Kontrollér, hvem der kan oprette Office 365 Grupper

Bidragydere: Diane Faigel
Senest opdateret: 6. november 2017

Brugere kan nemt oprette Office 365 Grupper, og derfor bliver du ikke oversvømmet af anmodninger om at oprette dem på vegne af andre. Afhængigt af din virksomhed kan det dog være en fordel at holde styr på, hvem der har adgang til at oprette grupper. Formål

I denne artikel beskrives, hvordan du deaktiverer adgangen til at oprette grupper i alle Office 365-tjenester, der bruger grupper:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Hverken administratorer eller brugere kan oprette grupper.

  • StaffHub: Hverken administratorer eller ledere kan oprette grupper.

  • Planner: Brugere kan ikke oprette en plan.

Den bedste måde at gøre dette på, er ved at oprette en sikkerhedsgruppe, hvorefter kun personer i den pågældende sikkerhedsgruppe kan oprette Office 365 Grupper i disse apps. Denne artikel fører dig gennem disse trin.

Hvis du vil kontrollere, hvem der opretter Office 365-grupper, skal du bruge Windows PowerShell, hvilket svarer til at skrive kommandoer ved C:\-prompten i det gamle DOS-miljø. Hvis du aldrig har brugt PowerShell, er denne opgave en god introduktion til brugen af den. Vi fører dig igennem de enkelte trin i proceduren.

Værd at vide, inden du går i gang

  • PowerShell-kommandoerne i denne artikel ændrer kun på, hvem der kan oprette Office 365-grupper. De vil ikke påvirke resten af dit Office 365-miljø.

  • Du skal kun bruge trinnene i denne artikel én gang i din organisation til én sikkerhedsgruppe. Hvis du prøver at anvende dem igen til en anden sikkerhedsgruppe, vises en fejlmeddelelse, som denne:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Trinnene i denne artikel forhindrer ikke medlemmer med følgende roller i at oprette Office 365-grupper i Office 365 Administration. Men det forhindrer dem i at oprette Office 365-grupper ud fra appsene, og det forhindrer dem i at oprette grupper, da man ikke kan oprette grupper i Office 365 Administration.

    • Globale administratorer for Office 365

    • Postkasseadministrator

    • Partnersupport, niveau 1

    • Partnersupport, niveau 2

    • Mappeskrivere

    Hvis du er medlem af én af disse roller, kan du oprette Office 365-grupper for brugere med begrænset adgang og derefter tildele brugeren rollen som ejer af gruppen.

  • Det er vigtigt, at du bruger en sikkerhedsgruppe – som beskrevet i trin 1 i denne artikel – til at begrænse, hvem der kan oprette Office 365-grupper. Du må ikke forsøge at bruge en Office 365 Gruppe til dette. Hvis du forsøger at bruge en Office 365 Gruppe, så kan medlemmer ikke oprette en gruppe i SharePoint, da der kontrolleres for en sikkerhedsgruppe.

  • Når du indstiller Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True, har brugere kun tilladelse til at oprette Sikkerhedsgrupper, ikke Office 365-grupper. Du kan finde flere oplysninger om denne cmdlet under Set-Msolcompanysettings.

  • Lad os antage, at du udfører trinnene i denne artikel og giver nogle personer mulighed for at oprette Office 365-grupper. De kan dog stadig ikke oprette en Office 365-gruppe ved hjælp af Outlook. Kontrollér, at de ikke blokeres af deres OWA-postkassepolitik. Her findes yderligere kontrolelementer til at blokere for oprettelse af Office 365-grupper ved hjælp af Outlook.

Installer prøveversionen af Azure Active Directory-modul til Windows PowerShell

VIGTIGT! Fremgangsmåderne i denne artikel kræver PRØVE-versionen Azure Active Directory-modul til Windows PowerShell, helt konkret AzureADPreview-modulversionen 2.0.0.137 or later.

Som en bedste fremgangsmåde, anbefaler vi altid at holde dig opdateret: Fjern den gamle AzureADPreview, og få den seneste udgave, inden du kører PowerShell-kommandoer.

  1. Åbn Windows PowerShell som administrator:

    1. I søgelinjen skal du skrive Windows PowerShell.

    2. Højreklik på, Windows PowerShell og vælg Kør som administrator.

      Åbn PowerShell med "Kør som administrator."

    Vinduet Windows PowerShell åbnes. Prompten C:\Windows\system32 betyder, at du har åbnet det som administrator.

    Sådan ser PowerShell ud første gang, du åbner den.

  2. Hvis du vil fjerne en tidligere version af AzureADPreview, skal du køre denne kommando:

    Uninstall-Module AzureADPreview
  3. Hvis du vil installere den nyeste version af AzureADPreview, skal du køre denne kommando:

    Install-Module AzureADPreview

    Når meddelelsen om upålideligt lager vises, skal du angive Y. Det tager cirka et minut at installere det nye modul.

