Verwalten von Personen, die Office 365-Gruppen erstellen können

Mitwirkende: Giselle Faber
Letzte Aktualisierung: 6. November 2017

Weil es für Benutzer so einfach ist, Office 365-Gruppen selbst zu erstellen, werden Sie vermutlich nicht mit Bitten überflutet, diese Gruppen im Auftrag anderer Personen zu erstellen. Je nach Ihrem Unternehmen möchten Sie jedoch steuern, welche Personen die Möglichkeit zum Erstellen von Gruppen haben sollen. Zweck

In diesem Artikel wird erläutert, wie Sie die Möglichkeit zum Erstellen von Gruppen in allen Office 365-Diensten, die Gruppen verwenden, deaktivieren können:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Sowohl Administratoren als auch Benutzer können keine Teams erstellen.

  • StaffHub: Sowohl Administratoren als auch Manager können keine Teams erstellen.

  • Planner: Benutzer können keinen Plan erstellen.

Das beste Verfahren dafür ist das Erstellen einer Sicherheitsgruppe. Dann können nur die Personen in der Sicherheitsgruppe Office 365-Gruppen und Teams in diesen Apps erstellen. Dieser Artikel führt Sie durch die dazu erforderlichen Schritte.

Zum Steuern des Personenkreises, der Office 365-Gruppen erstellen kann, verwenden Sie die Windows PowerShell. Die Vorgehensweise hier ähnelt großenteils der Eingabe von Befehlen an der Eingabeaufforderung in alten DOS-Umgebungen. Wenn Sie die PowerShell noch nie verwendet haben, ist diese Aufgabe eine gute Gelegenheit, sie kennenzulernen. Sie werden schrittweise durch die auszuführenden Aufgaben geführt.

Wissenswertes, bevor Sie anfangen

  • Mit den in diesem Artikel beschriebenen PowerShell-Befehlen wird nur der Personenkreis geändert, der Office 365-Gruppen erstellen kann. Die Befehle wirken sich nicht auf Ihre übrige Office 365-Umgebung aus.

  • Die in diesem Artikel beschriebenen Schritte werden nur einmal für eine Sicherheitsgruppe in Ihrem Unternehmen ausgeführt. Wenn Sie versuchen, diese Schritte erneut für eine andere Sicherheitsgruppe anzuwenden, wird eine Fehlermeldung angezeigt, die etwa wie folgt lautet:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Durch die in diesem Artikel beschriebenen Schritte wird nicht verhindert, dass Mitglieder der folgenden Rollen Office 365-Gruppen im Office 365 Admin Center erstellen. Es wird jedoch verhindert, dass sie Office 365-Gruppen aus den Apps erstellen, und es wird verhindert, dass sie Teams erstellen (weil im Office 365 Admin Center keine Teams erstellt werden können).

    • Globale Office 365-Administratoren

    • Postfachadministrator

    • Partner Tier1-Support

    • Partner Tier2-Support

    • Verzeichnisautoren

    Wenn Sie Mitglied einer dieser Rollen sind, können Sie Office 365-Gruppen für Benutzer mit eingeschränktem Zugriff erstellen und anschließend den Benutzer als Besitzer der Gruppe zuweisen.

  • Es ist wichtig, dass Sie eine Sicherheitsgruppe (siehe die Beschreibung in Schritt 1 dieses Artikels) verwenden, um den Personenkreis einzuschränken, der Office 365-Gruppen erstellen kann. Versuchen Sie nicht, dafür eine Office 365-Gruppe zu verwenden. Dann können Mitglieder nämlich keine Gruppe auf SharePoint erstellen, weil dort auf eine Sicherheitsgruppe überprüft wird.

  • Durch das Festlegen von Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True werden Berechtigungen für Benutzer nur zum Erstellen von Sicherheitsgruppen (nicht von Office 365-Gruppen) aktiviert. Weitere Informationen zu diesem Cmdlet finden Sie unter Set-Msolcompanysettings.

