Galinčių kurti „Office 365“ grupes valdymas

Paskutinį kartą atnaujinta: 2018 m. birželio 11 d.

Kadangi vartotojams taip lengva kurti „Office 365“ grupes, jūsų neužverčia prašymais jas sukurti kitų asmenų vardu. Tačiau, atsižvelgdami į savo verslą, galbūt norėsite kontroliuoti, kas gali kurti grupes. Kodėl reikia tai padaryti

Šiame straipsnyje aiškinama, kaip išjungti galimybę kurti grupes visose „Office 365“ tarnybose, naudojančiose grupes:

  • „Outlook“

  • „SharePoint“

  • „Yammer“

  • „Microsoft“ komandos: ir administratoriai, ir vartotojai negalės kurti komandų.

  • „StaffHub“: ir administratoriai, ir valdytojai negalės kurti komandų.

  • „Planner“: vartotojai negalės sukurti naujo plano naudodami „Planner“ internetinę ir mobiliųjų įrenginių programėles.

  • PowerBI

Geriausias būdas tai padaryti – sukurti saugos grupę: tuomet tik saugos grupės žmonių galės kurti „Office 365“ grupes ir komandas šiose programose. Šiame straipsnyje aprašyti veiksmai.

Norėdami kontroliuoti, kas gali kurti „Office 365“ grupes, naudojate „Windows PowerShell“: tai primena komandų įvedimą senosios DOS aplinkos C:\ komandinėje eilutėje. Jei niekada nenaudojote „PowerShell“, ši užduotis yra puikus įvadas pradėti naudoti. Mes kartu aptarsime ką turite padaryti, žingsnis po žingsnio.

Ką reikia žinoti prieš pradedant

  • Norint atlikti šiame straipsnyje nurodytus veiksmus, būtina „Azure Active Directory (Azure AD) Premium“. Administratoriui, kuris konfigūruoja parametrus, ir grupių, kurioms tai turi įtakos, nariams turi būti priskirtos „Azure AD Premium“ licencijos. Daugiau informacijos žr. Darbo su „Azure Active Directory Premium“ pradžia

  • Atlikdami šiame straipsnyje nurodytus veiksmus nebandykite naudoti bendrojo prieinamumo versijos – „Azure Active Directory PowerShell for Graph“. Tai neveiks.

  • Šiame straipsnyje aprašytos „PowerShell“ komandos tik pakeičia, kas gali kurti „Office 365“ grupes. Jos neturės įtakos likusiai „Office 365“ aplinkai.

  • Šiame straipsnyje aprašytus veiksmus savo organizacijoje pritaikote tik vieną kartą, vienai saugos grupei. Jei pabandysite dar kartą jas pritaikyti kitai saugos grupei, gausite klaidos pranešimą, panašų į šį:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Šiame straipsnyje nurodyti veiksmai nesutrukdo toliau nurodytus vaidmenis turintiems nariams kurti „Office 365“ grupės dalyje „Office 365“ administravimo centras. Tačiau neleidžia kurti „Office 365“ grupės programose ir neleidžia sukurti komandų (kadangi negalite kurti komandų dalyje „Office 365“ administravimo centras).

    • „Office 365“ visuotiniai administratoriai

    • Pašto dėžučių administratorius

    • Partnerių 1-osios pakopos palaikymas

    • Partnerių 2-osios pakopos palaikymas

    • Katalogų autoriai

    Jei esate vieno iš šių vaidmenų narys, galite sukurti apribotų vartotojų „Office 365“ grupės ir tada priskirti vartotoją kaip grupės savininką.

  • Labai svarbu naudoti saugos grupę (kaip aprašyta šio straipsnio 1 veiksme) ir taip apriboti, kas gali kurti „Office 365“ grupes. Šiuo tikslu nebandykite naudoti „Office 365“ grupės. Jei bandysite naudoti „Office 365“ grupę, nariai negalės sukurti grupės naudodami „SharePoint“, nes ji ieško saugos grupės.

  • Nustačius Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True tik įgalinami leidimai vartotojams kurti saugos grupes, o ne „Office 365“ grupes. Daugiau informacijos apie šią cmdlet ieškokite Msolcompanysettings nustatymas.

