office 365 týmy nejdou vytvářet).

    • Globální správci Office 365

    • Správce poštovních schránek

    • Partneři z 1. vrstvy poskytující podporu

    • Partneři ze 2. vrstvy poskytující podporu

    • Tvůrci adresářů

    Pokud jste členem některé z těchto rolí, můžete skupiny Office 365 vytvářet pro omezenou skupinu uživatelů a potom uživatele zařadit do vlastníků skupiny.

  • Je důležité, abyste k omezení uživatelů, kteří smí vytvářet skupiny Office 365, použili skupinu zabezpečení (viz popis v 1. kroku tohoto článku). Nepokoušejte se použít skupinu Office 365. Pokud byste zkusili použít skupinu Office 365, nebudou moct členové vytvořit skupinu ze SharePointu, který kontroluje skupinu zabezpečení.

  • Nastavení Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True opravňuje uživatele k vytváření skupin zabezpečení, ne k vytváření skupin Office 365. Další informace o této rutině najdete v tématu Set-Msolcompanysettings.

  • Řekněme, že použijete postup uvedený v tomto článku a umožníte některým uživatelům vytvářet skupiny Office 365. Z neznámých důvodů ale stále nemůžou vytvářet skupiny Office 365 v Outlooku. Zkontrolujte, jestli je neblokují zásady poštovní schránky OWA. Tyto zásady představují další ovládací prvky, které blokují vytváření skupin Office 365 v Outlooku.

Instalace modulu Azure Active Directory pro Windows PowerShell ve verzi Preview

DŮLEŽITÉ: Nemůžete mít na počítači současně nainstalovanou verzi Preview a verzi GA..

Jako osvědčený postup doporučujeme vždy udržovat aktualizovaný stav: odinstalovat starou verzi AzureADPreview nebo starou verzi AzureAD a získat tu nejnovější.

  1. Otevřete Windows PowerShell jako správce:

    Otevře se okno Windows PowerShellu. Text C:\Windows\system32 znamená, že jste ho otevřeli jako správce.

    Jak vypadá PowerShell, když ho poprvé otevřete.

    1. Na vyhledávacím panelu napište Windows PowerShell.

    2. Klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.

      Otevřete PowerShell s oprávněními Spustit jako správce.

  2. Zkontrolujte nainstalovaný modul:

    Get-InstalledModule -Name "AzureAD*"

3. Pokud chcete odinstalovat předchozí verzi AzureADPreview nebo AzureAD, spusťte tento příkaz:

   Uninstall-Module AzureADPreview

nebo

   Uninstall-Module AzureAD

4. Pokud chcete nainstalovat nejnovější verzi AzureADPreview, spusťte tento příkaz:

   Install-Module AzureADPreview

Do zprávy o nedůvěryhodném úložišti zadejte Y. Instalace nového modulu bude trvat zhruba minutu.

1. krok: Vytvoření skupiny zabezpečení pro uživatele, kteří potřebují vytvářet skupiny Office 365

Ke kontrole uživatelů, kteří smí vytvářet skupiny Office 365, můžete v organizaci použít jen jednu skupinu zabezpečení. Členy této skupiny můžou být jiné vnořené skupiny zabezpečení. Pověřená skupina zabezpečení se může jmenovat třeba „Allow Group Creation“ (Povolit vytváření skupin) a členy této skupiny budou skupiny uživatelů Microsoft Planneru a uživatelů Exchange Online.

  1. V Centru pro správu Office 365 vytvořte skupinu typu Skupina zabezpečení. Zapamatujte si její název, protože ho budete potřebovat později.

    Vytvoření skupiny zabezpečení v Centru pro správu

  2. Přidejte uživatele nebo jiné skupiny zabezpečení, kterým chcete v organizaci povolit vytvářet skupiny Skupiny Office 365.

Podrobné pokyny najdete v článku Vytvoření, úprava nebo odstranění skupiny zabezpečení v Centru pro správu Office 365.

2. krok: Spuštění příkazů PowerShellu

K nejčastějším chybám patří chybějící modul Preview a překlepy. Místo psaní jednotlivých příkazů můžete příkazy a příklady zkopírovat z tohoto článku. K pohybu po příkazu před jeho spuštěním můžete použít klávesy Šipka vlevo a Šipka vpravo. K procházení předchozích příkazů můžete použít klávesy Šipka nahoru a Šipka dolů. Pokud se spletete, zobrazí se červený text s informací o chybě. Zkuste příkaz zadat znovu. Pokud si nebudete vědět rady, zavolejte nám.

