Spravovat, kdo může vytvářet Skupiny Microsoft 365

  • Článek

Ve výchozím nastavení můžou skupiny Microsoft 365 vytvářet všichni uživatelé. Jedná se o doporučený přístup, protože umožňuje uživatelům začít spolupracovat, aniž by potřebovali pomoc od IT.

Pokud vaše firma vyžaduje, abyste omezili, kdo může vytvářet skupiny, můžete omezit Skupiny Microsoft 365 vytváření na členy konkrétní skupiny microsoftu 365 nebo skupiny zabezpečení.

Pokud máte obavy, že uživatelé vytvářejí týmy nebo skupiny, které nevyhovují vašim obchodním standardům, zvažte možnost vyžadovat, aby uživatelé absolvovali školicí kurz a pak je přidali do skupiny povolených uživatelů.

Když omezíte, kdo může vytvořit skupinu, ovlivní to všechny služby, které se z důvodu přístupu spoléhají na skupiny, včetně:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (classic)
  • Project pro web / Roadmapa

Kroky v tomto článku nezabrání členům určitých rolí ve vytváření skupin. Globální správci Microsoftu 365 můžou vytvářet skupiny prostřednictvím Centrum pro správu Microsoftu 365, Planneru, Exchange a SharePointu, ale ne jiných umístění, jako je Teams. Další role můžou vytvářet Skupiny Microsoft 365 prostřednictvím omezených prostředků, které jsou uvedené níže.

  • Správce Exchange: Centrum pro správu Exchange, Microsoft Entra ID
  • Podpora partnerské vrstvy 1: Centrum pro správu Microsoftu 365, Centrum pro správu Exchange, Microsoft Entra ID
  • Podpora partnerské vrstvy 2: Centrum pro správu Microsoftu 365, Centrum pro správu Exchange, Microsoft Entra ID
  • Zapisovače adresářů: Microsoft Entra ID
  • Správce skupin: Microsoft Entra ID
  • Správce SharePointu: Centrum pro správu SharePointu, Microsoft Entra ID
  • Správce služby Teams: Centrum pro správu Teams, Microsoft Entra ID
  • Správce uživatele: Centrum pro správu Microsoftu 365, Microsoft Entra ID

Pokud jste členem některé z těchto rolí, můžete vytvořit Skupiny Microsoft 365 pro uživatele s omezeným přístupem a pak přiřadit uživatele jako vlastníka skupiny.

Licenční požadavky

Pokud chcete spravovat, kdo vytváří skupiny, musí Microsoft Entra ID licence P1 nebo P2 nebo Microsoft Entra přiřazené licence Basic EDU:

  • Správce, který konfiguruje tato nastavení vytváření skupin
  • Členové skupiny, kteří mají povoleno vytvářet skupiny

Poznámka

Další podrobnosti o přiřazování licencí Azure najdete v tématu Přiřazení nebo odebrání licencí v Centrum pro správu Microsoft Entra.

Následující uživatelé nepotřebují Microsoft Entra ID P1, P2 nebo Microsoft Entra licence Basic EDU:

  • Lidé, kteří jsou členy skupin Microsoftu 365 a kteří nemají možnost vytvářet další skupiny.

Krok 1: Vytvoření skupiny pro uživatele, kteří potřebují vytvořit skupiny Microsoft 365

K řízení toho, kdo může vytvářet Skupiny Microsoft 365, můžete použít jenom jednu skupinu ve vaší organizaci. Jako členy této skupiny ale můžete vnořit další skupiny.

Správci v rolích uvedených výše nemusí být členy této skupiny, protože si zachovávají možnost vytvářet skupiny.

  1. V Centru pro správu přejděte na stránku Skupiny.

  2. Klikněte na Přidat skupinu.

  3. Zvolte požadovaný typ skupiny. Zapamatujte si název skupiny! Budete ho potřebovat později.

  4. Dokončete nastavení skupiny a přidejte osoby nebo jiné skupiny, které chcete mít možnost vytvářet jako členy (ne vlastníky).

Podrobné pokyny najdete v tématu Vytvoření, úprava nebo odstranění skupiny zabezpečení v Centrum pro správu Microsoftu 365.

2. krok: Spuštění příkazů PowerShellu

Pomocí modulu Microsoft Graph PowerShellBeta změníte nastavení přístupu hostů na úrovni skupiny:

  • Pokud jste už beta verzi nainstalovali, spusťte příkaz Update-Module Microsoft.Graph.Beta a ujistěte se, že se jedná o nejnovější verzi tohoto modulu.

Zkopírujte následující skript do textového editoru, jako je Poznámkový blok nebo Windows PowerShell ISE.

Nahraďte <GroupName> názvem skupiny, kterou jste vytvořili. Příklady:

$GroupName = "Group Creators"

Uložte soubor jako GroupCreators.ps1.

V okně PowerShellu přejděte do umístění, kam jste soubor uložili (zadejte "CD <FileLocation").>

Spusťte skript zadáním:

.\GroupCreators.ps1

a po zobrazení výzvy se přihlaste pomocí účtu správce .

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

Na posledním řádku skriptu se zobrazí aktualizované nastavení:

Snímek obrazovky s výstupem skriptu PowerShellu

Pokud budete chtít v budoucnu změnit použitou skupinu, můžete skript spustit znovu s názvem nové skupiny.

Pokud chcete vypnout omezení vytváření skupin a znovu povolit všem uživatelům vytváření skupin, nastavte $GroupName na "" a $AllowGroupCreation na "$true" a spusťte skript znovu.

3. krok: Kontrola funkčnosti

Změny se můžou projevit až za třicet minut. Nové nastavení můžete ověřit takto:

  1. Přihlaste se k Microsoftu 365 pomocí uživatelského účtu někoho, kdo BY NEMĚL mít možnost vytvářet skupiny. To znamená, že nejsou členem skupiny, kterou jste vytvořili, ani správcem.

  2. Vyberte dlaždici Planner .

  3. V Planneru vyberte v levém navigačním panelu Nový plán a vytvořte plán.

  4. Měla by se zobrazit zpráva, že vytvoření plánu a skupiny je zakázané.

Stejný postup opakujte u člena skupiny.

Poznámka

Pokud členové skupiny nemůžou vytvářet skupiny, zkontrolujte, jestli nejsou blokované prostřednictvím zásad poštovní schránky OWA.

Doporučení k plánování zásad správného řízení pro spolupráci

Vytvoření plánu zásad správného řízení pro spolupráci

Začínáme s Office 365 PowerShellem

Nastavení samoobslužné správy skupin v Microsoft Entra ID

Set-ExecutionPolicy

rutiny Microsoft Entra pro konfiguraci nastavení skupiny