Administrar quién puede crear grupos de Office 365

Nota:  Nos gustaría proporcionarle el contenido de ayuda actual lo más rápido posible en su idioma. Esta página se ha traducido mediante un sistema automático y es posible que contenga imprecisiones o errores gramaticales. Nuestro objetivo es que este contenido sea útil para usted. ¿Puede informarnos sobre si la información le ha sido útil al final de la página? Aquí tiene el artículo en inglés para que pueda consultarlo fácilmente.

Última 11 de junio actualizado de 2018

Puesto que es extremadamente fácil para los usuarios crear grupos de Office 365, no va a recibir una infinidad de solicitudes para crearlos en nombre de otros usuarios. Sin embargo, dependiendo de su empresa, es posible que quiera controlar quién tiene la capacidad de crear grupos. ¿Por qué se debe realizar este procedimiento?

Este artículo explica cómo deshabilitar la capacidad de crear grupos en todos los servicios de Office 365 que usan grupos:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Ni los administradores ni los usuarios podrán crear equipos.

  • StaffHub: Los administradores no podrán crear equipos.

  • Planificador: Los usuarios no podrán crear un nuevo plan en web organizador y aplicaciones móviles.

  • Power BI

La mejor forma de hacerlo es crear un grupo de seguridad y, a continuación, solo los usuarios de ese grupo podrán crear grupos de Office 365 y equipos en estas aplicaciones. Este artículo le guiará a través de estos pasos.

Para controlar quién crea grupos de Office 365, use Windows PowerShell, que es muy parecido a escribir los comandos en el símbolo del sistema C:\ en el antiguo entorno DOS. Si no ha usado nunca PowerShell, esta tarea es una buena introducción para empezar. Le guiaremos por lo que debe hacer, paso a paso.

Lo que debe saber antes de comenzar

  • Realice los pasos de este artículo, requiere una suscripción a Premium de Azure Active Directory (AD Azure). El administrador que configura la configuración y los miembros de los grupos afectados, debe tener licencias de Azure AD Premium que se les ha asignado. Para obtener más información, vea Introducción a Azure Active Directory Premium.

  • No intente usar la versión de GA - Azure Active Directory PowerShell para gráfico - para realizar los pasos de este artículo. No funcionará.

  • Los comandos de PowerShell de este artículo solo cambian quién puede crear grupos de Office 365. No afectan al resto de su entorno de Office 365.

  • Aplicará los pasos de este artículo solo una vez en su organización y para un grupo de seguridad. Si intenta aplicarlos de nuevo a otro grupo de seguridad, obtendrá un error similar a este:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Los pasos de este artículo no impiden que los miembros de los roles siguientes creen Grupos de Office 365 en Centro de administración de Office 365. Sin embargo, sí les impide crear Grupos de Office 365 desde las aplicaciones y crear equipos (ya que no puede crear equipos en Centro de administración de Office 365).

    • Administradores globales de Office 365

    • Administrador de buzones

    • Soporte técnico de nivel 1 para asociados

    • Soporte técnico de nivel 2 para asociados

    • Escritores de directorios

    Si es miembro de uno de estos roles, puede crear Grupos de Office 365 para usuarios restringidos y, después, asignar al usuario la propiedad del grupo.

  • Es importante que use un grupo de seguridad, como se describe en el paso 1 de este artículo, para restringir quién puede crear grupos de Office 365. No intente usar un grupo de Office 365 para ello. Si intenta usar un grupo de Office 365, los miembros no podrán crear un grupo desde SharePoint ya que comprueba si hay un grupo de seguridad.

  • Configurar Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True solo habilita permisos para que los usuarios puedan crear grupos de seguridad, no grupos de Office 365. Para obtener más información sobre este cmdlet, consulte Set-Msolcompanysettings.

  • Supongamos que sigue los pasos de este artículo y concede a algunos usuarios la capacidad de crear Grupos de Office 365. Pero, por algún motivo, aún no pueden crear un grupo de Office 365 mediante Outlook. Compruebe que no estén siendo bloqueados por su directiva de buzón de OWA. Proporciona controles adicionales para bloquear la creación de grupos de Office 365 con Outlook.

Instalación de la versión preliminar de Azure Active Directory PowerShell para Graph

IMPORTANTE: No puede instalar las versiones GA y vista previa en el mismo equipo al mismo tiempo.

Como práctica recomendada, recomendamos mantenerse siempre actualizado: desinstale la versión antigua de AzureADPreview o de AzureAD y obtenga la última.

  1. Abra Windows PowerShell como administrador:

    Se abrirá la ventana emergente de Windows PowerShell. El símbolo del sistema C:\Windows\system32 significa que lo abrió como administrador.

    A qué se parece PowerShell al abrirlo por primera vez.

    1. En la barra de búsqueda, escriba Windows PowerShell.

    2. Haga clic con el botón derecho en Windows PowerShell y seleccione Ejecutar como administrador.

      Abrir PowerShell como "Ejecutar como administrador".

