Office 365 -ryhmien luontioikeuksien hallinta

Päivitetty viimeksi: 11. kesäkuuta 2018

Koska Office 365 -ryhmien luominen on käyttäjille helppoa, sinulle ei tulvi pyyntöjä luoda niitä muiden puolesta. Yrityksen tarpeista riippuen sinun täytyy kuitenkin ehkä rajoittaa ryhmien luomisoikeutta. Miksi näin kannattaa toimia?

Tässä artikkelissa kerrotaan, miten voit poistaa ryhmien luomisen käytöstä kaikissa ryhmiä käyttävissä Office 365 -palveluissa:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Järjestelmänvalvojat ja käyttäjät eivät voi luoda tiimejä.

  • StaffHub: Järjestelmänvalvojat ja esimiehet eivät voi luoda tiimejä.

  • Planner: Käyttäjät eivät voi luoda uusia suunnitelmia Plannerin verkko- ja mobiilisovelluksella.

  • PowerBI

Paras tapa tehdä tämä on luoda käyttöoikeusryhmä, jolloin ainoastaan käyttöoikeusryhmän jäsenet voivat luoda Office 365 -ryhmiä ja -tiimejä näissä sovelluksissa. Tässä artikkelissa on vaiheittaiset ohjeet tämän mahdollistamiseen.

Jos haluat hallita sitä, ketkä voivat luoda Office 365 -ryhmiä, sinun täytyy käyttää Windows PowerShelliä. Sen käyttö muistuttaa paljon vanhan DOS-ympäristön C:\-komentokehotteen komentojen käyttöä. Jos et ole koskaan käyttänyt PowerShelliä, tämä on erinomainen mahdollisuus opetella sen käyttöä. Saat vaiheittaiset ohjeet kaikkiin tarvittaviin tehtäviin.

Asioita, jotka on hyvä tietää ennen aloittamista

  • Tämän artikkelin ohjeiden noudattaminen edellyttää Azure Active Directory (Azure AD) Premium -tilausta. Järjestelmänvalvojalla, joka määrittää asetukset, ja kyseisten ryhmien jäsenillä on oltava Azure AD Premium -käyttöoikeudet määritettyinä. Jos tarvitset lisätietoja, lue ohjeaihe Azure Active Directory Premiumin käytön aloittaminen.

  • Älä yritä käyttää GA-versiota – Azure Active Directory PowerShell for Graphia – tässä artikkelissa kuvattujen vaiheiden suorittamisessa. Se ei toimi

  • Tässä artikkelissa esitellyt PowerShell-komennot muuttavat vain sitä, ketkä voivat luoda Office 365 -ryhmiä. Ne eivät vaikuta muuhun Office 365 -ympäristöösi.

  • Tässä artikkelissa esitellyt vaiheet täytyy suorittaa vain kerran organisaatiossasi yhdelle käyttöoikeusryhmälle. Jos yrität suorittaa niitä uudelleen toiselle käyttöoikeusryhmälle, saat seuraavankaltaisen virheilmoituksen.

    A conflicting object with one or more of the specified property values is present in the directory.
  • Tässä artikkelissa esitellyt toimet eivät estä alla lueteltujen roolien jäseniä luomasta ryhmiä (Office 365 -ryhmät) hallintakeskuksessa (Office 365 -hallintakeskus). Se estää kuitenkin ryhmien (Office 365 -ryhmät) luomisen sovelluksissa sekä tiimien luomisen, koska tiimien luominen ei onnistu hallintakeskuksessa (Office 365 -hallintakeskus).

    • Office 365:n yleiset järjestelmänvalvojat

    • Postilaatikkojärjestelmänvalvojat

    • Kumppanitason 1 tuki

    • Kumppanitason 2 tuki

    • Hakemistokirjoittajat

    Jos sinulle on määritetty jokin yllä mainituista rooleista, voit luoda ryhmiä (Office 365 -ryhmät) rajoitetuille käyttäjille ja määrittää sitten käyttäjän ryhmän omistajaksi.

  • Office 365 -ryhmien luomista on tärkeää rajoittaa käyttöoikeusryhmillä tämän artikkelin vaiheessa 1 kerrotulla tavalla. Älä yritä käyttää Office 365 -ryhmää tähän tarkoitukseen. Jos yrität käyttää Office 365 -ryhmää, jäsenet eivät voi luoda ryhmää SharePointista, koska SharePoint tarkistaa käyttöoikeusryhmän.

  • Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True -asetus antaa käyttäjille ainoastaan käyttöoikeusryhmien luomisoikeuden, ei Office 365 -ryhmien luomisoikeutta. Lisätietoja tästä cmdlet-komennosta on kohdassa Set-Msolcompanysettings.