Tento postup jsme naposledy testovali a ověřili 18. dubna 2018. Nezapomeňte, že je třeba použít verzi AzureADPreview, nepoužívejte Azure Active Directory PowerShell pro Graph.

  1. Pokud jste to ještě neudělali, otevřete si na počítači okno Windows PowerShell (je jedno, jestli je to normální okno Windows PowerShell, nebo okno otevřené s možností Spustit jako správce).

  2. Spusťte následující příkazy. Po každém příkazu stiskněte klávesu Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    Na obrazovce pro přihlášení k účtu, která se otevře, zadejte účet a heslo správce Office 365 pro připojení ke službě a klikněte na Přihlásit se.

    Zadejte svoje přihlašovací údaje pro Office 365.
  3. K vyhledání názvu skupiny zabezpečení, kterou jste vytvořili v 1. kroku, můžete použít následující syntaxi:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Pokud jste skupinu pojmenovali třeba AllowedtoCreateGroups, spusťte následující příkaz:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Zobrazí se vlastnosti skupiny zabezpečení s názvem AllowedtoCreateGroups.

    Informace o skupině prostřednictvím Azure AD PowerShellu

    Vidíte, že vlastnost ObjectID skupiny AllowedtoCreateGroups má hodnotu afc88.... Hodnotu ObjectID skupiny zabezpečení si nemusíte zapisovat, ale v dalším kroku bude potřeba, abyste ji poznali.

  4. Spusťte tento příkaz:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Spusťte tento příkaz:

    $Setting = $Template.CreateDirectorySetting()
  6. Spusťte tento příkaz:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Pokud se zobrazí následující chyba, pokračujte 7. krokem. Tato chybová zpráva znamená, že 6. krok není potřeba.

    Pokud se zobrazí chybová zpráva, pokračujte krokem 7.

    Při úspěšném provedení příkazu vrátí rutina ID objektu nového nastavení.

  7. Spusťte tento příkaz:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Spusťte tento příkaz:

    $Setting["EnableGroupCreation"] = $False
  9. Použijte následující syntaxi:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Pokud jste skupinu pojmenovali třeba AllowedtoCreateGroups, spusťte tento příkaz:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Spusťte tento příkaz:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Pokud chcete ověřit, že skupina zabezpečení SMÍ vytvářet skupiny a nikdo jiný v organizaci nemůže, spusťte tento příkaz:

    (Get-AzureADDirectorySetting).Values

    Výsledek by měl vypadat přibližně takto (ale s hodnotou ID vaší skupiny zabezpečení – tady ji potřebujete poznat):

    Vaše nastavení pak bude vypadat takto.

    Skupiny můžou vytvářet jenom členové skupiny zabezpečení AllowedtoCreateGroups (Afc88abb.....). Vlastnost EnableGroupCreation = False znamená, že nikdo jiný je vytvářet nesmí.

3. krok: Kontrola funkčnosti

  1. Přihlaste se k Office 365 pod účtem uživatele, který NESMÍ vytvářet skupiny. To znamená, že není členem vytvořené skupiny zabezpečení.

  2. Zvolte dlaždici Planner.

  3. V Planneru zvolte Nový plán, abyste vytvořili nový plán.

    V Planneru zvolte Nový plán.

  4. Měla by se vám zobrazit zpráva, že plán nemůžete vytvořit:

    Zpráva, že plán nemůžete vytvořit

Co mám dělat, když to nefunguje?

Zkontrolujte, jestli uživatele neblokují zásady poštovní schránky OWA.

Pokud se tím problém nevyřeší, zavolejte nám o pomoc.

Odebrání omezení uživatelů, kteří smí vytvářet skupiny

Řekněme, že po určité době chcete nastavené omezení uživatelů, kteří smí vytvářet skupiny, odebrat. Spusťte tento příkaz:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Další informace o správě skupin

Ve výchozím nastavení můžou skupiny Office 365 vytvářet všichni uživatelé Office 365.

  • Každý uživatel smí vytvořit až 250 skupin Office 365.

  • Limit počtu vytvořených skupin Office 365 se nevztahuje na správce Office 365.