  • Angenommen, Sie führen die Schritte in diesem Artikel aus und geben einigen Personen die Möglichkeit, Office 365-Gruppen zu erstellen. Aus irgendeinem Grund aber können sie immer noch keine Office 365-Gruppe mit Outlook erstellen. Überprüfen Sie, ob die Personen nicht durch ihre OWA-Postfachrichtlinie gesperrt sind. Sie enthält zusätzliche Steuerelemente, mit denen die Erstellung von Office 365-Gruppen mit Outlook blockiert werden kann.

Installieren Sie die Vorschauversion von Azure Active Directory-Modul für Windows PowerShell

WICHTIG: Für die Verfahren in diesem Artikel ist die PREVIEW-Version Azure Active Directory-Modul für Windows PowerShell (insbesondere die AzureADPreview-Modulversion) 2.0.0.137 or later. erforderlich.

Als bewährte Methode empfehlen wir, immer die neueste Version zu verwenden: Deinstallieren Sie die alte AzureADPreview-Version, und holen Sie sich die aktuellste Version, bevor Sie PowerShell-Befehle ausführen.

  1. Öffnen Sie Windows PowerShell als Administrator:

    1. Geben Sie in der Suchleiste Windows PowerShell ein.

    2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

      Öffnen Sie PowerShell mit "Als Administrator ausführen".

    Das Windows PowerShell-Fenster wird geöffnet. Die Eingabeaufforderung "C:\Windows\system32" bedeutet, dass Sie das Fenster als Administrator geöffnet haben.

    So sieht PowerShell beim ersten Öffnen aus.

  2. Führen Sie zum Deinstallieren einer früheren Version von AzureADPreview diesen Befehl aus:

    Uninstall-Module AzureADPreview
  3. Führen Sie zum Installieren der aktuellsten Version von AzureADPreview diesen Befehl aus:

    Install-Module AzureADPreview

    Geben Sie in der Nachricht über ein nicht vertrauenswürdiges Repository J ein. Die Installation des neuen Moduls dauert etwa eine Minute.

Schritt 1: Erstellen einer Sicherheitsgruppe für Benutzer, die Office 365-Gruppen erstellen müssen

Zum Steuern des Personenkreises, der Office 365-Gruppen erstellen kann, kann in Ihrer Organisation nur eine Sicherheitsgruppe verwendet werden. Sie können jedoch andere Sicherheitsgruppen als Mitglieder dieser Gruppe schachteln. Beispiel: Die Gruppe namens "Gruppenerstellung zulassen" ist die designierte Sicherheitsgruppe, und die Gruppen namens "Microsoft Planner-Benutzer" und "Exchange Online-Benutzer" sind Mitglieder dieser Gruppe.

  1. Erstellen Sie in Office 365 Admin Center eine Gruppe des Typs Sicherheitsgruppe. Vergessen Sie nicht den Namen der Gruppe! Sie benötigen ihn später noch.

    Erstellen einer Sicherheitsgruppe im Admin Center

  2. Fügen Sie Personen oder andere Sicherheitsgruppen hinzu, die in Ihrer Organisation Office 365-Gruppen-Gruppen erstellen sollen.

Ausführliche Anleitungen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe im Office 365 Admin Center.

Schritt 2: Ausführen von PowerShell-Befehlen

Die häufigsten Fehler treten entweder durch Tippfehler oder durch das Nichtvorhandensein des Preview-Moduls auf. Statt jeden Befehl einzugeben, sollten Sie die Befehle und Beispiele in diesem Artikel kopieren und einfügen. Mit der NACH-LINKS- und NACH-RECHTS-TASTE können Sie in einem Befehl navigieren, bevor Sie ihn ausführen. Mit der NACH-OBEN- und NACH-UNTEN-TASTE scrollen Sie durch die vorherigen Befehle. Wenn Sie einen Fehler machen, wird roter Text eingeblendet, der besagt, dass ein Fehler aufgetreten ist. Versuchen Sie einfach, den Befehl erneut einzugeben. Wenn Sie nicht weiterkommen, rufen Sie uns bitte an!