  • Oletetaan, että toimit tämän ohjeartikkelin ohjeiden mukaisesti ja annat joillekin käyttäjille oikeuden luoda ryhmiä (Office 365 -ryhmät). Jostain syystä Office 365 -ryhmän luominen Outlookin avulla ei kuitenkaan onnistu. Tarkista, että OWA-postilaatikkokäytäntö ei estä käyttäjiä luomasta ryhmiä. Se antaa lisäominaisuuksia, joilla Office 365 -ryhmien luonti Outlookin avulla voidaan estää.

Asenna Azure Active Directory PowerShell for Graph -esiversio

TÄRKEÄÄ: Et voi asentaa sekä esikatselu- että GA-versiota samaan tietokoneeseen samanaikaisesti.

Suositeltava paras käytäntö on pitää versio aina ajantasaisena: poista vanhan AzureADPreview- tai AzureAD-version asennus ja hanki uusin versio.

  1. Avaa Windows PowerShell järjestelmänvalvojana:

    Windows PowerShell -ikkuna aukeaa. Kehote C:\Windows\system32 ilmaisee, että ikkuna on avattu järjestelmänvalvojana.

    Miltä PowerShell näyttää, kun avaat sen ensimmäisen kerran.

    1. Kirjoita hakupalkkiin Windows PowerShell.

    2. Napsauta kohdetta Windows PowerShell hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

      Avaa PowerShell Suorita järjestelmänvalvojana -tilassa.

  2. Tarkista asennettu moduuli:

    Get-InstalledModule -Name "AzureAD*"

3. Poista aiempi AzureADPreview- tai AzureAD-versio suorittamalla tämä komento:

   Uninstall-Module AzureADPreview

tai

   Uninstall-Module AzureAD

4. Asenna uusin AzureADPreview-versio suorittamalla tämä komento:

   Install-Module AzureADPreview

Kun näyttöön tulee luottamattomasta säilöstä kertova sanoma, kirjoita K. Uuden moduulin asentaminen kesää noin minuutin.

Vaihe 1: luo käyttöoikeusryhmä käyttäjille, joiden täytyy luoda ryhmiä (Office 365 -ryhmät).

Voit hallita sitä, kellä on oikeus luoda ryhmiä (Office 365 -ryhmät), mutta voit hallita tätä vain yhdellä käyttöoikeusryhmällä organisaatiossasi. Voit kuitenkin lisätä tähän käyttöoikeusryhmään jäseniksi muita käyttöoikeusryhmiä. Oletetaan esimerkiksi, että Allow Group Creation -käyttöoikeusryhmän jäsenillä on oikeus ryhmien luomiseen ja että tämän ryhmän jäseniä ovat myös käyttöoikeusryhmät Microsoft Planner Users ja Exchange Online Users.

  1. Avaa Office 365 -hallintakeskus ja luo käyttöoikeusryhmä. Muista luomasi ryhmän nimi. Tarvitset sitä myöhemmin.

    Luo käyttöoikeusryhmä hallintakeskuksessa.

  2. Lisää ryhmään käyttäjät ja muut käyttöoikeusryhmät, joille haluat antaa oikeuden luoda ryhmiä (Office 365 -ryhmät) -organisaatiossasi.

Yksityiskohtaiset ohjeet löydät artikkelista Käyttöoikeusryhmän luominen, muokkaaminen tai poistaminen Office 365 -hallintakeskuksessa.

Vaihe 2: suorita PowerShell-komennot.

Useimmat virheet liittyvät kirjoitusvirheisiin ja esikatselumoduulin käyttämättä jättämiseen. Älä kirjoita alla annettuja komentoja itse, vaan kopioi ja ne liitä tästä ohjeartikkelista. Voit siirtyä komennossa sivunuolinäppäimillä ennen komennon suorittamista. Ylä- ja alanuolilla voit taas siirtyä edestakaisin komennosta toiseen. Jos teet virheen, saat virheilmoituksen punaisin kirjaimin. Anna komento tässä tapauksessa uudelleen. Jos jäät jumiin, soita meille!

Nämä ohjeet testattiin ja vahvistettiin viimeksi 18. huhtikuuta 2018. Muista käyttää AzureADPreview-versiota Azure Active Directory PowerShell for Graphin sijaan.

  1. Avaa tietokoneessasi Windows PowerShell -ikkuna (jos se ei ole jo auki; ei ole väliä, onko kyseessä tavallinen Windows PowerShell -ikkuna vai Suorita järjestelmänvalvojana -vaihtoehdon avulla avattu ikkuna).

  2. Suorita seuraavat komennot. Paina Enter-näppäintä jokaisen komennon jälkeen.

    Import-Module AzureADPreview
    Connect-AzureAD

    Muodosta yhteys palveluun kirjoittamalla Office 365 -järjestelmänvalvojan käyttäjätunnuksesi ja salasanasi näkyviin tulevaan Kirjaudu tilillesi -näyttöön. Napsauta sitten Kirjaudu sisään.

