קביעה מי יכול ליצור קבוצות של Office 365

עדכון אחרון: 11 ביוני 2018

מאחר שהמשתמשים יכולים ליצור קבוצות Office 365 בקלות כה רבה, אינך מוצף בבקשות ליצור קבוצות כאלה בשמם של אנשים אחרים. עם זאת, בהתאם לעסק שלך, ייתכן שתרצה לקבוע מי יכול ליצור קבוצות. מדוע עליי לעשות זאת?

מאמר זה מסביר כיצד להפוך את היכולת ליצור קבוצות ללא זמינה בכל השירותים של Office 365 שמשתמשים בקבוצות:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: מנהלי המערכת והמשתמשים לא יוכלו ליצור צוותים.

  • StaffHub: מנהלי המערכת והמנהלים לא יוכלו ליצור צוותים.

  • Planner: המשתמשים לא יוכלו ליצור תוכנית חדשה באפליקציות למכשירים ניידים וביישומי האינטרנט של Planner.

  • Power BI

הדרך הטובה ביותר לעשות זאת היא ליצור קבוצת אבטחה, ולאחר מכן רק האנשים השייכים לקבוצת אבטחה זו יוכלו ליצור קבוצות Office 365 וצוותים ביישומים אלה. מאמר זה ינחה אותך כיצד לבצע שלבים אלה.

כדי לקבוע מי יוכל ליצור קבוצות Office 365, השתמש ב- Windows PowerShell, שדומה במידה רבה להקלדת פקודות בשורת הפקודה ‎C:\‎ בסביבת DOS הישנה. אם מעולם לא השתמשת ב- PowerShell, משימה זו היא הזדמנות מצוינת ללמוד כיצד להשתמש בו. אנו ננחה אותך מה עליך לעשות, שלב אחר שלב.

המידע שעליך לדעת לפני שתתחיל

  • ביצוע השלבים המתוארים במאמר זה מחייב מנוי של Azure Active Directory (AD) Premium. יש להקצות רשיונות Azure AD Premium למנהל המערכת שקובע את תצורת ההגדרות ולחברי הקבוצות המושפעות. לקבלת מידע נוסף, ראה תחילת העבודה עם Azure Active Directory Premium.

  • אל תנסה להשתמש בגירסה GA - Azure Active Directory PowerShell for Graph - כדי לבצע את השלבים המפורטים במאמר זה. זה לא יפעל.

  • הפקודות של PowerShell במאמר זה משנות רק את מי שיוכל ליצור קבוצות Office 365. הן לא ישפיעו על שום דבר אחר בסביבת Office 365.

  • החל את השלבים המפורטים במאמר זה פעם אחת בלבד בארגון שלך, עבור קבוצת אבטחה אחת. אם אתה מנסה להחיל אותן שוב עבור קבוצת אבטחה אחרת, תקבל הודעת שגיאה שנראית כך:

    A conflicting object with one or more of the specified property values is present in the directory.
  • השלבים המפורטים במאמר זה אינם מונעים מחברים בתפקידים הבאים ליצור קבוצות Office 365 במרכז הניהול של Office 365. עם זאת, היא מונעת מהם ליצור קבוצות Office 365 מתוך היישומים ומונעת מהם ליצור צוותים (מאחר שלא ניתן ליצור צוותים במרכז הניהול של Office 365).

    • מנהלי מערכת כלליים של Office 365

    • מנהל מערכת של תיבת דואר

    • תמיכת Tier1 של שותף

    • תמיכת Tier2 של שותף

    • כותבי ספריות

    אם אתה חבר באחד מתפקידים אלה, באפשרותך ליצור קבוצות Office 365 עבור משתמשים מוגבלים ולאחר מכן להקצות את המשתמש כבעלים של הקבוצה.

  • חשוב להשתמש בקבוצת אבטחה, כמתואר בשלב 1 במאמר זה, כדי להגביל את מי שיוכל ליצור קבוצות Office 365. אל תנסה להשתמש בקבוצה של Office 365 לביצוע פעולה זו. אם תנסה להשתמש בקבוצה של Office 365, החברים לא יוכלו ליצור קבוצה מ- SharePoint, מכיוון שהיא בודקת קבוצת אבטחה.

  • הגדרת Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True מעניקה למשתמשים הרשאות ליצירת קבוצות אבטחה בלבד, לא קבוצות של Office 365. לקבלת מידע נוסף אודות cmdlet זה, ראה Set-Msolcompanysettings.