Trin 1: Opret en sikkerhedsgruppe for brugere, der har brug for at oprette Office 365-grupper

Der kan kun bruges én sikkerhedsgruppe i din organisation til at styre, hvem der kan oprette Office 365-grupper. Du kan dog indlejre andre sikkerhedsgrupper som medlemmer af denne gruppe. Gruppen Tillad oprettelse af grupper er f.eks. den angivne sikkerhedsgruppe, og grupperne Microsoft Planner-brugere og Exchange Online-brugere er medlemmer af denne gruppe.

  1. I Office 365 Administration skal du oprette en gruppe af typen Sikkerhedsgruppe. Husk navnet på gruppen! Du skal bruge det senere.

    Opret en sikkerhedsgruppe i Administration.

  2. Tilføj personer eller andre sikkerhedsgrupper, som skal have adgang til at oprette Office 365-grupper-grupper i din organisation.

Du kan finde nærmere oplysninger under Opret, rediger eller slet en sikkerhedsgruppe i Office 365 Administration.

Trin 2: Kør PowerShell-kommandoer.

De mest almindelige fejltagelser er ikke at have modulet til prøveversionen og slåfejl. I stedet for at indtaste hver kommando skal du kopiere og indsætte kommandoerne og eksempler i denne artikel. Du kan bruge den venstre og højre piletast til at bevæge dig rundt i en kommando, før du kører den, og piletasterne op og ned til at rulle tilbage gennem tidligere kommandoer. Hvis du laver en fejl, vises en masse rød tekst, der angiver, at der opstod en fejl. Prøv bare at indtaste kommandoen igen. Hvis du ikke kan komme videre, så ring til os!

Disse trin blev sidst testet og verificeret den 6. november 2017.

  1. Hvis du ikke allerede har gjort det, skal du åbne et Windows PowerShell-vindue på computeren (det gør ikke noget, hvis det er et normalt Windows PowerShell-vindue, eller et du har åbnet ved at vælge Kør som administrator).

  2. Kør følgende kommandoer. Tryk på Enter efter hver kommando.

    Import-Module AzureADPreview
    Connect-AzureAD

    På skærmbilledet Log på din konto, der åbnes, skal du indtaste din Office 365-administratorkonto og adgangskode for at oprette forbindelse til din tjeneste og derefter klikke på Log på.

    Indtast dine legitimationsoplysninger til Office 365
  3. Find navnet på din sikkerhedsgruppe fra Trin 1 ved at bruge følgende syntaks:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Jeg navngav f.eks. min gruppe Tilladelsetilatoprettegrupper. Så jeg ville køre:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Dette viser egenskaberne for min sikkerhedsgruppe Tilladelsetilatoprettegrupper.

    Gruppeoplysninger via Azure AD PowerShell

    Du kan se, at ObjectID-egenskabsværdien for min Tilladelsetilatoprettegrupper-gruppe er afc88.... Du behøver ikke at skrive ObjectID for din sikkerhedsgruppe ned, men du skal kunne genkende det i et senere trin.

  4. Kør denne kommando:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Kør denne kommando:

    $Setting = $Template.CreateDirectorySetting()
  6. Kør denne kommando:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Hvis du får en fejlmeddelelse som denne, skal du springe til trin 7. Fejlmeddelelsen betyder, at du ikke behøver at udføre trin 6.

    Hvis du får en fejlmeddelelse, skal du springe til trin 7.

    Ellers viser cmdletten efter korrekt fuldførelse id'et for det nye indstillingsobjekt.

  7. Kør denne kommando:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Kør denne kommando:

    $Setting["EnableGroupCreation"] = $False
  9. Brug denne syntaks:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Jeg navngav f.eks. min gruppe Tilladelsetilatoprettegrupper, så jeg ville køre denne kommando:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Kør denne kommando:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Kør nedenstående kommando for at bekræfte, at din sikkerhedsgruppe KAN oprette grupper, og at alle andre i din organisation ikke kan:

    (Get-AzureADDirectorySetting).Values

    Resultatet bør se ud som dette (men med ID-værdien for din sikkerhedsgruppe – det er her, at du skal kunne genkende den):

    Sådan ser dine indstillinger ud, når du er færdig.

    Kun medlemmer af sikkerhedsgruppen AllowedtoCreateGroups (Afc88abb... ) kan oprette grupper. Ingen andre kan, som angivet af EnableGroupCreation = False.

Trin 3: Kontrollér, at det virker

  1. Log på Office 365 med en brugerkonto for en person, der IKKE bør kunne oprette grupper. Det vil sige, at brugeren ikke er medlem af den sikkerhedsgruppe, du oprettede.

  2. Vælg flisen Planner.

  3. I Planner skal du vælge Ny plan til at oprette en plan.

    Vælg Ny plan i Planner.

  4. Der bør vises en meddelelse om, at du ikke kan oprette en plan:

    Meddelelse om, at du ikke kan oprette en plan.

Hvad skal jeg gøre, hvis det ikke virker?

Kontrollér, at de ikke blokeres af deres OWA-postkassepolitik.

Hvis dette ikke løser problemet, skal du ringe til os for at få hjælp.