Diese Schritte wurden zuletzt am 6. November 2017 getestet und überprüft.

  1. Falls noch nicht geschehen, öffnen Sie ein Windows PowerShell-Fenster auf dem Computer (es spielt keine Rolle, ob es sich um ein normales Windows PowerShell-Fenster handelt oder eines, das Sie durch Auswählen von Als Administrator ausführen geöffnet haben).

  2. Führen Sie die folgenden Befehle aus. Drücken Sie nach jedem Befehl die EINGABETASTE.

    Import-Module AzureADPreview
    Connect-AzureAD

    Geben Sie auf dem Bildschirm Melden Sie sich bei Ihrem Konto an, der geöffnet wird, Ihr Office 365-Administratorkonto und das Kennwort ein, um die Verbindung mit Ihrem Dienst herzustellen, und klicken Sie auf Anmelden.

    Geben Sie Ihre Office 365-Anmeldeinformationen ein
  3. Suchen Sie den Namen der Sicherheitsgruppe aus Schritt 1 mithilfe der folgenden Syntax:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Die Beispielgruppe wurde z. B. "AllowedtoCreateGroups" genannt. Sie würden also Folgendes ausführen:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Dadurch werden die Eigenschaften der Sicherheitsgruppe "AllowedtoCreateGroups" angezeigt.

    Gruppeninformationen über Azure AD PowerShell

    Sie können sehen, dass der Wert der ObjectID-Eigenschaft der Gruppe "AllowedtoCreateGroups" afc88... lautet. Sie müssen die ObjectID Ihrer Sicherheitsgruppe nicht notieren, Sie müssen sie aber in einem späteren Schritt erkennen können.

  4. Führen Sie den folgenden Befehl aus:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Führen Sie den folgenden Befehl aus:

    $Setting = $Template.CreateDirectorySetting()
  6. Führen Sie den folgenden Befehl aus:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Wenn eine Fehlermeldung wie diese angezeigt wird, fahren Sie mit Schritt 7 fort. Sie bedeutet, dass Sie Schritt 6 nicht ausführen müssen.

    Wenn Sie eine Fehlermeldung erhalten, fahren Sie mit Schritt 7 fort.

    Andernfalls gibt das Cmdlet bei erfolgreichem Abschluss die ID des neuen Einstellungsobjekts zurück.

  7. Führen Sie den folgenden Befehl aus:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Führen Sie den folgenden Befehl aus:

    $Setting["EnableGroupCreation"] = $False
  9. Verwenden Sie die folgende Syntax:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Die Beispielgruppe wurde z. B. "AllowedtoCreateGroups" genannt. Daher würden Sie den folgenden Befehl ausführen:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Führen Sie den folgenden Befehl aus:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Um zu überprüfen, ob die Sicherheitsgruppe tatsächlich Gruppen erstellen kann und alle anderen Personen in Ihrer Organisation dies nicht können, führen Sie den folgenden Befehl aus:

    (Get-AzureADDirectorySetting).Values

    Das Ergebnis sollte wie folgt aussehen (jedoch mit dem ID-Wert für die Sicherheitsgruppe; an dieser Stelle müssen Sie ihn erkennen können):

    So sehen Ihre Einstellungen aus, wenn Sie fertig sind.

    Nur Mitglieder der Sicherheitsgruppe AllowedtoCreateGroups (Afc88abb.....) können Gruppen erstellen. Und wie der Wert EnableGroupCreation = False angibt, ist dies keinen anderen Personen möglich.

