Az Office 365-csoportok létrehozására jogosultak körének kezelése

Közreműködők: Diane Faigel
Legutóbbi frissítés: 2017. november 6.

Mivel az Office 365-ös csoportok létrehozása roppant egyszerű, nem szükséges Önnek létrehoznia őket a felhasználók helyett. A vállalata igényeitől függően azonban szükség lehet annak kezelésére, hogy ki tudjon csoportokat létrehozni. Miért van erre szükség?

Ez a cikk bemutatja, hogyan szabályozható a csoportok létrehozására jogosult felhasználók köre a csoportokat használó Office 365-szolgáltatásokban:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: A rendszergazdák és a felhasználók ugyanúgy nem fognak tudni csoportokat létrehozni.

  • StaffHub: A rendszergazdák és a vezetők ugyanúgy nem fognak tudni csoportokat létrehozni.

  • Planner: A felhasználók nem fognak tudni tervet létrehozni.

A legjobb megoldás az, ha létrehoz egy biztonsági csoportot, majd csak a biztonsági csoportban lévő személyeknek engedélyezi az Office 365-ös csoportok létrehozását ezekben az appokban. Ez a cikk végigvezeti ezen az eljáráson.

Az Office 365-csoportok létrehozására jogosultak körét a Windows PowerShellt használva tudja szabályozni. A Powershell nagyon hasonlít a régi DOS-os környezethez, ahol a parancsokat a C:\ parancssorba kellett beírni. Ha még soha nem használta, akkor ezzel a feladattal ideális elkezdeni alkalmazását. Lépésről lépésre végigmegyünk a teendőkön.

Előzetes tudnivalók

  • A cikkben bemutatott PowerShell-parancsok csak arra vannak hatással, hogy kik hozhatnak létre Office 365-csoportokat. Az Office 365-környezet más területeit nem befolyásolják.

  • A cikkben leírt lépések egy adott szervezeten belül csak egyszer hajthatók végre, egy biztonsági csoport vonatkozásában. Ha megpróbálja még egyszer végrehajtani egy másik csoport vonatkozásában, akkor az alábbi hibaüzenetet fogja küldeni a rendszer:

    A conflicting object with one or more of the specified property values is present in the directory.
  • A cikkben ismertetett lépések végrehajtása nem fogja megakadályozni az alábbi szerepköröket ellátó felhasználókat abban, hogy Office 365-csoportokat hozzanak létre az Office 365 Felügyeleti központban. Ugyanakkor azt meg fogja akadályozni, hogy Office 365-csoportokat hozzanak létre az appokban, illetve a csapatok létrehozását is meggátolja (mivel nem lehet csapatot létrehozni az Office 365 Felügyeleti központban).

    • Office 365 globális rendszergazdák

    • Postaláda-rendszergazda

    • 1. szintű partnertámogató

    • 2. szintű partnertámogató

    • Címtárírók

    Ha Ön a felsorolt szerepkörök valamelyikét betöltő felhasználók közét tartozik, akkor létrehozhat a felhasználók bizonyos körét magukba foglaló Office 365-csoportokat, majd kinevezheti a felhasználó(ka)t a csoport tulajdonosának.

  • Fontos, hogy a cikk 1. lépését pontosan követve biztonsági csoportot használjon az Office 365-ös csoportok létrehozásának korlátozásához. Ne kíséreljen meg Office 365-ös csoportot használni erre a célra. Ha ugyanis Office 365-ös csoportot használ, a tagok nem fognak tudni csoportot létrehozni a SharePointból, mivel az biztonsági csoportot keres.

  • A Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True parancsmag használata csak biztonsági csoportok létrehozására jogosítja fel a felhasználókat, nem pedig Office 365-ös csoportok létrehozására. Erről a parancsmagról bővebben a Set-Msolcompanysettings című témakörben tájékozódhat.

  • Ha végrehajtja a cikkben leírt lépéseket, és néhány személyt felruház az Office 365-csoportok létrehozásának képességével, de valamiért továbbra sem tudnak Office 365-ös csoportokat létrehozni az Outlookból, akkor ellenőrizze, hogy nem akadályozza-e ebben őket egy rájuk vonatkozó Outlook Web App postaláda-házirend. Ez további korlátozásként megakadályozhatja az Office 365-ös csoportok Outlookkal való létrehozását.

A Windows PowerShellhez készült Azure Active Directory modul előzetes verziójának telepítése

FONTOS: Az ebben a cikkben ismertetett eljárásokhoz szükséges az Windows PowerShellhez készült Azure Active Directory modulELŐZETES verziója, konkrétabban a következő: AzureADPreview modul, 2.0.0.137 or later.

