Upravljanje dozvolama za stvaranje grupa sustava Office 365

Suradnici: Draženka Anić
zadnje ažuriranje 6 studenog 2017.

Korisnici jednostavno mogu stvarati grupe sustava Office 365, pa nećete biti zatrpani zahtjevima za stvaranje grupa u ime drugih osoba. No možda ćete, ovisno o vrsti tvrtke koju vodite, htjeti sami odrediti koje osobe mogu stvarati grupe. Zašto to učiniti?

U ovom je članku objašnjeno kako onemogućiti stvaranje grupa na svim servisima sustava Office 365 koji koriste grupe:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: timove neće moći stvarati ni administratori ni korisnici.

  • StaffHub: timove neće moći stvarati ni administratori ni voditelji.

  • Planner: korisnici neće moći stvoriti plan.

Najbolji način da to učinite jest da stvorite sigurnosnu grupu i da samo osobama u toj grupi omogućite stvaranje grupa i timova sustava Office 365 u navedenim aplikacijama. Ovaj članak sadrži upute za taj postupak.

Da biste odredili tko može stvarati grupe sustava Office 365, koristite Windows PowerShell – komponentu koja se temelji na sličnim načelima kao i naredbeni redak C:\ u starom DOS okruženju. Ako još niste koristili komponentu PowerShell, ovaj je članak sjajan uvod u njezino korištenje. Objasnit ćemo vam sve što trebate učiniti korak po korak.

Važne informacije prije početka

  • Naredbe komponente PowerShell u ovom članku služe isključivo za promjenu osoba koje mogu stvarati grupe sustava Office 365. One neće utjecati na ostatak vašeg okruženja sustava Office 365.

  • Postupak u ovom članku u svojoj tvrtki ili ustanovi provedite samo jednom za jednu sigurnosnu grupu. Ako ga pokušate ponovno provesti za drugu sigurnosnu grupu, prikazat će vam se sljedeća pogreška:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Provedbom postupka u ovom članku članovima s ulogama navedenim u nastavku nećete onemogućiti stvaranje grupa sustava Office 365 u centru za administratore sustava Office 365. No tim ćete im postupkom onemogućiti stvaranje grupa sustava Office 365 u aplikacijama, kao i stvaranje timova (jer stvaranje timova nije moguće u centru za administratore sustava Office 365).

    • Globalni administratori sustava Office 365

    • Administrator poštanskog sandučića

    • Partner s podrškom 1. razine

    • Partner s podrškom 2. razine

    • Osobe koje unose podatke u direktorije

    Ako imate jednu od tih uloga, možete stvoriti grupu sustava Office 365 za ograničene korisnike i zatim korisniku dodijeliti vlasništvo nad grupom.

  • Da biste ograničili korisnike koji mogu stvarati grupe sustava Office 365, obavezno koristite sigurnosnu grupu, kao što je opisano u 1. koraku ovog članka. Nemojte za to koristiti grupu sustava Office 365. Ako pokušate koristiti grupu sustava Office 365, članovi neće moći stvoriti grupu iz sustava SharePoint jer će SharePoint tražiti sigurnosnu grupu.

  • Postavka  Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True omogućuje samo davanje korisničkih dozvola za stvaranje sigurnosnih grupa, ne i grupa sustava Office 365. Dodatne informacije o tom cmdletu potražite u članku Set-Msolcompanysettings.

  • Pretpostavimo da ste slijedili upute u ovom članku i određenim osobama dopustili stvaranje grupe sustava Office 365. No te osobe iz nekog razloga i dalje ne mogu stvoriti grupu sustava Office 365 pomoću programa Outlook. Provjerite nisu li te osobe blokirane na temelju pravilnika poštanskog sandučića OWA. Taj pravilnik sadrži dodatne kontrole za blokiranje stvaranja grupa sustava Office 365 pomoću programa Outlook.

Instalacija verzije za pretpregled modula Azure Active Directory za Windows PowerShell

VAŽNO: za postupke u ovom članku potrebna je verzija PREVIEW modula Modul Azure Active Directory za Windows PowerShell, točnije verzija 2.0.0.137 or later. modula AzureADPreview

Preporučujemo da uvijek budete ažurni: prije pokretanja naredbi ljuske PowerShell deinstalirajte staru verziju modula AzureADPreview i nabavite najnoviju.