  • Sakykime, kad atlikote šiame straipsnyje aprašytus veiksmus ir suteikėte kai kuriems asmenims „Office 365“ grupėskūrimo galimybę. Tačiau dėl kažkokių priežasčių jie vis dar negali kurti „Office 365“ grupės naudodami „Outlook“. Patikrinkite, ar jie nėra blokuojami taikant OWA pašto dėžutės strategiją. Ji suteikia papildomų kontrolės priemonių blokuoti „Office 365“ grupių kūrimą naudojant „Outlook“.

„Azure Active Directory PowerShell“, skirta „Graph“ peržiūros versijos diegimas

SVARBU: Negalite įdiegti peržiūros ir GA versijų tame pačiame kompiuteryje tuo pačiu metu.

Kaip geriausią praktiką, rekomenduojame visada atnaujinti: pašalinkite seną „AzureADPreview“ arba „AzureAD“ versiją ir gaukite naujausią.

  1. Atidarykite „Windows PowerShell“ administratoriaus teisėmis:

    Bus atidarytas „Windows PowerShell“ iššokantysis langas. Raginimas C:\Windows\system32 reiškia, kad atidarėte jį kaip administratorius.

    Kaip atrodo „PowerShell“ pirmą kartą ją atidarius.

    1. Ieškos juostoje įveskite Windows PowerShell.

    2. Dešiniuoju pelės mygtuku spustelėkite Windows PowerShell ir pasirinkite Paleisti administratoriaus teisėmis.

      Atidarykite „PowerShell“ pasirinkę „Paleisti kaip administratoriui“.

  2. Patikrinkite įdiegtą modulį:

    Get-InstalledModule -Name "AzureAD*"

3. Norėdami pašalinti ankstesnę „AzureADPreview“ar „AzureAD“ versiją, vykdykite šią komandą:

   Uninstall-Module AzureADPreview

arba

   Uninstall-Module AzureAD

4. Norėdami įdiegti naujausią „AzureADPreview“ versiją, vykdykite šią komandą:

   Install-Module AzureADPreview

Ties pranešimu apie nepatikimą saugyklą įveskite Y. Naujo modulio diegimas gali trukti minutę ir ilgiau.

1 veiksmas. Saugos grupės sukūrimas vartotojams, kuriems būtinas „Office 365“ grupės kūrimas

Jūsų organizacijoje gali būti naudojama tik viena saugos grupė, kuria kontroliuojama, kas turi „Office 365“ grupės kūrimo galimybę. Tačiau galite įdėti kitas saugos grupes kaip šios grupės narius. Pvz., grupė pavadinimu „Grupės kūrimo leidimas“ yra paskirta saugos grupė ir grupės, pavadintos „Microsoft“ planavimo priemonė vartotojai“ ir „Exchange Online“ vartotojai“, yra tos grupės nariai.

  1. Dalyje „Office 365“ administravimo centras sukurkite grupę, kurios tipas yra Saugos grupė. Įsidėmėkite grupės pavadinimą! Jo prireiks vėliau.

    Administravimo centre sukurkite saugos grupę.

  2. Įtraukite žmones arba kitas saugos grupes, kurie turėtų turėti galimybę kurti „Office 365“ grupės grupes jūsų organizacijoje.

Išsamias instrukcijas rasite Saugos grupės kūrimas, redagavimas ar panaikinimas „Office 365“ administravimo centre.

2 veiksmas. „PowerShell“ komandų vykdymas

Dažniausiai pasitaikančios klaidos yra peržiūros modulio neturėjimas ir rašybos klaidos. Užuot įvedę kiekvieną komandą, nukopijuokite ir įklijuokite komandos ir pavyzdžius, pateiktus šiame straipsnyje. Kairės ir dešinės rodyklių klavišais judėkite po komandą prieš ją paleisdami, o rodyklių aukštyn ir žemyn klavišais pereikite per ankstesnes komandas. Jei padarysite klaidą, gausite daug raudonos spalvos teksto, nurodančio, kad yra klaida. Tiesiog pabandykite dar kartą įvesti komandą. Jei kiltų problemų, susisiekite su mumis!

Šie veiksmai paskutinį kartą buvo išbandyti ir patikrinti 2018 m. balandžio 18 d. Atminkite – naudokite „AzureADPreview“ versiją, o ne „Azure Active Directory PowerShell for Graph“.

  1. Jei to dar nepadarėte, atidarykite „Windows PowerShell“ langą kompiuteryje (nesvarbu, ar tai įprastas „Windows PowerShell“ langas, ar tas, kurį atidarėte pasirinkdami Paleisti administratoriaus teisėmis).