Bevált gyakorlatként azt javasoljuk, hogy mielőtt PowerShell-parancsokat futtat, mindig telepítse a legújabb kiadást: távolítsa el az AzureADPreview régi verzióját, és töltse le a legújabbat.

  1. Indítsa el a Windows PowerShellt rendszergazdaként:

    1. Írja be a keresősávba a Windows PowerShell nevet.

    2. Kattintson a jobb gombbal a Windows PowerShell ikonjára, és válassza a Futtatás rendszergazdaként parancsot.

      A PowerShell megnyitása a „Futtatás rendszergazdaként” paranccsal.

    Megnyílik a Windows PowerShell ablak. Ha a parancssorban a C:\Windows\system32 elérési út látható, az azt jelenti, hogy rendszergazdaként nyitotta meg.

    A PowerShell megjelenése az első megnyitáskor.

  2. A következő paranccsal távolíthatja el az AzureADPreview egy korábbi verzióját:

    Uninstall-Module AzureADPreview
  3. A következő paranccsal telepítheti az AzureADPreview legújabb verzióját:

    Install-Module AzureADPreview

    Amikor megjelenik a nem megbízható adattárra utaló üzenet, nyomja le az Y (vagy az I) billentyűt. Az új modul telepítése körülbelül egy perc alatt megy végbe.

1. lépés: Office 365-csoportok létrehozására jogosult felhasználók biztonsági csoportjának létrehozása

A szervezeten belül egyetlen biztonsági csoport használható annak felügyeletére, hogy ki hozhat létre Office 365-csoportokat. Ugyanakkor tagként más biztonsági csoportokat is beágyazhat ebbe a csoportba. Például, ha az „Allow Group Creation” (Csoport létrehozása megengedve) a kinevezett csoport, a „Microsoft Planner-felhasználók” valamint az „Exchange Online-felhasználók” csoportok tagjai lehetnek ennek a csoportnak.

  1. Az Office 365 Felügyeleti központban hozzon létre egy Biztonsági csoport típusú csoportot. A csoport nevét jegyezze meg. Később szüksége lesz rá.

    Hozzon létre egy biztonsági csoportot a Felügyeleti központban.

  2. Vegye fel a csoportba azokat a személyeket vagy más biztonsági csoportokat, akiknek a szervezeten belül engedélyezni szeretné az Office 365-csoportok létrehozását.

Részletes utasításokért olvassa el a Biztonsági csoport létrehozása, szerkesztése és törlése az Office 365 Felügyeleti központban című témakört.

2. lépés: PowerShell-parancsok futtatása

Gyakran előfordul, hogy nem áll rendelkezésre az előzetes modul, vagy helytelenül írják be a parancsot. Ahelyett, hogy egyenként írja be az egyes parancsokat, másolja ki, majd illessze be a cikkben szereplő parancsokat a munkamenetbe. Egy-egy parancsban futtatás előtt a jobb és bal nyilat használva léphet előre vagy hátra, és a fel és le nyilakkal tud visszagörgetni a korábbi parancsokhoz. Ha valamit eltéveszt, egy jó adag piros színű szöveg tájékoztatja majd arról, hogy hiba történt. Ilyenkor egyszerűen próbálja meg újra beírni a parancsot. Ha elakad, hívjon minket!

Ezeket a lépéseket utoljára 2017. november 6-án ellenőriztük és teszteltük.

  1. Ha még nem nyitotta meg, nyissa meg a Windows PowerShell ablakot a számítógépén (nem számít, hogy normál Windows PowerShell ablak, vagy a Futtatás rendszergazdaként paranccsal nyitotta meg).

  2. Futtassa az alábbi parancsokat. Mindegyik parancs után nyomja le az Enter billentyűt.

    Import-Module AzureADPreview
    Connect-AzureAD

    A megjelenő Bejelentkezés a fiókba képernyőn adja meg a szolgáltatáshoz való csatlakozásra használt Office 365-ös rendszergazdai fióknevét és jelszavát, és kattintson a Bejelentkezés elemre.

    Adja meg az Office 365-ös hitelesítő adatait
  3. Keresse meg az 1. lépésben megadott biztonsági csoport nevét a következő szintaxist használva:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Például, ha a csoportnak az „AllowedtoCreateGroups” nevet adta, az alábbi parancsot kell futtatni:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Ennek hatására a rendszer megjeleníti az „AllowedtoCreateGroups” biztonsági csoport beállításait.