  1. Otvorite Windows PowerShell kao administrator:

    1. U traku za pretraživanje upišite Windows PowerShell.

    2. Desnom tipkom miša kliknite Windows PowerShell i odaberite Pokreni kao administrator.

      Otvorite PowerShell u načinu "Pokreni kao administrator".

    Otvorit će se prozor komponente Windows PowerShell. Ako vam se prikaže upit C:\Windows\system32, znači da ste otvorili kao administrator.

    Kako PowerShell izgleda prilikom prvog otvaranja.

  2. Da biste deinstalirali prethodnu verziju modula AzureADPreview, pokrenite ovu naredbu:

    Uninstall-Module AzureADPreview
  3. Da biste instalirali najnoviju verziju modula AzureADPreview, pokrenite ovu naredbu:

    Install-Module AzureADPreview

    Kada se prikaže poruka o nepouzdanom spremištu, upišite Y. Instalacija novog modula potrajat će približno jednu minutu.

1. korak: stvaranje sigurnosne grupe za korisnike koji moraju stvoriti grupu sustava Office 365

Upravljanje dozvolama za stvaranje grupa sustava Office 365 moguće je samo iz jedne sigurnosne grupe u tvrtki ili ustanovi. No dostupna vam je mogućnost ugnježđivanja drugih sigurnosnih grupa kao članova te grupe. Na primjer, grupa naziva Omogući stvaranje grupe određena je kao sigurnosna grupa, a grupe naziva Korisnici sustava Microsoft Planner i Korisnici sustava Exchange Online članovi su te grupe.

  1. U centru za administratore sustava Office 365 stvorite grupu vrste Sigurnosna grupa. Zapamtite naziv grupe! Trebat će vam kasnije.

    Stvorite grupu sustava Office 365 u centru za administratore.

  2. Dodajte osobe ili druge sigurnosne grupe kojima želite omogućiti stvaranje grupa sustava Office 365 u svojoj tvrtki ili ustanovi.

Detaljne upute potražite u članku Stvaranje, uređivanje ili brisanje sigurnosne grupe u centru za administratore sustava Office 365.

2. korak: pokretanje naredbi komponente PowerShell

Najčešće su pogreške nepostojanje modula pretpregleda i pravopisne pogreške. Umjesto upisivanja, kopirajte i zalijepite naredbe i primjere iz ovog članka. Prije pokretanja naredbe možete se po njoj kretati pomoću tipki sa strelicom lijevo i desno, dok se pomoću tipki sa strelicom gore i dolje možete pomicati unatrag po prethodnim naredbama. Ako pogriješite, prikazat će vam se crveni tekst s upozorenjem da je došlo do pogreške. Pokušajte ponovno upisati naredbu. Ako zapnete, nazovite nas!

Postupak je zadnji put testiran i odobren 6. studenog 2017.

  1. Ako to još niste učinili, na računalu otvorite prozor komponente Windows PowerShell (nema veze radi li se o uobičajenom prozoru komponente Windows PowerShell ili onom koji ste otvorili odabirom naredbe Pokreni kao administrator).

  2. Pokrenite sljedeće naredbe. Nakon svake naredbe pritisnite Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    Na zaslonu Prijavite se na račun koji će se otvoriti unesite račun za administratora sustava Office 365 i lozinku da biste se povezali sa servisom, a zatim kliknite Prijava.

    Unesite vjerodajnice za Office 365
  3. Pronađite naziv svoje sigurnosne grupe iz 1. koraka pomoću sljedeće sintakse:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Ja sam, primjerice, svoju grupu nazvao AllowedtoCreateGroups. Stoga bih pokrenuo sljedeću naredbu:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Ta će naredba prikazati svojstva moje sigurnosne grupe AllowedtoCreateGroups.

