Gestire chi può creare gruppi di Office 365

Collaboratori: Diane Faigel
Ultimo aggiornamento: 6 novembre 2017

Gli utenti possono creare gruppi di Office 365 con molta facilità, quindi gli amministratori non vengono inondati di richieste di crearli per conto di altre persone. Tuttavia, a seconda dei requisiti aziendali, può essere opportuno controllare chi è autorizzato a creare gruppi. Perché?

Questo articolo spiega come impedire la creazione di gruppi in tutti i servizi di Office 365 che usano i gruppi:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: né gli amministratori né gli utenti potranno creare team.

  • StaffHub: né gli amministratori né i manager potranno creare team.

  • Planner: gli utenti non potranno creare piani.

Il modo migliore per ottenere questo risultato consiste nel creare un gruppo di sicurezza e quindi consentire solo alle persone che fanno parte di questo gruppo di creare gruppi di Office 365 e team in queste app. Questo articolo illustra la procedura nel dettaglio.

Per controllare chi può creare gruppi di Office 365, è necessario usare Windows PowerShell, che funziona in modo molto simile all'immissione di comandi nel prompt C:\ nel vecchio ambiente DOS. Per chi non ha mai usato PowerShell, questo articolo è un'ottima introduzione per iniziare a usarlo. Verranno descritti i passaggi dettagliati necessari.

Cosa occorre sapere prima di iniziare

  • I comandi di PowerShell descritti in questo articolo permettono solo di cambiare gli utenti autorizzati a creare gruppi di Office 365. Non influiscono sulle altre parti dell'ambiente di Office 365.

  • I passaggi descritti in questo articolo possono essere applicati una sola volta nell'organizzazione, per un solo gruppo di sicurezza. Se si tenta di applicarli di nuovo per un altro gruppo di sicurezza, si riceverà un errore simile al seguente:

    A conflicting object with one or more of the specified property values is present in the directory.
  • I passaggi contenuti in questo articolo non impediscono ai membri dei ruoli seguenti di creare Gruppi di Office 365 nell'Interfaccia di amministrazione di Office 365. Tuttavia impediscono loro di creare Gruppi di Office 365 dalle app e di creare team, in quanto non è possibile creare team nell'Interfaccia di amministrazione di Office 365.

    • Amministratori globali di Office 365

    • Amministratore delle cassette postali

    • Supporto partner - Livello 1

    • Supporto partner - Livello 2

    • Ruoli con autorizzazioni di scrittura nella directory

    I membri di ognuno di questi ruoli possono creare Gruppi di Office 365 per utenti con restrizioni e quindi assegnare l'utente come proprietario del gruppo.

  • È importante usare un gruppo di sicurezza, come descritto nel passaggio 1 di questo articolo, per limitare le persone autorizzate a creare gruppi di Office 365. Non provare a usare un gruppo di Office 365 a questo scopo. Se si prova a usare un gruppo di Office 365, i membri non saranno in grado di creare un gruppo da SharePoint, che verificherà infatti che il gruppo sia un gruppo di sicurezza.

  • L'impostazione Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True assegna agli utenti solo le autorizzazioni per creare gruppi di sicurezza, non gruppi di Office 365. Per altre informazioni su questo cmdlet, vedere Set-Msolcompanysettings.

  • Supponiamo di eseguire i passaggi descritti in questo articolo per concedere ad alcuni utenti la possibilità di creare Gruppi di Office 365. Per qualche motivo però questi utenti non riescono ancora a creare un gruppo di Office 365 tramite Outlook. Controllare che gli utenti non siano bloccati dai rispettivi criteri delle cassette postali OWA. Questi criteri forniscono ulteriori controlli per impedire la creazione di gruppi di Office 365 tramite Outlook.

Installare la versione in anteprima di Modulo di Azure Active Directory per Windows PowerShell

IMPORTANTE: Le procedure descritte in questo articolo richiedono la versione ANTEPRIMA di Modulo di Azure Active Directory per Windows PowerShell, in particolare il modulo AzureADPreview versione 2.0.0.137 or later..