Schritt 3: Überprüfen der ordnungsgemäßen Funktion

  1. Melden Sie sich bei Office 365 mit dem Benutzerkonto einer Person an, die NICHT die Möglichkeit zum Erstellen von Gruppen haben soll. Das heißt, diese Person ist kein Mitglied der Sicherheitsgruppe, die Sie erstellt haben.

  2. Wählen Sie die Kachel Planner aus.

  3. Wählen Sie in Planner Neuer Plan aus, um einen Plan zu erstellen.

    Wählen Sie im Planer "Neuer Plan" aus.

  4. Sie sollten eine Meldung erhalten, dass Sie keinen Plan erstellen können:

    Meldung, dass Sie keinen Plan erstellen können.

Was sollte ich tun, wenn das nicht funktioniert?

Überprüfen Sie, ob die betreffende Person nicht durch ihre OWA-Postfachrichtlinie gesperrt ist.

Wenn das Problem dadurch nicht behoben werden kann, rufen Sie uns bitte an.

Entfernen der Einschränkung der Gruppenerstellung auf einen bestimmten Personenkreis

Vielleicht möchten Sie nach einer Weile die Einschränkung der Gruppenerstellung auf bestimmte Personen entfernen. Führen Sie den folgenden Befehl aus:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Weitere Informationen zum Verwalten von Gruppen

Standardmäßig können alle Office 365-Benutzer Office 365-Gruppen erstellen:

  • Jeder Benutzer kann bis zu 250 Office 365-Gruppen erstellen.

  • Office 365-Administratoren unterliegen im Hinblick auf die Anzahl der Office 365-Gruppen, die sie erstellen können, keiner Beschränkung.

  • Die Standardanzahl von Office 365-Gruppen, die eine Office 365-Organisation aufweisen kann, beträgt derzeit maximal 500.000, kann jedoch auf Anfrage erhöht werden. Weitere Informationen zu Grenzwerten für Office 365-Gruppen finden Sie unter Office 365-Gruppen – Hilfe für Administratoren.

Mehrere Office 365-Dienste benötigen die Möglichkeit zum Erstellen von Office 365-Gruppen für bestimmte Funktionen. Beispielsweise wird automatisch eine Gruppe erstellt, wenn mit Microsoft Planner ein Plan erstellt wird. Dies bedeutet, dass Benutzer versehentlich eine Vielzahl von Gruppen erstellen können, wenn sie mit der Erstellung von Plänen experimentieren.

Vielleicht wünschen Sie sich eine bessere Kontrolle über die Erstellung von Office 365-Gruppen und ziehen es vor, dass nicht jeder Benutzer eine Gruppe erstellen kann. Nur Benutzer von Office 365-Diensten, die Office 365-Gruppen erfordern, sollen diese erstellen dürfen.

Hinweis : Beachten Sie, dass Sie zwar die Möglichkeit haben, den Personenkreis zu steuern, der Office 365-Gruppen erstellen kann, dies sich jedoch nicht auf die mögliche Teilnahme an Gruppenaktivitäten (z. B. Erstellen von Aufgaben in Planner oder Beantworten von Unterhaltungen in Outlook) durch alle lizenzierten Benutzer auswirkt.

Wenn Sie zuvor ein Gruppeneinstellungsobjekt erstellt haben und den Wert für eine Einstellung (z. B. Festlegen einer anderen Gruppe) ändern müssen, können Sie wie folgt vorgehen.

  1. Öffnen Sie ein Windows PowerShell-Fenster auf Ihrem Computer, und führen Sie den folgenden Befehl aus.

    Import-Module AzureADPreview
    Connect-AzureAD

    Geben Sie auf dem Bildschirm Melden Sie sich bei Ihrem Konto an, der geöffnet wird, Ihre Anmeldeinformationen ein, um die Verbindung mit Ihrem Dienst herzustellen, und klicken Sie auf Anmelden.

