Behandle hvem som kan opprette Office 365-grupper

Bidragsytere: Stine Romund
Sist oppdatert 6. november 2017

Fordi det er så enkelt for brukere å opprette Office 365-grupper, blir du ikke oversvømt med forespørsler om å opprette dem på vegne av andre. Avhengig av bedriften din, bør du likevel kontrollere hvem som har muligheten til å opprette grupper. Derfor bør du gjøre dette

Denne artikkelen forklarer hvordan du deaktiverer muligheten til å opprette grupper i alle Office 365-tjenester som bruker grupper:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Hverken administratorer eller brukere kan opprette team.

  • StaffHub: Hverken administratorer eller brukere kan opprette team.

  • Planner: Brukere kan ikke opprette en plan.

Den beste måten å gjøre dette på, er å opprette en sikkerhetsgruppe. Da vil bare personer i denne sikkerhetsgruppen kunne opprette Office 365-grupper og team i disse programmene. Denne artikkelen leder deg gjennom disse trinnene.

For å kontrollere hvem som oppretter Office 365-grupper, kan du bruke Windows PowerShell, som ligner mye på å skrive inn kommandoer i ledeteksten C:\ i det gamle DOS-miljøet. Hvis du aldri har brukt PowerShell, er dette en flott innføring i å bruke det. Vi veileder deg gjennom det du trenger å gjøre, trinn for trinn.

Dette må du vite før du begynner

  • PowerShell-kommandoer i denne artikkelen endrer bare hvem som kan opprette Office 365-grupper. De påvirker ikke resten av Office 365-miljøet.

  • Du utfører trinnene i denne artikkelen bare en gang i organisasjonen, for én sikkerhetsgruppe. Hvis du prøver å utføre dem på nytt for en annen sikkerhetsgruppe, får du en feilmelding som ser slik ut:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Trinnene i denne artikkelen forhindrer ikke at medlemmer med følgende roller oppretter Office 365-grupper i Administrasjonssenter for Office 365. De hindrer dem likevel fra å opprette Office 365-grupper fra programmene og det hindrer dem fra å opprette team (fordi du ikke kan opprette team i Administrasjonssenter for Office 365).

    • Globale administratorer for Office 365:

    • Administrator i postboks

    • Partner Tier1-støtte

    • Partner Tier2-støtte

    • Katalogforfattere

    Hvis du er medlem av én av disse rollene, kan du opprette Office 365-grupper for begrensede brukere, og deretter gjøre brukeren til eier av gruppen.

  • Det er viktig at du bruker en sikkerhetsgruppe – som beskrevet i trinn 1 i denne artikkelen – til å begrense hvem som kan opprette Office 365-grupper. Ikke prøv å bruke en Office 365-gruppe til dette. Hvis du prøver å bruke en Office 365-gruppe, kan ikke medlemmer opprette en gruppe fra SharePoint fordi det søker etter en sikkerhetsgruppe.

  • Å kun angi Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True lar brukere bare opprette sikkerhetsgrupper, og ikke Office 365-grupper. Hvis du vil ha mer informasjon om denne cmdleten, kan du se Set-Msolcompanysettings.

  • La oss si at du utfører trinnene i denne artikkelen, og gir personer muligheten til å opprette Office 365-grupper. Men av en eller annen grunn kan de fremdeles ikke opprette en Office 365-gruppe ved hjelp av Outlook. Kontroller at de ikke blir blokkert av policyen for OWA-postboksen deres. Den har flere kontroller for å blokkere opprettelsen av Office 365-grupper ved hjelp av Outlook.

Installere forhåndsversjonen av Azure Active Directory-modul for Windows PowerShell

VIKTIG: Fremgangsmåtene i denne artikkelen krever FORHÅNDS-versjonenAzure Active Directory-modul for Windows PowerShell, mer spesifikt AzureADPreview-modulen, versjon 2.0.0.137 or later.

Som beste fremgangsmåte anbefaler vi alltid at du holder deg oppdatert: avinstaller den gamle AzureADPreview-versjonen og skaff den nyeste før du kjører PowerShell-kommandoer.

  1. Åpne Windows PowerShell som administrator:

    1. Skriv inn Windows PowerShell i søkefeltet.

    2. Høyreklikk på Windows PowerShell, og velg Kjør som administrator.

      Åpne PowerShell som «Kjør som administrator.»

    Windows PowerShell-vinduet åpnes. Ledeteksten C:\Windows\system32 betyr at du har åpnet det som administrator.

    Slik ser PowerShell ut når du åpner den.

  2. Kjør denne kommandoen for å avinstallere en tidligere versjon av AzureADPreview:

    Uninstall-Module AzureADPreview
  3. Kjør denne kommandoen for å installere den nyeste versjonen av AzureADPreview:

    Install-Module AzureADPreview

    Skriv inn Y ved meldingen om et ikke-klarert repositorium. Det tar cirka étt minutt å installere den nye modulen.