    Grupiranje informacija putem komponente Azure AD PowerShell

    Vidi se da je vrijednost svojstva ObjectID moje grupe AllowedtoCreateGroups afc88... Ne morate zapisivati ObjectID svoje sigurnosne grupe, no u kasnijoj fazi postupka morat ćete ga prepoznati.

  4. Pokrenite sljedeću naredbu:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Pokrenite sljedeću naredbu:

    $Setting = $Template.CreateDirectorySetting()
  6. Pokrenite sljedeću naredbu:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Ako vam se prikaže slična pogreška, prijeđite na 7. korak. Ta poruka o pogrešci znači da ne morate obaviti 6. korak.

    Ako vam se prikaže poruka o pogrešci, prijeđite na sedmi korak.

    U suprotnom će nakon uspješnog završetka cmdlet vratiti ID novog objekta postavki.

  7. Pokrenite sljedeću naredbu:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Pokrenite sljedeću naredbu:

    $Setting["EnableGroupCreation"] = $False
  9. Koristite sljedeću sintaksu:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Ja sam, primjerice, svoju grupu nazvao AllowedtoCreateGroups, stoga moram pokrenuti sljedeću naredbu:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Pokrenite sljedeću naredbu:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Da biste bili sigurni da sigurnosna grupa MOŽE stvarati grupe, a da ostali korisnici u tvrtki ili ustanovi ne mogu to činiti, pokrenite sljedeću naredbu:

    (Get-AzureADDirectorySetting).Values

    Rezultat bi trebao izgledati ovako (ali s ID vrijednošću vaše sigurnosne grupe – ovdje je morate prepoznati):

    Ovako će postavke izgledati kada završite.

    Samo članovi sigurnosne grupe AllowedtoCreateGroups (Afc88abb.....) mogu stvarati grupe. Nitko drugi ne može stvarati grupe, što je određeno postavkom svojstva EnableGroupCreation = False.

3. korak: provjera

  1. Prijavite se u Office 365 pomoću korisničkog računa osobe koja NE BI SMJELA imati mogućnost stvaranje grupa. Dakle, upotrijebite korisnički račun osobe koja nije član sigurnosne grupe koju ste stvorili.

  2. Odaberite pločicu Planner.

  3. U alatu Planner odaberite Novi plan da biste stvorili plan.

    Na servisu Planner odaberite Novi plan.

  4. Trebali biste vidjeti poruku da ne možete stvoriti plan:

    Poruka da nije moguće stvoriti plan.

Što učiniti ako postavka ne funkcionira?

Provjerite nije li osoba blokirana na temelju pravilnika poštanskog sandučića OWA.

Ako time ne riješite problem, nazovite nas da bismo vam pomogli.

Uklanjanje ograničenja za stvaranje grupa

Pretpostavimo da nakon nekog vremena poželite ukloniti ograničenje koje ste postavili za stvaranje grupa. Pokrenite sljedeću naredbu:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Dodatne informacije o upravljanju grupama

Svaki korisnik sustava Office 365 prema zadanim postavkama može stvarati grupe sustava Office 365:

  • Svaki korisnik može stvoriti do 250 grupa sustava Office 365.

  • Administratorima sustava Office 365 nije ograničeno koliko grupa sustava Office 365 mogu stvoriti.

  • Zadani maksimalni broj grupa sustava Office 365 koje tvrtka ili ustanova sa sustavom Office 365 može imati trenutno iznosi 500 000, no taj se broj na zahtjev može i povećati. Dodatne informacije o ograničenjima grupa sustava Office 365 potražite u članku Grupe sustava Office 365 – pomoć za administratore.

Neki servisi sustava Office 365zahtijevaju mogućnost stvaranja grupa sustava Office 365 za određene funkcije. Kada, primjerice, stvorite plan pomoću alata Microsoft Planner, grupa se stvara automatski. To znači da korisnici prilikom eksperimentiranja sa stvaranjem planova slučajno mogu stvoriti mnoštvo grupa.

Zbog toga ćete možda poželjeti strože kontrolirati stvaranje grupa sustava Office 365 i postaviti ograničenja za korisnike koji te grupe mogu stvarati, odnosno stvaranje grupa omogućiti samo korisnicima servisa sustava Office 365 koji zahtijevaju stvaranje grupa sustava Office 365.