  • Výchozí maximální počet skupin Office 365 v organizaci je v současnosti 500 000 a na požádání může být ještě vyšší. Další informace o omezeních skupin Office 365 najdete v článku Skupiny Office 365 – nápověda pro správce.

Některé služby Office 365vyžadují, aby mohly pro určité funkce vytvářet skupiny Office 365. Skupina se vytvoří automaticky, třeba když někdo v Microsoft Planneru vytvoří plán. To ale také znamená, že uživatelé můžou nechtěně vytvořit hodně skupin při pokusech s vytvářením plánů.

Možná budete tvorbu skupin Office 365 kontrolovat přísněji, aby je nemohli vytvářet všichni, a tuto možnost dáte jenom uživatelům služeb Office 365, které vytváření služeb Office 365 vyžadují.

Poznámka: Můžete řídit, kdo vytváří skupiny Office 365, ale nemůžete tím všem licencovaným uživatelům zakázat, aby se účastnili aktivit skupiny, jako je vytváření úkolů v Planneru nebo odpovídání na konverzace v Outlooku.

Pokud máte objekt nastavení skupiny vytvořený a potřebujete změnit hodnotu nastavení (třeba zadat jinou skupinu), použijte následující postup.

  1. Otevřete na počítači okno Windows PowerShell a spusťte následující příkaz:

    Import-Module AzureADPreview
    Connect-AzureAD

    Na obrazovce pro přihlášení k účtu, která se otevře, zadejte svoje přihlašovací údaje pro připojení ke službě a klikněte na Přihlásit se.

    Zadejte svoje přihlašovací údaje pro Office 365.
  2. Po připojení ke službě Office 365 napřed potřebujete vytvořit odkaz na objekt nastavení skupiny obsahující nastavení konfigurace. K tomu budete potřebovat identifikátor ObjectId. Pokud ObectId neznáte, najdete ho zadáním následující rutiny:

    Get-AzureADDirectorySetting

    Tato rutina zobrazí aktuální objekt nastavení skupiny, včetně jeho ObjectId.

    Příklad hodnot, které se můžou zobrazit Vyhledání objektu nastavení skupiny
  3. Jakmile zjistíte ObjectId objektu nastavení skupiny, můžete tento identifikátor použít k výběru objektu nastavení skupiny, který obsahuje nastavení. Zadejte následující rutinu:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Příklad použití identifikátoru ObjectId z předchozího obrázku

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Vrátíte se na příkazový řádek modulu Microsoft Azure Active Directory.

  4. Po výběru objektu nastavení skupiny byste měli zkontrolovat současné nakonfigurované hodnoty tím, že zadáte následující příkaz:

    $setting.values
    Snímek obrazovky se seznamem hodnot aktuální konfigurace

    Zobrazí se hodnoty v objektu nastavení skupiny a potom se vrátíte na příkazový řádek modulu Microsoft Azure Active Directory. Parametr GroupCreationAllowedGroupId z předchozího příkladu znamená, že členové skupiny zabezpečení 1f8f32... smí vytvářet skupiny. Parametr EnableGroupCreation = „False“ znamená, že nikdo jiný ve společnosti skupiny vytvářet nemůže.

  5. Teď můžete změnit konkrétní hodnoty nastavené u skupiny. Pokud chcete ukázat na jinou skupinu, které chcete povolit vytváření skupin, můžete použít například následující rutinu:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Přejděte třeba od dříve nastavené skupiny AllowedtoCreateGroups k jiné vytvořené skupině s ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Jakmile nakonfigurujete nastavení, vrátíte se na příkazový řádek modulu Microsoft Azure Active Directory.

  6. Jakmile nakonfigurujete nové nastavení, můžete ho použít přímo u objektu nastavení skupiny tím, že zadáte následující příkaz:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Příklad s ObjectId právě upravovaného objektu nastavení skupiny:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Vrátíte se na příkazový řádek modulu Microsoft Azure Active Directory.

  7. Pokud si chcete ověřit, že jste aktualizovali nastavení skupiny, spusťte rutinu $settings.values a zkontrolujte hodnoty.

    Objekt nastavení skupiny se změněnou hodnotou

    Všimněte si, že se nastavení GroupCreationAllowedGroupId změnilo na novou skupinu.

Související články

Začínáme s Office 365 PowerShellem

Rozšiřte své dovednosti s Office
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×