    Anna Office 365 -tunnistetietosi
  3. Etsi vaiheessa 1 luomasi käyttöoikeusryhmä seuraavalla komennolla:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Annoin tässä esimerkissä ryhmälle nimeksi AllowedtoCreateGroups. Siksi suoritan siis seuraavan komennon:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Tämä näyttää AllowedtoCreateGroups-käyttöoikeusryhmäni ominaisuudet.

    Ryhmän tiedot Azure AD PowerShellissä.

    Näet, että AllowedtoCreateGroups-ryhmän ObjectID-ominaisuuden arvo on afc88.... Sinun ei tarvitse kirjata muistiin käyttöoikeusryhmän ObjectID-ominaisuutta, mutta sinun täytyy tunnistaa se myöhemmässä vaiheessa.

  4. Suorita tämä komento:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Suorita tämä komento:

    $Setting = $Template.CreateDirectorySetting()
  6. Suorita tämä komento:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Jos saat tällaisen virheen, siirry suoraan vaiheeseen 7. Virhesanoma tarkoittaa, että vaihetta 6 ei tarvitse suorittaa.

    Jos saat virheviestin, siirry suoraan vaiheeseen 7.

    Muussa tapauksessa cmdlet-komento palauttaa suorittamisen jälkeen uuden asetusobjektin tunnuksen.

  7. Suorita tämä komento:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Suorita tämä komento:

    $Setting["EnableGroupCreation"] = $False
  9. Anna komento seuraavassa muodossa:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Annoin tässä esimerkissä ryhmälle nimeksi AllowedtoCreateGroups, joten suoritan komennon seuraavassa muodossa:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Suorita tämä komento:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Suorita seuraava komento, jolla voit varmistaa, että käyttöoikeusryhmä VOI luoda ryhmiä ja muut organisaatiosi käyttäjät eivät:

    (Get-AzureADDirectorySetting).Values

    Tuloksen pitäisi näyttää tältä, mutta oman käyttöoikeusryhmäsi ID-arvolla (tässä yhteydessä sinun täytyy tunnistaa se):

    Kun olet valmis, asetuksesi näyttävät tältä.

    Vain AllowedtoCreateGroups-käyttöoikeusryhmän (Afc88abb.....) jäsenillä on ryhmien luomisoikeus. Asetuksen EnableGroupCreation = False mukaisesti kukaan muu ei voi luoda ryhmiä.

Vaihe 3: varmista toimivuus.

  1. Kirjaudu Office 365:een sellaisella käyttäjätilillä, jolla EI pitäisi olla oikeutta luoda ryhmiä. Kirjaudu siis sellaisella käyttäjätilillä, joka ei kuulu juuri luomaasi käyttöoikeusryhmään.

  2. Valitse Planner-ruutu.

  3. Luo uusi suunnitelma Plannerissa valitsemalla Luo suunnitelma.

    Valitse Plannerissa Uusi suunnittelu.

  4. Sinun pitäisi saada ilmoitus siitä, että et voi luoda uutta suunnitelmaa.

    Viesti, joka ilmoittaa, ettet voi luoda uutta suunnitelmaa.

Mitä teen, jos tämä ei toimi?

Tarkista, että OWA-postilaatikkokäytäntö ei estä heitä luomasta ryhmiä.

Jos ongelma ei korjaannu näillä keinoilla, soita meille ja pyydä lisäohjeita.

Ryhmien luomisrajoituksen poistaminen

Oletetaan, että haluat myöhemmin poistaa rajoitukset ryhmien luomiselta. Suorita tämä komento:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Lisätietoja ryhmien hallinnasta.

Kaikki Office 365 -käyttäjät voivat oletusarvoisesti luoda ryhmiä (Office 365 -ryhmät):

  • Kukin käyttäjä voi luoda jopa 250 ryhmää (Office 365 -ryhmät).

  • Office 365 -järjestelmänvalvojat voivat luoda ryhmiä (Office 365 -ryhmät) rajoituksetta.

  • Ryhmien (Office 365 -ryhmät) oletusarvoinen enimmäismäärä yhdessä Office 365 -organisaatiossa on tällä hetkellä 500 000. Määrää voi kuitenkin kasvattaa pyytämällä. Jos haluat lisätietoja Office 365 -ryhmien rajoituksista, lue ohjeartikkeli Office 365 -ryhmät – järjestelmänvalvojan ohje.