  2. Compruebe el módulo instalado:

    Get-InstalledModule -Name "AzureAD*"

3. Para desinstalar una versión anterior de AzureADPreview o AzureAD, ejecute este comando:

   Uninstall-Module AzureADPreview

o bien

   Uninstall-Module AzureAD

4. Para instalar la última versión de AzureADPreview, ejecute este comando:

   Install-Module AzureADPreview

En el mensaje sobre un repositorio que no es de confianza, escriba Y. La instalación del nuevo módulo tardará un minuto aproximadamente.

Paso 1: Crear un grupo de seguridad para los usuarios que necesiten crear Grupos de Office 365

Solo se puede usar un grupo de seguridad de su organización para controlar quién puede crear Grupos de Office 365. Sin embargo, puede anidar otros grupos de seguridad como miembros de este grupo. Por ejemplo, el grupo denominado Permitir la creación de grupos es el grupo de seguridad designado, y los grupos denominados Usuarios de Microsoft Planner y Usuarios de Exchange Online son miembros de ese grupo.

  1. En el Centro de administración de Office 365, cree un grupo del tipo Grupo de seguridad. Recuerde que el nombre del grupo. Lo necesitará más adelante.

    Cree un grupo de seguridad en el Centro de administración.

  2. Agregue usuarios u otros grupos de seguridad que quiera que puedan crear grupos de Grupos de Office 365 en su organización.

Para obtener instrucciones detalladas, consulte Crear, editar o eliminar un grupo de seguridad en el Centro de administración de Office 365.

Paso 2: Ejecutar los comandos de PowerShell

Los errores más habituales son no tener el módulo de vista previa y los errores de escritura. En lugar de escribir cada comando, copie y pegue los comandos y ejemplos de este artículo. Puede usar las teclas de flecha izquierda y derecha para desplazarse por un comando antes de ejecutarlo y las teclas de flecha arriba y abajo para volver a los comandos anteriores. Si comete un error, obtendrá un conjunto de texto rojo en el que se indica que se ha producido un error. Simplemente intente escribir el comando de nuevo. Si tiene problemas, llámenos.

Estos pasos última ha sido probados y comprobados 18 de abril de 2018. Recuerde, use la versión de AzureADPreview no Azure Active Directory PowerShell para el gráfico.

  1. Si todavía no lo ha hecho, abra una ventana de Windows PowerShell en el equipo (no importa si es una ventana de Windows PowerShell normal o una que haya abierto mediante la selección de Ejecutar como administrador).

  2. Ejecute los comandos siguientes. Presione Entrar después de cada comando.

    Import-Module AzureADPreview
    Connect-AzureAD

    En la pantalla Iniciar sesión en su cuenta que se abre, escriba su cuenta y contraseña de administrador de Office 365 para conectar con su servicio y haga clic en Iniciar sesión.

    Escriba sus credenciales de Office 365
  3. Busque el nombre de su grupo de seguridad del Paso 1 utilizando la sintaxis siguiente:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Por ejemplo, he denominado mi grupo AllowedtoCreateGroups. Entonces, ejecutaré:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Esto mostrará las propiedades de mi grupo de seguridad AllowedtoCreateGroups.

    Información del grupo a través de PowerShell de Azure AD

    Como puede ver, el valor de propiedad ObjectID de mi grupo AllowedtoCreateGroups es afc88... No es necesario que anote el ObjectID de su grupo de seguridad, pero deberá poder reconocerlo en un paso posterior.

  4. Ejecute este comando:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Ejecute este comando:

    $Setting = $Template.CreateDirectorySetting()
  6. Ejecute este comando:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Si recibe un error como este, vaya al paso 7. El mensaje de error significa que no es necesario realizar el paso 6.

    Si recibe un mensaje de error, vaya al paso 7.

    En caso contrario, una vez finalizado correctamente, el cmdlet devuelve el Id. del nuevo objeto de configuración.

  7. Ejecute este comando:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Ejecute este comando:

    $Setting["EnableGroupCreation"] = $False
  9. Utilice esta sintaxis:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Por ejemplo, he denominado mi grupo AllowedtoCreateGroups, de modo que ejecutaré este comando:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Ejecute este comando:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Para comprobar que su grupo de seguridad PUEDE crear grupos y que los demás usuarios de su organización no pueden, ejecute este comando:

    (Get-AzureADDirectorySetting).Values

    El resultado debería ser similar a este (pero con el valor ID para su grupo de seguridad, ahí es donde tiene que poder reconocerlo):

    Este es el aspecto que tendrá la configuración cuando haya terminado.

    Solo los miembros del grupo de seguridad AllowedtoCreateGroups (Afc88abb... ) pueden crear grupos. Nadie más puede, como se indica en EnableGroupCreation = False.

Paso 3: Comprobar que funciona correctamente

  1. Inicie sesión en Office 365 con la cuenta de usuario de alguien que NO debe tener la capacidad de crear grupos. Es decir, alguien que no sea miembro del grupo de seguridad que creó.

  2. Elija el mosaico Planner.

  3. En Planner, elija Nuevo plan para crear un plan.

    En Planner, elija Nuevo plan.

  4. Recibirá un mensaje en el que se indica que no puede crear un plan:

    Mensaje que indica que no puede crear un plan.