Trinn 1: Opprette en sikkerhetsgruppe for brukere som trenger å opprette Office 365-grupper

Bare én sikkerhetsgruppe i organisasjonen din kan brukes til å kontrollere hvem som skal kunne lage Office 365-grupper. Men du kan neste andre sikkerhetsgrupper som medlemmer av denne gruppen. Gruppen Tillate opprettelse av grupper er for eksempel den angitte sikkerhetsgruppen, og grupper kalt Microsoft Planner-brukere og Exchange Online-brukere er medlemmer av gruppen.

  1. Opprett en gruppe av typen sikkerhetsgruppe i Administrasjonssenter for Office 365. Husk navnet på gruppen! Du vil trenge det senere.

    Opprette en sikkerhetsgruppe i administrasjonssenteret.

  2. Legg til personer eller andre sikkerhetsgrupper som du vil skal kunne opprette Office 365-grupper grupper i organisasjonen.

Se Opprette, redigere eller slette en sikkerhetsgruppe i administrasjonssenteret i Office 365 for mer informasjon.

Trinn 2: Kjøre PowerShell-kommandoer

De mest vanlige feilene er å ikke ha modulen for forhåndsvisning og skrivefeil. I stedet for å skrive inn hver kommando, kan du kopiere og lime inn kommandoene og eksemplene i denne artikkelen. Du kan bruke pil venstre og pil høyre til å flytte rundt i en kommando før du kjører den, og pil opp og pil ned til å rulle tilbake gjennom tidligere kommandoer. Hvis du gjør en feil, får du en masse rød tekst sier at det oppstod en feil. Bare prøve å skrive inn kommandoen på nytt. Hvis du står fast, kan du ringe oss!

Disse trinnene ble sist testet og bekreftet 6. November, 2017.

  1. Hvis du ikke allerede har gjort det, åpner du et Windows PowerShell-vindu på datamaskinen (det spiller ingen rolle om det er et normalt Windows PowerShell-vindu eller ett du åpnet ved å velge Kjør som administrator).

  2. Kjør følgende kommandoer. Trykk på ENTER etter hver kommando.

    Import-Module AzureADPreview
    Connect-AzureAD

    Skriv inn administrasjonskontoen og passordet for Office 365 i Logg deg på kontoen-skjermen som åpnes, for å koble deg til tjenesten, og klikk på Logg på.

    Angi Office 365-legitimasjonen
  3. Finn navnet på sikkerhetsgruppen fra Trinn 1 ved hjelp av denne syntaksen:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Jeg kalte for eksempel gruppen min AllowedtoCreateGroups. Så jeg kjører:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Dette viser egenskapene for sikkerhetsgruppen AllowedtoCreateGroups.

    Gruppeinformasjon gjennom Azure AD PowerShell

    Du kan se at ObjectID egenskapsverdi for gruppen AllowedtoCreateGroups er afc88... Du trenger ikke å skrive ned ObjectID for sikkerhetsgruppen, men du må kunne gjenkjenne den i et senere trinn.

  4. Kjør denne kommandoen:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Kjør denne kommandoen:

    $Setting = $Template.CreateDirectorySetting()
  6. Kjør denne kommandoen:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Hvis du får en feilmelding som dette, går du til trinn 7. Feilmeldingen betyr at du ikke trenger å utføre trinn 6.

    Hvis du får en feilmelding, går du til trinn 7.

    Ellers returnerer cmdleten ID-en for det nye innstillingsobjektet ved fullføring.

  7. Kjør denne kommandoen:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Kjør denne kommandoen:

    $Setting["EnableGroupCreation"] = $False
  9. Bruk denne syntaksen:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Jeg kalte for eksempel gruppen min AllowedtoCreateGroups, så jeg kjører denne kommandoen:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Kjør denne kommandoen:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. For å kontrollere at sikkerhetsgruppen KAN opprette grupper, og at alle andre i organisasjonen ikke kan, kjører du denne kommandoen:

    (Get-AzureADDirectorySetting).Values

    Resultatet skal se slik ut (men med ID-verdien for sikkerhetsgruppen – det er her du må være i stand til å gjenkjenne den):

    Slik ser innstillingene ut når du er ferdig.

    Bare medlemmer av sikkerhetsgruppen AllowedtoCreateGroups (Afc88abb... ) kan opprette grupper. Ingen andre kan, som angitt av EnableGroupCreation = Usann.

Trinn 3: Kontroller at det fungerer

  1. Logg på Office 365 med brukerkontoen til noen som IKKE skal ha muligheten til å opprette grupper. Det vil si at de ikke er medlem av sikkerhetsgruppen du opprettet.

  2. Velg flisen Planner.

  3. I Planner velger du Ny Plan for å opprette en plan.

    Velg Ny plan i Planner.

  4. Du skal få en melding om at du ikke kan opprette en plan:

    Melding om at du ikke kan opprette en plan.

Hva gjør jeg hvis det ikke fungerer?

Kontroller at de ikke blir blokkert av policy for OWA-postboks.

Hvis dette ikke løser problemet, kan du ringe oss for å få hjelp.