Napomena : Imajte na umu da unatoč tome što možete odrediti koji će korisnici moći stvarati grupe sustava Office 365 ne možete utjecati na pravo svih licenciranih korisnika da sudjeluju u grupnim aktivnostima, kao što su stvaranje zadataka u alatu Planner ili odgovaranje na razgovore u programu Outlook.

Ako ste već stvorili objekt postavki grupe i želite promijeniti vrijednost postavke (primjerice odrediti drugu grupu), upotrijebite sljedeći postupak.

  1. Otvorite prozor komponente Windows PowerShell na računalu pa pokrenite sljedeću naredbu:

    Import-Module AzureADPreview
    Connect-AzureAD

    Na zaslonu Prijavite se na račun koji će se otvoriti unesite vjerodajnice za povezivanje sa servisom pa kliknite Prijava.

    Unesite vjerodajnice za Office 365
  2. Kada se povežete sa servisom sustava Office 365, najprije morate stvoriti referencu na objekt postavki grupe koji sadrži postavke konfiguracije. Da biste to učinili, trebat će vam ObjectId tog objekta. Ako ne znate ObjectId, možete ga potražiti upisivanjem i pokretanjem sljedećeg cmdleta:

    Get-AzureADDirectorySetting

    Time će vam se prikazati trenutni objekt postavki grupe zajedno sa svojstvom ObjectId.

    Primjer vrijednosti koje se mogu pojaviti Pronalaženje objekta postavki grupe
  3. Kada pronađete ObjectID za objekt postavki grupe, upotrijebite ga da biste odabrali objekt postavki grupe koji sadrži vaše postavke. Upišite i pokrenite sljedeći cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Upotrijebiti možete ObjectId prikazan na slici iznad

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Vratit ćete se na naredbeni redak u modulu servisa Azure Active Directory.

  4. Kada odaberete objekt postavki grupe, upišite i pokrenite sljedeću naredbu da biste provjerili trenutne vrijednosti konfiguracije:

    $setting.values
    Snimka zaslona s popisom trenutnih vrijednosti konfiguracije

    Ta će naredba prikazati vrijednosti postavke za objekt postavki grupe te vas vratiti na naredbeni redak u modulu servisa Azure Active Directory. U gornjem primjeru GroupCreationAllowedGroupId označava broj članova sigurnosne grupe 1f8f32... koji mogu stvarati grupe. Budući da je EnableGroupCreation = "False", nitko u tvrtki ne može stvarati grupe.

  5. Sada možete unositi specifične promjene vrijednosti postavke grupe. Ako se, primjerice, želite premjestiti na drugu grupu da biste omogućili stvaranje grupa, upotrijebite sljedeći cdmlet:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Promijenimo, primjerice, grupu AllowedtoCreateGroups koju smo prethodno postavili u drugu grupu koju smo stvorili pomoću svojstva ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Kada konfigurirate postavke, vratit ćete se na naredbeni redak u modulu servisa Azure Active Directory.

  6. Kada konfigurirate nove postavke, možete ih primijeniti izravno na objekt postavki grupe tako da upišete i pokrenete sljedeću naredbu:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Koristite, primjerice, ObjectID objekta postavki grupe koji uređujemo:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Vratit ćete se na naredbeni redak u modulu servisa Azure Active Directory.

  7. Da biste provjerili jesu li postavke grupe ažurirane, pokrenite cmdlet $settings.values i provjerite vrijednosti.

    Objekt postavki grupe s promijenjenom vrijednosti

    Imajte na umu da je postavka GroupCreationAllowedGroupId promijenjena na vašu novu grupu.

Povezani članci

Početak rada s komponentom Office 365 PowerShell
Konfiguracija postavki za grupe sustava Office 365 na servisu Azure AD
Članak na blogu: Cmdleti za konfiguraciju postavki grupe na servisu Azure Active Directory Cmdleti servisa Azure Active Directory – MSDN

Proširite svoje vještine
Istražite osposobljavanje

Jesu li vam ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×