    Geben Sie Ihre Office 365-Anmeldeinformationen ein
  2. Nach dem Herstellen einer Verbindung zu Ihrem Office 365-Dienst müssen Sie zuerst auf das Gruppeneinstellungsobjekt verweisen, das die Konfigurationseinstellungen enthält. Zu diesem Zweck benötigen Sie die entsprechende ObjectId. Wenn Sie die ObjectId nicht kennen, können Sie danach suchen, indem Sie das folgende Cmdlet eingeben:

    Get-AzureADDirectorySetting

    Dadurch wird das aktuelle Gruppeneinstellungsobjekt mit seiner ObjectId angezeigt.

    Beispiel für Werte, die angezeigt werden können Suchen nach dem Objekt "Gruppeneinstellungen"
  3. Nachdem Sie die ObjectID für das Gruppeneinstellungsobjekt gefunden haben, können Sie damit das Gruppeneinstellungsobjekt auswählen, das Ihre Einstellungen enthält. Geben Sie folgendes Cmdlet ein:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Zum Beispiel mit der ObjectId in der obigen Abbildung

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Sie werden wieder zu einer Eingabeaufforderung im Windows Azure Active Directory-Modul geleitet.

  4. Nachdem Sie das Gruppeneinstellungsobjekt ausgewählt haben, sollten Sie die aktuellen Konfigurationswerte überprüfen, indem Sie Folgendes eingeben:

    $setting.values
    Screenshot der Liste der aktuellen Konfigurationswerte

    Dadurch werden die Einstellungswerte für das Gruppeneinstellungsobjekt angezeigt, und Sie werden wieder zu einer Eingabeaufforderung im Windows Azure Active Directory-Modul geleitet. Im vorstehenden Beispiel gibt GroupCreationAllowedGroupId an, dass Mitglieder der Sicherheitsgruppe 1f8f32... Gruppen erstellen können. Und aufgrund von EnableGroupCreation = "False" können keine anderen Personen im Unternehmen Gruppen erstellen.

  5. Jetzt können Sie bestimmte Änderungen an den Gruppeneinstellungswerten vornehmen. Beispielsweise können Sie das folgende Cmdlet verwenden, wenn Sie auf eine andere Gruppe verweisen und die Gruppenerstellung erlauben möchten:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Wechseln Sie beispielsweise von der vorher festgelegten Gruppe AllowedtoCreateGroups zu einer anderen Gruppe, die mit der ObjectID 3054dce3-37e6-437a-a817-2363272cac1c erstellt wurde:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Nach der Konfiguration der Einstellungen werden Sie zu wieder einer Eingabeaufforderung im Windows Azure Active Directory-Modul geleitet.

  6. Nachdem Sie Ihre neuen Einstellungen konfiguriert haben, können Sie die Einstellungen direkt auf das Gruppeneinstellungsobjekt anwenden, indem Sie Folgendes eingeben:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Bei Verwendung der ObjectID des bearbeiteten Gruppeneinstellungsobjekts würden Sie beispielsweise Folgendes eingeben:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Sie werden wieder zu einer Eingabeaufforderung im Windows Azure Active Directory-Modul geleitet.

  7. Sie können überprüfen, ob die Gruppeneinstellungen aktualisiert wurden, indem Sie das Cmdlet "$settings.values" ausführen und die Werte überprüfen.

    Objekt "Gruppeneinstellungen" mit geändertem Wert

    Beachten Sie, dass die Einstellung GroupCreationAllowedGroupId in die neue Gruppe geändert wurde.

Symbol für LinkedIn Learning Neu bei Office 365?
Entdecken Sie kostenlose Videokurse für Office 365-Administratoren und IT-Experten, bereitgestellt von LinkedIn Learning.

Verwandte Artikel

Erste Schritte mit Office 365 PowerShell
Konfigurieren von Einstellungen für Office 365-Gruppen in Azure AD
Blogbeitrag: Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen Azure Active Directory Cmdlets – MSDN

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×