¿Qué debo hacer si no funciona?

Compruebe que no estén siendo bloqueados por su directiva de buzón de OWA.

Si esto no soluciona el problema, llámenos para obtener ayuda.

Quitar la restricción sobre quién puede crear grupos

Supongamos que al cabo de un tiempo desea quitar el límite que estableció en quién puede crear grupos. Ejecute este comando:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Más información sobre cómo administrar grupos

Todos los usuarios de Office 365 pueden crear Grupos de Office 365 de forma predeterminada:

  • Los usuarios pueden crear un máximo de 250 Grupos de Office 365 cada uno.

  • Los administradores de Office 365 no tienen ningún límite en el número de Grupos de Office 365 que pueden crear.

  • El número máximo predeterminado de Grupos de Office 365 que puede tener una organización de Office 365 actualmente es 500 000, pero se puede aumentar a petición. Para obtener más información sobre los límites de los grupos de Office 365, consulte Grupos de Office 365: ayuda para administradores.

Varios servicios de Office 365requieren la capacidad de crear Grupos de Office 365 para realizar determinadas funciones. Por ejemplo, se crea automáticamente un grupo cuando se crea un plan con Microsoft Planner. Esto significa que los usuarios pueden crear muchos grupos sin darse cuenta al experimentar con la creación de planes.

Quizás quiera controlar de forma más estricta la creación de grupos de Office 365 y quizás prefiera que no todos los usuarios puedan crearlos y que solo puedan crearlos los usuarios de servicios de Office 365 que requieren la creación de grupos de Office 365.

Nota: Tenga en cuenta que tener la capacidad de controlar qué usuarios pueden crear Grupos de Office 365 no afecta a la capacidad de todos los usuarios con licencia para participar en las actividades de grupo, como la creación de tareas en Planner o responder a conversaciones en Outlook.

Si había creado un objeto de configuración de grupo y necesita cambiar el valor de una opción (por ejemplo, especificar un grupo distinto), puede usar el procedimiento siguiente.

  1. Abra una ventana de Windows PowerShell en el equipo y ejecute el comando siguiente:

    Import-Module AzureADPreview
    Connect-AzureAD

    En la pantalla Iniciar sesión en su cuenta que se abre, escriba sus credenciales para conectar con su servicio y haga clic en Iniciar sesión.

    Escriba sus credenciales de Office 365
  2. Después de conectarse al servicio Office 365, primero debe hacer referencia al objeto de configuración de grupo que contiene la configuración. Para ello, necesitará su ObjectId. Si no sabe el ObjectId, puede buscarlo escribiendo el siguiente cmdlet:

    Get-AzureADDirectorySetting

    Se mostrará el objeto de configuración de grupo actual, incluyendo su ObjectId.

    Ejemplo de los valores que pueden aparecer Buscar el objeto de configuración de grupo
  3. Después de haber encontrado ObjectID del objeto de configuración de grupo, puede usarlo para seleccionar el objeto de configuración de grupo que contiene la configuración. Escriba el siguiente cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Por ejemplo, utilizando el ObjectId en el gráfico anterior

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Se le dirigirá a un aviso del módulo Windows Azure Active Directory.

  4. Después de seleccionar el objeto de configuración de grupo, deberá comprobar los valores de configuración actuales escribiendo lo siguiente:

    $setting.values
    Captura de pantalla de la lista de los valores de la configuración actual

    Se mostrarán los valores de configuración para el objeto de configuración de grupo y se le devolverá a un aviso del módulo Windows Azure Active Directory. En el ejemplo anterior, GroupCreationAllowedGroupId indica que los miembros del grupo de seguridad 1f8f32... pueden crear grupos. Y, puesto que EnableGroupCreation es "False", nadie más en la empresa puede crear grupos.

  5. Ahora puede realizar cambios específicos en los valores de configuración del grupo. Por ejemplo, puede usar el siguiente cmdlet para apuntar a un grupo distinto para permitir la creación de grupos:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Por ejemplo, vamos a cambiar del grupo AllowedtoCreateGroups que establecimos anteriormente a un grupo diferente que creamos con un ObjectId de 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Después de establecer la configuración, se le dirigirá a un aviso del módulo Windows Azure Active Directory.

  6. Después de establecer la nueva configuración, puede aplicar la configuración directamente en el objeto de configuración de grupo escribiendo lo siguiente:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Por ejemplo, utilizando el ObjectID del objeto de configuración de grupo que estamos editando:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Se le dirigirá a un aviso del módulo Windows Azure Active Directory.

  7. También puede comprobar que la configuración del grupo se ha actualizado ejecutando el cmdlet $settings.values y comprobando los valores.

    Objeto de configuración de grupo con el valor cambiado

    Observe que la opción GroupCreationAllowedGroupId ha cambiado al nuevo grupo.

Icono pequeño de LinkedIn Learning ¿Usa Office 365 por primera vez?
Descubra cursos en vídeo gratuitos para administradores de Office 365 y profesionales de TI, ofrecidos por LinkedIn Learning.

Artículos relacionados

Introducción a Office 365 PowerShell

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×