Useat Office 365 -palvelut edellyttävät ryhmien (Office 365 -ryhmät) luomisoikeutta tiettyihin tarkoituksiin. Ryhmä luodaan automaattisesti esimerkiksi silloin, kun suunnitelma luodaan Microsoft Plannerilla. Tämä johtaa siihen, että käyttäjät voivat luoda vahingossa paljon ryhmiä, kun he kokeilevat ryhmien luomista.

Haluat ehkä hallita Office 365 -ryhmien luomista tarkemmin ja rajoittaa sen vain tietyille käyttäjille siten, että Office 365 -ryhmiä voivat luoda vain niiden Office 365 -palveluiden käyttäjät, joissa ryhmiä vaaditaan.

Huomautus: Vaikka voit hallita sitä, ketkä käyttäjät voivat luoda ryhmiä (Office 365 -ryhmät), tämä ei vaikuta kaikkien käyttöoikeudellisten käyttäjien mahdollisuuksiin osallistua ryhmän toimintoihin (esimerkiksi tehtävien luominen Plannerissa tai keskusteluihin vastaaminen Outlookissa).

Jos olet luonut aiemmin ryhmäasetusobjektin ja haluat muokata jotain asetusta (määrittää esimerkiksi käyttöoikeusryhmän), voit tehdä sen alla annettujen ohjeiden mukaisesti.

  1. Avaa Windows PowerShell tietokoneellasi ja suorita siinä seuraava komento:

    Import-Module AzureADPreview
    Connect-AzureAD

    Muodosta yhteys palveluun kirjoittamalla tunnistetietosi näkyviin tulevaan Kirjaudu tilillesi -näyttöön. Napsauta sitten Kirjaudu sisään.

    Anna Office 365 -tunnistetietosi
  2. Kun olet muodostanut yhteyden omaan Office 365 -palveluusi, sinun täytyy ensin viitata ryhmäasetusobjektiin, joka sisältää määritysasetukset. Tarvitset tähän sen ObjectId-ominaisuuden arvon. Jos et tiedä sitä, voit tarkistaa sen suorittamalla seuraavan cmdlet-komennon:

    Get-AzureADDirectorySetting

    Tämä näyttää nykyisen ryhmäasetusobjektin, mukaan lukien sen ObjectId.

    Saatat nähdä esimerkkiarvoja Etsi ryhmän asetukset -objekti
  3. Kun olet tarkistanut ryhmäasetusobjektin ObjectId-arvon, voit valita sen avulla ryhmäasetusobjektin, joka sisältää asetuksesi. Anna ja suorita seuraava komento:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Yllä olevan kuvan ObjectId-arvolla suoritettava komento näyttää tältä.

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Sinut palautetaan Windows Azure Active Directory -moduulin kehotteeseen.

  4. Kun olet valinnut ryhmäasetusobjektin, sinun täytyy tarkistaa nykyiset määritysarvot. Voit tehdä tämän antamalla ja suorittamalla seuraavan komennon:

    $setting.values
    Näyttökuva, jossa on luettelo nykyisistä määritysarvoista

    Tämä näyttää ryhmäasetusobjektin asetusarvot ja palauttaa sinut Windows Azure Active Directory -moduulin kehotteeseen. Yllä olevassa esimerkissä GroupCreationAllowedGroupId tarkoittaa, että käyttöoikeusryhmän 1f8f32... jäsenet voivat luoda ryhmiä. Asetuksen EnableGroupCreation = "False" takia kukaan muu yrityksen jäsen ei voi luoda ryhmiä.

  5. Nyt voit tehdä haluamiasi muutoksia ryhmäasetusarvoihin. Jos haluat osoittaa eri ryhmään salliaksesi ryhmien luomisen, voit käyttää esimerkiksi seuraavaa cmdlet-komentoa.

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Tässä esimerkissä vaihdamme aiemmin määritetyn AllowedtoCreateGroups-ryhmän toiseen aiemmin luomaamme ryhmään, jonka ObjectId-arvo on 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Kun olet määrittänyt asetukset, sinut palautetaan Windows Azure Active Directory -moduulin kehotteeseen.

  6. Kun olet määrittänyt uudet asetukset, voit ottaa ne käyttöön suoraan ryhmäasetusobjektiin antamalla ja suorittamalla seuraavan komennon:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Tässä esimerkissä käytämme muokattavan ryhmäasetusobjektin ObjectID-arvoa:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Sinut palautetaan Windows Azure Active Directory -moduulin kehotteeseen.

  7. Suorittamalla cmdlet-komennon $settings.values ja vahvistamalla arvot voit vahvistaa, että ryhmäasetukset on päivitetty.

    Ryhmän asetukset -objekti, jonka arvo on muutettu.

    Ota huomioon GroupCreationAllowedGroupId-asetus on muuttunut uuteen ryhmääsi.

Aiheeseen liittyviä artikkeleita

Office 365 PowerShellin käytön aloittaminen

Kehitä Office-taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×