Fjern begrænsning af hvem der kan oprette grupper

Lad os antage, at du efterfølgende vil fjerne den grænse, du har defineret for, hvem der kan oprette grupper. Kør denne kommando:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Flere oplysninger om administration af grupper

Alle Office 365-brugere kan oprette Office 365-grupper som standard:

  • Brugere kan oprette op til 250 Office 365-grupper hver.

  • Office 365-administratorer har ingen grænse for antallet af Office 365-grupper, som de kan oprette.

  • Det maksimale standardantal af Office 365-grupper, som en Office 365-organisation kan have, er i øjeblikket 500.000, men det øges efter anmodning. Du kan få flere oplysninger om grænser for Office 365-grupper ved at se Office 365-grupper – hjælp til administratorer.

Flere Office 365-tjenester kræver muligheden for at oprette Office 365-grupper til specifikke funktioner. Der oprettes f.eks. automatisk en gruppe, når der oprettes en plan vha. Microsoft Planner. Det betyder, at brugere utilsigtet kan oprette en masse grupper, mens de eksperimenterer med at oprette planer.

Det kan være, at du vil have strengere kontrol over oprettelse af Office 365-grupper og foretrækker, at ikke alle kan oprette dem – at kun brugere af Office 365-tjenester, der kræver oprettelse af Office 365-grupper, kan oprette dem.

Bemærk: Bemærk, at mens du har mulighed for at kontrollere, hvilke brugere kan oprette Office 365-grupper, påvirker det ikke muligheden for, at alle licenserede brugere kan deltage i gruppeaktiviteter, f.eks. oprettelse af opgaver i Planner eller svare på samtaler i Outlook.

Hvis du tidligere har oprettet et gruppeindstillingsobjekt og vil ændre værdien for en indstilling (f.eks. angive en anden gruppe), kan du bruge følgende procedure.

  1. Åbn et Windows PowerShell-vindue på din computer, og kør følgende kommando:

    Import-Module AzureADPreview
    Connect-AzureAD

    På skærmen Log på din konto, der åbnes, skal du angive dine legitimationsoplysninger for at oprette forbindelse til din tjeneste og klikke på Log på.

    Indtast dine legitimationsoplysninger til Office 365
  2. Når du har oprettet forbindelse til din Office 365-tjeneste, skal du først henvise til det gruppeindstillingsobjekt, der indeholder konfigurationsindstillingerne. Dette kræver, at du angiver objekt-id'et. Hvis du ikke kender objekt-id'et, kan du søge efter det ved at indtaste og angive følgende cmdlet:

    Get-AzureADDirectorySetting

    Dette viser det aktuelle gruppeindstillingsobjekt, herunder dets objekt-id.

    Eksempel på værdier, der muligvis vises Objektet Find gruppeindstillinger
  3. Når du har fundet objekt-id'et for objektet Gruppeindstillinger, kan du bruge det til at vælge det gruppeindstillingsobjekt, der indeholder dine indstillinger. Indtast og angiv følgende cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    For eksempel ved at bruge objekt-id'et i grafikken ovenfor

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Du kommer tilbage til en meddelelse i Windows Azure Active Directory-modulet.

  4. Efter valg af objektet Gruppeindstillinger skal du kontrollere de aktuelle konfigurationsværdier ved at indtaste og angive følgende:

    $setting.values
    Skærmbillede af listen over de aktuelle konfigurationsværdier

    Dette viser indstillingsværdierne for objektet Gruppeindstillinger og vil føre dig tilbage til en meddelelse i Windows Azure Active Directory-modulet. I eksemplet ovenfor angiver GroupCreationAllowedGroupId, at medlemmer af sikkerhedsgruppen 1f8f32... kan oprette grupper. Og fordi EnableGroupCreation = "False", så har ingen andre i virksomheden adgang til at oprette grupper.

  5. Nu kan du foretage specifikke ændringer af gruppeindstillingsværdierne. Som et eksempel kan du bruge følgende cmdlet, hvis du vil pege på en anden gruppe for at tillade oprettelse af grupper:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Lad os f.eks. ændre fra gruppen AllowedtoCreateGroups, som vi indstillede tidligere, til en anden gruppe, vi havde oprettet med objekt-id'et 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Efter konfiguration af dine indstillinger kommer du tilbage til en meddelelse i Windows Azure Active Directory-modulet.

  6. Efter konfiguration af dine nye indstillinger kan du anvende indstillingerne direkte på objektet Gruppeindstillinger ved at indtaste og angive følgende:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    For eksempel med brug af objekt-id'et for det gruppeindstillingsobjekt, vi redigerer:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Du kommer tilbage til en meddelelse i Windows Azure Active Directory-modulet.

  7. Du kan bekræfte, at din gruppeindstillinger er blevet opdateret ved at køre cmdlet'en $settings.values og bekræfte værdierne.

    Objektet Gruppeindstilling med ændret værdi

    Bemærk, at indstillingen GroupCreationAllowedGroupId er ændret til din nye gruppe.

Relaterede artikler

Introduktion til Office 365 PowerShell
Konfigurer indstillinger for Office 365-grupper i Azure AD
Blogindlæg: Azure Active Directory-cmdlet'er til konfiguration af gruppeindstillinger Azure Active Directory-cmdlet'er – MSDN

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×