    Csoportadatok az Azure AD PowerShellből

    Láthatja, hogy az AllowedtoCreateGroups csoport ObjectID tulajdonságának értéke afc88.... Nem szükséges leírnia a csoport ObjectID-értékét, de a későbbi lépések egyikében fel kell majd ismernie.

  4. Futtassa ezt a parancsot:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Futtassa ezt a parancsot:

    $Setting = $Template.CreateDirectorySetting()
  6. Futtassa ezt a parancsot:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Ha az alábbihoz hasonló hibaüzenetet kap, ugorjon a 7. lépésre. A hibaüzenet azt jelzi, hogy nem szükséges végrehajtania a 6. lépést.

    Ha hibaüzenet jelenik meg, ugorjon a 7. lépésre.

    Egyéb esetben sikeres futtatás esetén a parancsmag az új beállításobjektum azonosítóját adja vissza.

  7. Futtassa ezt a parancsot:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Futtassa ezt a parancsot:

    $Setting["EnableGroupCreation"] = $False
  9. Használja a következő szintaxist:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Például, ha a csoportnak az „AllowedtoCreateGroups” nevet adta, a következő parancsot kell futtatnia:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Futtassa ezt a parancsot:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Annak biztosításához, hogy a biztonsági csoport tagjai TUDJANAK létrehozni csoportokat, de a szervezetből senki más ne tudjon, futtassa a következő parancsot:

    (Get-AzureADDirectorySetting).Values

    Az eredménynek valahogy így kell kinéznie, annyi különbséggel, hogy az ID tulajdonságnál az Ön biztonsági csoportjára vonatkozó értéket kell látnia (ez az a lépés, amelyben szükség van arra, hogy felismerje a korábbi értéket):

    A művelet elvégeztével így fognak mutatni a beállításai.

    Csak az AllowedtoCreateGroups biztonsági csoport (Afc88abb.....) tagjai tudnak csoportokat létrehozni. Senki más nem képes erre, ahogy ezt az EnableGroupCreation = False beállítás megszabta.

3. lépés: Működés ellenőrzése

  1. Jelentkezzen be az Office 365-be egy olyan felhasználói azonosítóval, amely a fentiek végrehajtása után NEM lehet képes csoportok létrehozására. Azaz egy olyan profillal, amely nem tagja a létrehozott biztonsági csoportnak.

  2. Kattintson a Planner csempére.

  3. A Plannerben az Új terv lehetőséget választva próbáljon meg létrehozni egy tervet.

    A Plannerben válassza az Új terv lehetőséget.

  4. Ha minden rendben ment, olyan üzenetet kell kapnia, hogy nem hozhat létre tervet:

    Nem létrehozható tervről szóló üzenet.

Mi a teendő, ha nem működik?

Ellenőrizze, hogy nem akadályozza-e ebben őket egy rájuk vonatkozó Outlook Web App postaláda-házirend.

Ha ezekkel a lépésekkel nem sikerül megoldani a problémát, hívjon minket.

A csoportok létrehozására vonatkozó korlátozás eltávolítása

Tegyük fel, hogy egy idő után el szeretné távolítani a korlátozást, amely megszabja, hogy ki hozhat létre csoportokat. Futtassa ezt a parancsot:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Csoportok felügyelete - további információk

Alapértelmezés szerint minden Office 365-felhasználó hozhat létre Office 365-csoportokat:

  • Az egyes felhasználók által létrehozott Office 365-csoportok száma elérheti akár a 250-et is.

  • Az Office 365-rendszergazdák által létrehozható Office 365-csoportok száma nincs korlátozva.

  • Egy Office 365-ös szervezetben az Office 365-csoportok száma alapértelmezés szerint legfeljebb 500.000 lehet, de ez a szám kérésre növelhető. Az Office 365-csoportokra vonatkozó korlátozásokkal kapcsolatban az Office 365-csoportok – rendszergazdai súgó témakörben talál további információt.

Bizonyos funkciók végrehajtásához több Office 365-szolgáltatásnak szüksége vanOffice 365-csoportok létrehozására. Például, amikor a felhasználók a Microsoft Plannert használva hoznak létre tervet, a rendszer automatikusan létrehoz egy csoportot. Ez azt jelenti, hogy a felhasználók szándékukon kívül is rengeteg csoportot létrehoznak, amikor tervek létrehozásával kísérleteznek.

Előfordulhat, hogy szeretné szigorúbban kézben tartani az Office 365-csoportok létrehozását, és szeretné, hogy az Office 365-csoportok létrehozását szükségessé tevő Office 365-szolgáltatások felhasználói közül csak azok tudjanak csoportokat létrehozni, akik számára ez megengedett.