È consigliabile avere sempre la versione più aggiornata: disinstallare la versione precedente di AzureADPreview e ottenere quella più recente prima di eseguire i comandi di PowerShell.

  1. Aprire Windows PowerShell come amministratore:

    1. Nella barra di ricerca digitare Windows PowerShell.

    2. Fare clic con il pulsante destro del mouse su Windows PowerShell e quindi scegliere Esegui come amministratore.

      Aprire PowerShell con "Esegui come amministratore".

    Si apre la finestra Windows PowerShell. Il prompt C:\Windows\system32 indica che è stato aperto come amministratore.

    Qual è l'aspetto di PowerShell quando si apre per la prima volta.

  2. Per disinstallare una versione precedente di AzureADPreview, eseguire questo comando:

    Uninstall-Module AzureADPreview
  3. Per installare l'ultima versione di AzureADPreview, eseguire questo comando:

    Install-Module AzureADPreview

    Quando viene visualizzato un messaggio relativo a un repository non attendibile, digitare Y. L'installazione del nuovo modulo richiederà circa un minuto.

Passaggio 1: Creare un gruppo di sicurezza per gli utenti che devono creare Gruppi di Office 365

Nell'organizzazione è possibile usare un solo gruppo di sicurezza per determinare gli utenti a cui consentire la creazione di Gruppi di Office 365. Tuttavia, è possibile annidare altri gruppi di sicurezza come membri del gruppo. Ad esempio, il gruppo denominato Consenti creazione gruppi è il gruppo di sicurezza designato e i gruppi Utenti di Microsoft Planner e Utenti di Exchange Online sono membri di questo gruppo.

  1. Nell'Interfaccia di amministrazione di Office 365 creare un gruppo di tipo Gruppo di sicurezza. Ricordare il nome del gruppo. Questo nome sarà necessario in un secondo momento.

    Creare un gruppo di sicurezza nell'interfaccia di amministrazione.

  2. Aggiungere persone o altri gruppi di sicurezza che dovranno essere in grado di creare gruppi di Gruppi di Office 365 nell'organizzazione.

Per istruzioni dettagliate, vedere Creare, modificare o eliminare un gruppo di sicurezza nell'interfaccia di amministrazione di Office 365.

Passaggio 2: Eseguire i comandi di PowerShell

Gli errori più comuni sono l'assenza del modulo di anteprima e gli errori di digitazione. Invece di digitare ogni comando, copiare e incollare i comandi e gli esempi forniti in questo articolo. È possibile usare le frecce di direzione a sinistra e a destra per spostarsi in un comando prima di eseguirlo e quelle in alto e in basso per tornare a scorrere i comandi precedenti. In caso di errore, verrà visualizzato testo in rosso che indica che si è verificato un errore. Provare a digitare di nuovo il comando. In caso di problemi, è possibile chiamare Microsoft!

Questi passaggi sono stati testati e verificati l'ultima volta il 6 novembre 2017.

  1. Se non è già aperta, aprire una finestra Windows PowerShell nel computer. Non importa se è una finestra Windows PowerShell normale o una aperta selezionando Esegui come amministratore.

  2. Eseguire i comandi seguenti. Premere INVIO dopo ogni comando.

    Import-Module AzureADPreview
    Connect-AzureAD

    Nella schermata Accedi al tuo account visualizzata immettere l'account di amministrazione e la password di Office 365 per connettersi al servizio e fare clic su Accedi.

    Immettere le credenziali di Office 365
  3. Individuare il nome del gruppo di sicurezza dal passaggio 1 usando la sintassi seguente:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Ad esempio, il gruppo è stato denominato CreazioneGruppiConsentita. Di conseguenza, sarà necessario eseguire:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Questo comando visualizzerà le proprietà del gruppo di sicurezza CreazioneGruppiConsentita.