  2. Vykdykite šias komandas. Po kiekvieno įrašo paspauskite klavišą Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    Atidarytame ekrane Prisijungti prie savo paskyros įveskite savo „Office 365“ administratoriaus paskyrą ir slaptažodį, kad prisijungtumėte prie savo paslaugos, tada spustelėkite Prisijungti.

    Įveskite savo „Office 365“ kredencialus
  3. Raskite savo saugos grupės pavadinimą 1-ame veiksme naudodami šią sintaksę:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Pvz.,savo grupę pavadinau AllowedtoCreateGroups. Tad vykdysiu:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Parodys mano saugos grupės AllowedtoCreateGroups ypatybes.

    Grupės informacija naudojant „Azure AD PowerShell“

    Matote, kad grupės AllowedtoCreateGroups ypatybės reikšmė ObjectID yra afc88... Nereikia užsirašyti savo saugos grupės ObjectID, tačiau ją reikės atpažinti šiek tiek vėliau.

  4. Vykdykite šią komandą:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Vykdykite šią komandą:

    $Setting = $Template.CreateDirectorySetting()
  6. Vykdykite šią komandą:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Jei gausite klaidos pranešimą, panašų į šį, pereikite prie 7 veiksmo. Klaidos pranešimas reiškia, kad jums nereikia atlikti 6 veiksmo.

    Jei gausite klaidos pranešimą, pereikite prie 7 veiksmo.

    Kitu atveju, sėkmingai užbaigus cmdlet grąžina naujo parametrų objekto ID.

  7. Vykdykite šią komandą:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Vykdykite šią komandą:

    $Setting["EnableGroupCreation"] = $False
  9. Naudokite šią sintaksę:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Pvz.,savo grupę pavadinau AllowedtoCreateGroups, tad vykdysiu šią komandą:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Vykdykite šią komandą:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Norėdami patikrinti, ar jūsų saugos grupė GALI kurti grupes, o visi kiti organizacijos nariai negali, vykdykite šią komandą:

    (Get-AzureADDirectorySetting).Values

    Rezultatas turėtų atrodyti taip (bet su jūsų saugos grupės ID reikšme: būtent čia turėtumėte ją atpažinti):

    Taip atrodys parametrai kai baigsite.

    Tik saugos grupės AllowedtoCreateGroups (Afc88abb... ) nariai gali kurti grupes. Niekas kitas negali, kaip nurodo EnableGroupCreation = False.

3 veiksmas. Patikrinimas, ar veikia

  1. Prisijunkite prie „Office 365“ naudodami vartotojo, kuris NETURĖTŲ turėti galimybės kurti grupes, paskyrą. T. y. jis nėra jūsų sukurtos saugos grupės narys.

  2. Pasirinkite plytelę Planner.

  3. Programoje „Planner“ pasirinkite Naujas planas, kad sukurtumėte planą.

    „Planner“ pasirinkite Naujas planas.

  4. Turėtumėte gauti pranešimą, kad negalite sukurti plano.

    Pranešimas, kad negalite sukurti plano.

Ką turėčiau daryti, jei neveikia?

Patikrinkite, ar nėra blokuojama taikant OWA pašto dėžutės strategiją.

Jei tai neišsprendžia problemos, susisiekite su mumis ir gaukite pagalbos.

Vartotojų apribojimo kurti grupes pašalinimas

Tarkime, kad po kiek laiko norite pašalinti nustatytą grupių kūrimo ribą. Vykdykite šią komandą:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Daugiau informacijos apie grupių valdymą

Pagal numatytuosius parametrus, visi „Office 365“ vartotojai turi „Office 365“ grupės kūrimo galimybę.

  • Kiekvienas vartotojas gali sukurti iki 250 „Office 365“ grupės.

  • „Office 365“ administratoriams jokie apribojimai, kiek „Office 365“ grupės jie gali sukurti, netaikomi.

  • Numatytasis maksimalus „Office 365“ grupės skaičius, kurias gali apimti „Office 365“ organizacija, šiuo metu yra 500 000, bet paprašius, šį skaičių galima padidinti. Daugiau informacijos apie „Office 365“ grupių ribas ieškokite „Office 365“ grupės – administratorių žinynas.