Fjern begrensningen på hvem som kan opprette grupper

La oss si at du etter en stund vil fjerne grensen du satte for hvem som kan opprette grupper. Kjør denne kommandoen:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Mer informasjon om å administrere grupper

Alle Office 365-brukere kan opprette Office 365-grupper som standard:

  • Brukere kan opprette opptil 250 Office 365-grupper hver.

  • Office 365-administratorer har ingen grense for hvor mange Office 365-grupper de kan opprette.

  • Standard maksimum antall Office 365-grupper som en Office 365-organisasjon kan ha, er for øyeblikket 500 000, men dette kan økes på forespørsel. Se Office 365 Grupper – hjelp for administratorer hvis du vil ha mer informasjon om begrensninger for Office 365 Grupper.

Flere Office 365-tjenester krever muligheten til å opprette Office 365-grupper for bestemte funksjoner. For eksempel blir en gruppe automatisk opprettet når et abonnement opprettes ved hjelp av Microsoft Planner. Dette betyr at brukere utilsiktet kan opprette mange grupper når de eksperimenterer med å opprette planer.

Du ønsker kanskje bedre kontroll over opprettelse av Office 365-grupper, og foretrekker at ikke alle kan opprette dem, og at bare brukere av Office 365-tjenester som krever oppretting av Office 365-grupper, kan opprette dem.

Merknad: Vær oppmerksom på at samtidig som du har muligheten til å kontrollere hvilke brukere kan opprette Office 365-grupper, påvirker det ikke muligheten for alle lisensierte brukere til å delta i gruppeaktiviteter, for eksempel opprette oppgaver i ressursplanleggeren eller svare på samtaler i Outlook.

Hvis du tidligere har opprettet et innstillingsobjekt i en gruppe, og du må endre verdien for en innstilling (for eksempel spesifisere en annen gruppe), kan du bruke følgende fremgangsmåte.

  1. Åpne et Windows PowerShell-vindu på din lokale datamaskin, og kjør følgende kommando.

    Import-Module AzureADPreview
    Connect-AzureAD

    Skriv inn legitimasjonen i Logg deg på kontoen din-skjermen som åpnes for å koble deg til tjenesten, og klikk på Logg på.

    Angi Office 365-legitimasjonen
  2. Når du kobler til Office 365-tjenesten, må du først referere til gruppeinnstillingene for objektet som inneholder konfigurasjonsinnstillingene. Du trenger objekt-ID for gruppen for å gjøre dette. Hvis du ikke vet hva objekt-ID-en er, kan du søke etter den ved å skrive inn denne cmdleten:

    Get-AzureADDirectorySetting

    Dette viser innstillingsobjektet for gjeldende gruppe, inkludert en objekt-ID.

    Eksempel på verdier som kan vises Finn gruppeinnstillingsobjekt
  3. Etter at du har funnet objekt-ID for innstillingsobjektet for gruppen, kan du bruke den til å velge innstillingsobjektet for gruppen som inneholder innstillingene dine. Skriv inn denne cmdleten:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Ved for eksempel å bruke objekt-ID i bildet ovenfor

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Du får tilbake en melding i Windows Azure Active Directory-modulen.

  4. Når du velger innstillingsobjektet for gruppen, bør du kontrollere gjeldende konfigurasjonsverdier ved å skrive inn følgende:

    $setting.values
    Skjermbilde av listen over gjeldende konfigurasjonsverdier

    Dette viser innstillingsverdiene for innstillingsobjektet for gruppen, og tar deg tilbake til en melding i Windows Azure Active Directory-modulen. I eksemplet ovenfor angir GroupCreationAllowedGroupId at medlemmer av sikkerhetsgruppen 1f8f32... kan opprette grupper. Og fordi EnableGroupCreation = «Usann», kan ingen andre i firmaet opprette grupper.

  5. Nå kan du gjøre bestemte endringer i innstillingsverdiene for gruppen. Som et eksempel kan du bruke denne cmdleten hvis du vil velge en annen gruppe som skal kunne opprette grupper:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    La oss for eksempel endre fra gruppen AllowedtoCreateGroups vi tidligere har angitt, til en annen gruppe vi har opprettet med objekt-ID 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Etter at du har fullført innstillingene, får du tilbake en melding i Windows Azure Active Directory-modulen.

  6. Når du har konfigurert de nye innstillingene, kan du bruke innstillingene direkte i innstillingsobjektet for gruppen ved å skrive inn følgende:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    For eksempel å bruke objekt-ID for innstillingsobjektet for gruppen vi redigerer:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Du får tilbake en melding i Windows Azure Active Directory-modulen.

  7. Du kan kontrollere at gruppeinnstillingene har oppdatert ved å kjøre cmdleten $settings.values og bekrefte verdiene.

    Gruppinnstillingsobjekt med endrede verdier

    Legg merke til at innstillingene GroupCreationAllowedGroupId er endret til den nye gruppen.

Relaterte artikler

Komme i gang med Office 365 PowerShell
Konfigurere innstillinger for Office 365 Grupper i Azure AD
Blogginnlegg: Azure Active Directory-cmdleter for å konfigurere gruppeinnstillinger Azure Active Directory Cmdlets – MSDN

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×