  • נניח שאתה מבצע את השלבים המפורטים במאמר זה ואתה מאפשר לכמה אנשים ליצור קבוצות Office 365. אך מסיבה כלשהי, הם עדיין לא יכולים ליצור קבוצה של Office 365 באמצעות Outlook. ודא שהם אינם נחסמים באמצעות מדיניות תיבת הדואר של OWA. היא מספקת בקרות נוספות לחסימת היצירה של קבוצות Office 365 באמצעות Outlook.

התקנת גירסת Preview של Azure Active Directory PowerShell for Graph

חשוב: אין באפשרותך להתקין גם את גירסת ה- Preview וגם את גירסת ה- GA באותו מחשב במקביל.

מומלץ תמיד להשתמש בגירסאות עדכניות: הסר את ההתקנה של הגירסה הישנה של AzureADPreview או AzureAD וקבל את הגירסה העדכנית ביותר.

  1. פתח את Windows PowerShell כמנהל מערכת:

    ייפתח חלון מוקפץ של Windows PowerShell. הבקשה C:\Windows\system32 פירושה שפתחת אותו כמנהל מערכת.

    כך נראה PowerShell כשאתה פותח אותו בפעם הראשונה.

    1. בסרגל החיפוש, הקלד Windows PowerShell.

    2. לחץ באמצעות לחצן העכבר הימני על Windows PowerShell ובחר הפעל כמנהל.

      פתח את PowerShell באמצעות 'הפעל כמנהל'.

  2. בדוק את המודול המותקן:

    Get-InstalledModule -Name "AzureAD*"

3. כדי להסיר את ההתקנה של גירסה קודמת של AzureADPreview או AzureAD, הפעל פקודה זו:

   Uninstall-Module AzureADPreview

או

   Uninstall-Module AzureAD

4. כדי להתקין את הגירסה העדכנית ביותר של AzureADPreview, הפעל פקודה זו:

   Install-Module AzureADPreview

בהודעה לגבי מאגר לא מהימן, הקלד כ. התקנת המודול החדש תימשך דקה בערך.

שלב 1: יצירת קבוצת אבטחה עבור משתמשים שצריכים ליצור קבוצות Office 365

ניתן להשתמש בקבוצת אבטחה אחת בלבד בארגון שלך כדי לקבוע מי יוכל ליצור קבוצות Office 365. עם זאת, באפשרותך לקנן קבוצות אבטחה אחרות כחברות בקבוצה זו. לדוגמה, הקבוצה שנקראת 'אפשר יצירת קבוצה' מוגדרת כקבוצת אבטחה, והקבוצות שנקראות משתמשי Microsoft Planner ומשתמשי Exchange Online הן חברות בקבוצה זו.

  1. במרכז הניהול של Office 365, צור קבוצה מסוג קבוצת אבטחה. זכור את שם הקבוצה! תזדקק לו מאוחר יותר.

    יצירת קבוצת אבטחה במרכז הניהול

  2. הוספת אנשים או קבוצות אבטחה אחרות שברצונך שיוכלו ליצור קבוצות של קבוצות Office 365 בארגון שלך.

לקבלת הוראות מפורטות, ראה יצירה, עריכה או מחיקה של קבוצת אבטחה במרכז הניהול של Office 365.

שלב 2: הפעלת פקודות של PowerShell

השגיאות הנפוצות ביותר כוללות היעדר מודול תצוגה מקדימה ושגיאות הקלדה. במקום להקליד כל פקודה, העתק והדבק את הפקודות והדוגמאות שמופיעות במאמר זה. באפשרותך להשתמש במקשי החצים שמאלה וימינה כדי לנוע בתוך פקודה לפני שתפעיל אותה, ובמקשי החצים למעלה ולמטה כדי לגלול אחורה בין הפקודות הקודמות. אם תטעה, יוצג לך קטע טקסט אדום שיציין שאירעה שגיאה. פשוט נסה להקליד שוב את הפקודה. אם אתה לא מסתדר, התקשר אלינו!

שלבים אלה נבדקו ואומתו בפעם האחרונה ב- 18 באפריל 2018. זכור, השתמש בגירסת AzureADPreview, ולא ב- Azure Active Directory PowerShell for Graph.

  1. אם טרם עשית זאת, פתח חלון Windows PowerShell במחשב (אין זה משנה אם מדובר בחלון רגיל של Windows PowerShell או בחלון שפתחת על-ידי בחירת הפעל כמנהל).

  2. הפעל את הפקודות הבאות. הקש Enter אחרי כל פקודה.

    Import-Module AzureADPreview
    Connect-AzureAD

    במסך היכנס לחשבון שלך שנפתח, הזן את חשבון מנהל המערכת והסיסמה שלך ב- Office 365 כדי להתחבר לשירות ולאחר מכן לחץ על היכנס.