    Informazioni sul gruppo tramite Azure AD PowerShell

    Come si può osservare, il valore della proprietà ObjectID del gruppo CreazioneGruppiConsentita è afc88... Non è necessario scrivere il valore di ObjectID del gruppo di sicurezza, ma sarà necessario riconoscerlo in un passaggio successivo.

  4. Eseguire il comando:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Eseguire il comando:

    $Setting = $Template.CreateDirectorySetting()
  6. Eseguire il comando:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Se viene visualizzato un messaggio di errore simile a questo, andare al passaggio 7. Il messaggio di errore indica che non è necessario eseguire il passaggio 6.

    Se viene visualizzato un messaggio di errore, andare al passaggio 7.

    Altrimenti, dopo il completamento senza errori, il cmdlet restituisce l'ID del nuovo oggetto impostazioni.

  7. Eseguire il comando:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Eseguire il comando:

    $Setting["EnableGroupCreation"] = $False
  9. Usare questa sintassi:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Ad esempio, poiché il gruppo è stato denominato CreazioneGruppiConsentita, sarà necessario eseguire questo comando.

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Eseguire il comando:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Per verificare che il gruppo di sicurezza POSSA creare gruppi e che gli altri utenti dell'organizzazione non possano, eseguire questo comando:

    (Get-AzureADDirectorySetting).Values

    Il risultato dovrebbe essere simile al seguente, ma con il valore di ID per il gruppo di sicurezza. È questo il punto in cui è necessario riconoscere l'ID:

    Al termine, le impostazioni avranno questo aspetto.

    Solo i membri del gruppo di sicurezza CreazioneGruppiConsentita (Afc88abb.....) possono creare gruppi. Nessun altro può farlo, come indicato da EnableGroupCreation = False.

Passaggio 3: Verificare il funzionamento del comando

  1. Accedere a Office 365 con un account utente di qualcuno che NON dovrebbe essere in grado di creare gruppi, ovvero un utente che non è membro del gruppo di sicurezza creato.

  2. Scegliere il riquadro Planner.

  3. In Planner scegliere Nuovo piano per creare un piano.

    In Planner scegliere Nuovo piano.

  4. Dovrebbe essere visualizzato un messaggio indicante che non è possibile creare un piano:

    Messaggio indicante che non è possibile creare un piano.

Che cosa fare se il comando non ha funzionato

Controllare che gli utenti non siano bloccati dai rispettivi criteri delle cassette postali OWA.

Se il problema non si risolve, chiamare Microsoft per assistenza.

Rimuovere la limitazione relativa a chi può creare gruppi

Si supponga di voler rimuovere il limite specificato per gli utenti a cui consentire o meno la creazione di gruppi. Eseguire questo comando:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Altre informazioni sulla gestione dei gruppi

Tutti gli utenti di Office 365 possono creare Gruppi di Office 365 per impostazione predefinita:

  • Gli utenti possono creare fino a 250 Gruppi di Office 365 ciascuno.

  • Gli amministratori di Office 365 non hanno limiti riguardo al numero di Gruppi di Office 365 che possono creare.

  • Il numero massimo predefinito di Gruppi di Office 365 che può avere un'organizzazione di Office 365 è attualmente 500.000, ma può essere aumentato su richiesta. Per altre informazioni sui limiti relativi ai gruppi di Office 365, vedere Gruppi di Office 365 - Guida dell'interfaccia di amministrazione.

Per diversi servizi di Office 365è necessario essere in grado di creare Gruppi di Office 365 per funzioni specifiche. Ad esempio, viene automaticamente creato un gruppo alla creazione di un piano con Microsoft Planner. Questo significa che gli utenti possono inavvertitamente creare molti gruppi mentre provano a creare piani.

Potrebbe essere necessario applicare un maggiore controllo alla creazione di gruppi di Office 365, facendo in modo che possano essere creati solo dagli utenti dei servizi di Office 365 che devono poterli creare.