Kai kurios „Office 365“ tarnybos reikalauja, kad „Office 365“ grupės būtų kuriamos konkrečioms funkcijoms. Pvz., grupė sukuriama automatiškai, kai planas kuriamas naudojant „Microsoft“ planavimo priemonė. Tai reiškia, kad vartotojai gali netyčia sukurti daug grupių, kai jie bando kurti planus.

Galbūt norite griežtesnės „Office 365“ grupių kūrimo kontrolės ir pageidaujate, kad ne visi galėtų jas kurti: kad jas galėtų kurti tik „Office 365“ tarnybų, kurios reikalauja kurti „Office 365“ grupes, vartotojai.

Pastaba: Atkreipkite dėmesį, kad nors ir galite valdyti, kurie vartotojai turi „Office 365“ grupės kūrimo galimybę, tai neturi įtakos visiems licencijuotiems vartotojams dalyvauti grupių veikloje, pvz., kurti užduotis programoje „Planner“ arba atsakyti į pokalbius programoje „Outlook“.

Jei anksčiau sukūrėte grupės parametrų objektą ir reikia pakeisti parametro reikšmę (pvz., nurodyti kitą grupę), galite naudoti šią procedūrą.

  1. Kompiuteryje atidarykite „Windows PowerShell“ langą ir vykdykite šią komandą:

    Import-Module AzureADPreview
    Connect-AzureAD

    Atidarytame ekrane Prisijungti prie savo paskyros įveskite savo kredencialus, kad prisijungtumėte prie savo paslaugos, tada spustelėkite Prisijungti.

    Įveskite savo „Office 365“ kredencialus
  2. Prisijungę prie savo „Office 365“ tarnybos, pirmiausia nurodykite grupės parametrų objektą, kuriame yra konfigūracijos parametrai. Norint tai padaryti, reikės jo ObjectId. Jei ObjectId nežinote, galite jį surasti rašydami ir įvesdami šią cmdlet:

    Get-AzureADDirectorySetting

    Tai atlikus, bus parodytas esamas grupės parametrų objektas, įskaitant jo ObjectId.

    Reikšmių, kurios gali būti rodomos, pavyzdys Objektas Rasti grupės parametrus
  3. Radę grupės parametrų objekto ObjectID, galite jį naudoti norėdami pasirinkti grupės parametrų objektą, kuriame yra jūsų parametrai. Parašykite ir įveskite šią cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Pvz., aukščiau nurodyto ObjectId naudojimas

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Būsite sugrąžinti į „Windows Azure Active Directory“ modulio komandinę eilutę.

  4. Pasirinkę grupės parametrų objektą, turėtumėte patikrinkite esamas konfigūracijos reikšmes parašydami ir įvesdami:

    $setting.values
    Dabartinių konfigūracijos reikšmių sąrašo ekrano nuotrauka

    Tai atlikus, bus parodytos grupės parametrų objekto parametrų reikšmės ir būsite grąžinti į „Windows Azure Active Directory“ modulio komandinę eilutę. Aukščiau pateiktame pavyzdyje GroupCreationAllowedGroupId rodo, kad saugos grupės 1f8f32... nariai gali kurti grupes. Ir kadangi EnableGroupCreation = False, niekas kitas įmonėje negali kurti grupių.

  5. Dabar galite atlikti konkrečius grupės parametrų reikšmių keitimus. Pavyzdžiui, galite naudoti šią cmdlet norėdami nurodyti kitą grupę, galinčią kurti grupes:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Pvz., pakeiskime anksčiau nustatytą grupę AllowedtoCreateGroups kita grupe, kurią sukūrėme naudodami ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Sukonfigūravę parametrus būsite sugrąžinti į „Windows Azure Active Directory“ modulio komandinę eilutę.

  6. Sukonfigūravę naujus parametrus galite parametrus taikyti tiesiogiai grupės parametrų objekte parašydami ir įvesdami:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Pvz., naudojant redaguojamo grupės parametrų objekto ObjectID:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Būsite sugrąžinti į „Windows Azure Active Directory“ modulio komandinę eilutę.

  7. Galite patikrinti, ar grupės parametrai buvo atnaujinti: vykdykite cmdlet $settings.values ir patikrinkite reikšmes.

    Grupės parametrų objektas su pakeista reikšme

    Atkreipkite dėmesį, kad parametras GroupCreationAllowedGroupId yra pakeistas nauja grupe.

Susiję straipsniai

Darbo pradžia su „Office 365 PowerShell“

Tobulinkite savo „Office“ įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijunkite prie „Office Insider“ dalyvių

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×