    הזן את אישורי Office 365 שלך
  3. מצא את שם קבוצת האבטחה משלב 1 על-ידי שימוש בתחביר הבא:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    לדוגמה, קראתי לקבוצה שלי AllowedtoCreateGroups. לכן אפעיל את הפקודה:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    פקודה זו תציג את המאפיינים של קבוצת האבטחה AllowedtoCreateGroups שלי.

    מידע על קבוצה באמצעות Azure AD PowerShell

    תוכל לראות שערך המאפיין ObjectID של הקבוצה AllowedtoCreateGroups שלי הוא afc88... אינך צריך לרשום לעצמך את ה- ObjectID של קבוצת האבטחה שלך, אך יהיה עליך להיות מסוגל לזהות אותה בשלב מאוחר יותר.

  4. הפעל פקודה זו:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. הפעל פקודה זו:

    $Setting = $Template.CreateDirectorySetting()
  6. הפעל פקודה זו:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    אם אתה מקבל הודעת שגיאה כזו, דלג לשלב 7. הודעת השגיאה מציינת שאין צורך לבצע את שלב 6.

    אם מוצגת לך הודעת שגיאה, דלג לשלב 7.

    אחרת, לאחר שהפקודה תושלם בהצלחה, ה-cmdlet יחזיר את המזהה של אובייקט ההגדרות החדש.

  7. הפעל פקודה זו:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. הפעל פקודה זו:

    $Setting["EnableGroupCreation"] = $False
  9. השתמש בתחביר זה:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    לדוגמה, קראתי לקבוצה שלי AllowedtoCreateGroups, לכן הפעיל את הפקודה:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. הפעל פקודה זו:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. כדי לוודא שקבוצת האבטחה יכולה ליצור קבוצות, ושכל שאר המשתמשים בארגון לא יכולים, הפעל את הפקודה הבאה:

    (Get-AzureADDirectorySetting).Values

    התוצאה אמורה להיראות כך (אך עם הערך ID עבור קבוצת האבטחה שלך - כאן עליך להיות מסוגל לזהות אותה):

    כך ההגדרות שלך ייראו כשתסיים.

    רק החברים בקבוצת האבטחה AllowedtoCreateGroups ‏(Afc88abb... ) יכולים ליצור קבוצות. אף אחד אחר לא יכול, כפי שצוין על-ידי הפקודה EnableGroupCreation = False.

שלב 3: ודא שזה עובד

  1. היכנס אל Office 365 באמצעות חשבון משתמש של מישהו שלא אמור להיות מסוגל ליצור קבוצות. כלומר, הוא אינו חבר בקבוצת האבטחה שיצרת.

  2. בחר באריח Planner.

  3. ב- Planner, בחר תוכנית חדשה כדי ליצור תוכנית.

    ב- Planner, בחר 'תוכנית חדשה'.

  4. הודעה שגיאה המציינת שלא ניתן ליצור תוכנית אמורה להופיע:

    הודעה המציינת שאינך יכול ליצור תוכנית.

מה עליי לעשות אם זה לא עובד?

ודא שהמשתמש לא נחסם באמצעות מדיניות תיבת הדואר של OWA.

אם פעולה זו לא פתרה את הבעיה, התקשר אלינו לקבלת עזרה.

הסרת ההגבלה על מי שיכול ליצור קבוצות

נניח שאחרי זמן מה ברצונך להסיר את המגבלה שקבעת לגבי מי יכול ליצור קבוצות. הפעל פקודה זו:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

מידע נוסף על ניהול קבוצות

כברירת מחדל, כל משתמשי Office 365 יכולים ליצור קבוצות Office 365:

  • כל משתמש יכולים ליצור עד 250 קבוצות Office 365.

  • מנהלי מערכת של Office 365 אינם מוגבלים מבחינת מספר הקבוצות Office 365 שהם יכולים ליצור.

  • כברירת מחדל, המספר המרבי של קבוצות Office 365 שיכול להיות לארגון Office 365 עומד כעת על 500,000, אך ניתן להגדיל אותו על-פי בקשה. לקבלת מידע נוסף על המגבלות של קבוצות Office 365, ראה קבוצות Office 365 - עזרה למנהלי מערכת.

כמה שירותים של Office 365מחייבים את היכולת ליצור קבוצות Office 365 עבור פונקציות ספציפיות. לדוגמה, קבוצה נוצרת באופן אוטומטי כאשר תוכנית נוצרת באמצעות Microsoft Planner. המשמעות היא שהמשתמשים יכולים ליצור בטעות מספר רב של קבוצות כאשר הם מתנסים ביצירת תוכניות.