Megjegyzés : Fontos tudni, hogy miközben Ön szabályozhatja, hogy mely felhasználók hozhatnak létre Office 365-csoportokat, a korlátozások nem befolyásolják, hogy a licenccel rendelkező felhasználók közül kik vehetnek részt olyan csoportos tevékenységekben, mint a feladatok létrehozása a Plannerben, vagy beszélgetések folytatása Outlookban.

Ha korábban létrehozott egy Csoportbeállítások-objektumot, és szeretné megváltoztatni valamelyik beállítás értékét (például egy másik csoportot kíván megadni), az alábbi eljárást használhatja.

  1. Nyisson meg egy Windows PowerShell ablakot saját számítógépén, és futtassa a következő parancsot:

    Import-Module AzureADPreview
    Connect-AzureAD

    A megjelenő Bejelentkezés a fiókba képernyőn adja meg a szolgáltatáshoz való csatlakozásra használt hitelesítő adatait, és kattintson a Bejelentkezés elemre.

    Adja meg az Office 365-ös hitelesítő adatait
  2. Az Office 365 szolgáltatáshoz történő kapcsolódás után először arra a Csoportbeállítások-objektumra kell hivatkoznia, amelyik tartalmazza a konfigurációs beállításokat. Ehhez szüksége lesz az ObjectId értékére. Ha nem ismeri az ObjectId értékét, az alábbi parancsmag futtatásával megkeresheti:

    Get-AzureADDirectorySetting

    Ennek hatására a rendszer meg fogja jeleníteni az aktuális Csoportbeállítások-objektumot, az ObjectId tulajdonság értékével együtt.

    Példa az értékekről, amelyek megjelenhetnek A Csoportbeállítások objektum keresése
  3. Ha megtalálta a Csoportbeállítások-objektumhoz tartozó ObjectID-értéket, ezt használva válassza ki a beállításokat tartalmazó Csoportbeállítás-objektumot. Írja be és futtassa az alábbi parancsmagot:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    A fenti ábrán szereplő ObjectId-értéket használva, például így:

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    A parancs futtatása után a rendszer egy Windows Azure Active Directory modulbeli parancssort ad vissza.

  4. A Csoportbeállítások-objektum kiválasztása után ellenőrizze a beállítások aktuális értékeit az alábbi parancs beírásával és futtatásával:

    $setting.values
    Képernyőkép az aktuális konfigurációs értékek listájáról

    Ennek hatására a rendszer meg fogja jeleníteni a Csoportbeállítások-objektum beállításainak értékét és a Windows Azure Active Directory modul parancsbeviteli sorát. A fenti példában a GroupCreationAllowedGroupId parancsmag megadja, hogy csak az 1f8f32... biztonsági csoport tagjai tudjanak csoportokat létrehozni. És az EnableGroupCreation = "False" beállítás miatt a szervezetből senki más nem tud csoportokat létrehozni.

  5. Most már módosíthatja a Csoportbeállításban szereplő értékeket. Ha például ki szeretne jelölni egy másik csoport arra, hogy létrehozhasson csoportokat, futtassa a következő parancsmagot:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Például módosíthatja a korábban beállított AllowedtoCreateGroups csoportot egy másik csoportra, melyet az 3054dce3-37e6-437a-a817-2363272cac1c ObjectId- értékkel hoztunk létre:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    A beállítások konfigurálása után a rendszer egy Windows Azure Active Directory modulbeli parancssort jelenít meg.

  6. Az új beállítások konfigurálása után közvetlenül a Csoportbeállítások-objektumra alkalmazhatja a beállításokat az alábbiak beírásával és futtatásával:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    A szerkesztés alatt álló Csoportbeállítások-objektum ObjectId-értéket használva, például így:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    A parancs futtatása után a rendszer egy Windows Azure Active Directory modulbeli parancssort ad vissza.

  7. A Csoportbeállítások frissítésének ellenőrzéséhez futtassa a $settings.values parancsmagot, és ellenőrizze a megjelenő értékeket.

    Csoportbeállítások objektum módosított értékkel

    Látható, hogy a GroupCreationAllowedGroupId beállítás értéke az új csoportot azonosító értékre módosult.

Kapcsolódó cikkek

Office 365 PowerShell – Első lépések
Office 365-csoportokra vonatkozó beállítások konfigurálása az Azure Active Directoryban
Blogbejegyzés: Azure Active Directory-parancsmagok csoportbeállítások konfigurálásához Azure Active Directory parancsmagokról szóló bejegyzések az MSDN oldalain

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Részvétel az Office Insider programban

Hasznos volt az információ?

Köszönjük a visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×