Nota : Benché sia possibile determinare quali utenti possono creare Gruppi di Office 365, questo non influisce sulla possibilità di tutti gli utenti con licenza di partecipare alle attività dei gruppi, ad esempio la creazione di attività in Planner o la risposta a conversazioni in Outlook.

Se in precedenza è stato creato un oggetto impostazioni di un gruppo ed è necessario modificare il valore per un'impostazione, ad esempio specificare un gruppo diverso, è possibile usare la procedura seguente.

  1. Aprire una finestra di Windows PowerShell nel computer ed eseguire il comando seguente:

    Import-Module AzureADPreview
    Connect-AzureAD

    Nella schermata Accedi al tuo account visualizzata immettere le credenziali per connettersi al servizio e fare clic su Accedi.

    Immettere le credenziali di Office 365
  2. Dopo aver stabilito la connessione al servizio di Office 365, prima di tutto è necessario fare riferimento all'oggetto impostazioni del gruppo che contiene le impostazioni di configurazione. A questo scopo, sarà necessario il valore di ObjectId per l'oggetto. Se non si conosce questo valore, è possibile cercarlo digitando o immettendo il cmdlet seguente:

    Get-AzureADDirectorySetting

    Verrà visualizzato l'oggetto impostazioni del gruppo corrente, incluso il valore di ObjectId.

    Esempio dei possibili valori visualizzati Trovare l'oggetto impostazioni di un gruppo
  3. Dopo aver trovato il valore di ObjectID per l'oggetto impostazioni del gruppo, è possibile usarlo per selezionare l'oggetto impostazioni del gruppo che contiene le impostazioni. Digitare e immettere il cmdlet seguente:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Ad esempio, usando il valore di ObjectId nella figura sopra

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Si verrà reindirizzati a un prompt nel modulo di Microsoft Azure Active Directory

  4. Dopo aver selezionato l'oggetto impostazioni del gruppo, è necessario controllare i valori di configurazione correnti digitando e immettendo il comando seguente:

    $setting.values
    Screenshot dell'elenco dei valori di configurazione correnti

    Verranno visualizzati i valori delle impostazioni per l'oggetto impostazioni del gruppo e si verrà reindirizzati a un prompt nel modulo di Microsoft Azure Active Directory. Nell'esempio riportato sopra, GroupCreationAllowedGroupId indica che i membri del gruppo di sicurezza 1f8f32... possono creare gruppi. E poiché EnableGroupCreation = "False", nessun altro utente della società può creare gruppi.

  5. È ora possibile apportare modifiche specifiche ai valori delle impostazioni del gruppo. Ad esempio, è possibile usare il cmdlet seguente se si vuole puntare a un gruppo diverso per consentire la creazione di gruppi:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Ad esempio, è possibile passare dal gruppo CreazioneGruppiConsentita impostato in precedenza a un gruppo diverso creato con ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Dopo aver configurato le impostazioni, si verrà reindirizzati a un prompt nel modulo di Microsoft Azure Active Directory.

  6. Dopo aver configurato le nuove impostazioni, è possibile applicarle direttamente all'oggetto impostazioni del gruppo digitando e immettendo il comando seguente:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Ad esempio, usando il valore di ObjectID dell'oggetto impostazioni del gruppo modificato:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Si verrà reindirizzati a un prompt nel modulo di Microsoft Azure Active Directory

  7. È possibile verificare che le impostazioni del gruppo siano state aggiornate eseguendo il cmdlet $settings.values e verificando i valori.

    Oggetto impostazioni del gruppo con valore modificato

    Si noti che l'impostazione GroupCreationAllowedGroupId è stata modificata in base al nuovo gruppo.

Articoli correlati

Guida introduttiva a PowerShell di Office 365
Configurazione delle impostazioni per Gruppi di Office 365 in Azure AD
Post di blog: Cmdlet di Azure Active Directory per la configurazione delle impostazioni dei gruppi Cmdlet di Azure Active Directory - MSDN

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×