ייתכן שאתה מעוניין בפיקוח הדוק יותר על יצירת קבוצת Office 365 ומעדיף שלא כולם יוכלו ליצור אותן, אלא שרק המשתמשים של שירותי Office 365 שנדרשים ליצור קבוצות Office 365 יורשו ליצור אותן.

הערה: שים לב, אמנם אתה יכול לקבוע אילו משתמשים יוכלו ליצור קבוצות Office 365, אך אין לכך כל השפעה על היכולת של כל המשתמשים המורשים להשתתף בפעילויות קבוצתיות, כמו יצירת משימות ב- Planner או מענה לשיחות ב- Outlook.

אם בעבר יצרת אובייקט הגדרות קבוצה, ועליך לשנות את הערך של הגדרה (לדוגמה, לציין קבוצה אחרת), באפשרותך להשתמש בהליך הבא.

  1. פתח חלון Windows PowerShell במחשב והפעל הפקודה הבאה:

    Import-Module AzureADPreview
    Connect-AzureAD

    במסך היכנס לחשבון שלך שנפתח, הזן את האישורים שלך כדי להתחבר לשירות ולאחר מכן לחץ על היכנס.

    הזן את אישורי Office 365 שלך
  2. לאחר שתתחבר לשירות Office 365, תחילה עליך לבצע הפניה לאובייקט הגדרות הקבוצה שמכיל את הגדרות התצורה. לשם כך, תזדקק ל-ObjectId. אם ה-ObjectId אינו ידוע לך, תוכל לחפש אותו על-ידי הקלדה והזנה של ה-cmdlet הבא:

    Get-AzureADDirectorySetting

    פעולה זו תציג את אובייקט ההגדרות של הקבוצה הנוכחית, כולל ה- ObjectId שלה.

    דוגמה לערכים שעשויים להופיע חיפוש אובייקט הגדרות של קבוצה
  3. לאחר שתמצא את ה- ObjectID עבור אובייקט ההגדרות של הקבוצה, באפשרותך להשתמש בו כדי לבחור את אובייקט הגדרות הקבוצה שמכיל את ההגדרות. הקלד והזן את ה- cmdlet הבא:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    לדוגמה, השימוש ב- ObjectId באיור שלעיל

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    תוחזר אל שורת הפקודה במודול Windows Azure Active Directory.

  4. לאחר בחירת אובייקט הגדרות הקבוצה, עליך לבדוק את ערכי התצורה הנוכחיים על-ידי הקלדה והזנה של הפרטים הבאים:

    $setting.values
    צילום מסך של רשימת ערכי התצורה הנוכחיים

    פעולה זו תציג את ערכי ההגדרות עבור אובייקט הגדרות הקבוצה ויחזיר אותך לשורת הפקודה במודול Windows Azure Active Directory. בדוגמה למעלה, GroupCreationAllowedGroupId מציין שהחברים בקבוצת האבטחה 1f8f32... יכולים ליצור קבוצות. אך מאחר ש- EnableGroupCreation = "False"‎, אף אחד אחר בחברה לא יכול ליצור קבוצות.

  5. כעת באפשרותך לבצע שינויים ספציפיים בערכי הגדרות הקבוצה. לדוגמה, באפשרותך להשתמש ב- cmdlet הבא אם ברצונך להצביע על קבוצה אחרת כדי לאפשר יצירת קבוצה:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    לדוגמה, כעת נשנה את הקבוצה AllowedtoCreateGroups שהגדרנו מוקדם יותר לקבוצה אחרת שיצרנו עם ה- ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    לאחר שתקבע את תצורת ההגדרות, תוחזר אל שורת פקודה במודול Windows Azure Active Directory.

  6. לאחר שקבעת את תצורת ההגדרות החדשות, תוכל להחיל את ההגדרות ישירות על אובייקט הגדרות הקבוצה על-ידי הקלדה והזנה של הפרטים הבאים:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    לדוגמה, באמצעות ה- ObjectID של אובייקט הגדרות הקבוצה אנו עורכים את:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    תוחזר אל שורת הפקודה במודול Windows Azure Active Directory.

  7. באפשרותך לוודא שהגדרות הקבוצה עודכנו על-ידי הפעלת ה- cmdlet ‏$settings.values ובדיקת הערכים.

    אובייקט הגדרות של קבוצה עם ערך שהשתנה

    שים לב שההגדרה של GroupCreationAllowedGroupId השתנתה לקבוצה החדשה שלך.

מאמרים קשורים

תחילת העבודה עם Office 365 PowerShell

שפר את הכישורים שלך ב- Office
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Office Insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×