Beheren wie Office 365-groepen kunnen maken

Laatst bijgewerkt: 11 juni 2018

Gebruikers kunnen eenvoudig zelf Office 365-groepen maken, dus u wordt niet langer overspoeld met aanvragen ze namens anderen te maken. Afhankelijk van uw bedrijf wilt u wellicht zelf bepalen wie er groepen kunnen maken. Reden

In dit artikel wordt uitgelegd hoe u de mogelijkheid om groepen te maken kunt uitschakelen in alle Office 365-services met groepen:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Beheerders noch gebruikers kunnen teams maken.

  • StaffHub: Beheerders noch managers kunnen teams maken.

  • Planner: Gebruikers kunnen geen nieuw plan maken in web- en mobiele apps van Planner.

  • PowerBI

U kunt hiervoor het beste een beveiligingsgroep maken. De personen in die groep kunnen vervolgens Office 365-groepen en teams met deze apps maken. In dit artikel wordt uitgelegd hoe u dit via enkele stappen doet.

Om te bepalen wie Office 365-groepen maakt, gebruikt u Windows PowerShell. Dit lijkt veel op het typen van opdrachten bij de prompt C:\ in de oude DOS-omgeving. Als u PowerShell nog nooit hebt gebruikt, is deze taak is een goede inleiding tot het gebruik daarvan. Hieronder wordt stapsgewijs beschreven wat u moet doen.

Wat u moet weten voordat u begint

  • Om de stappen uit te voeren die in dit artikel staan beschreven, is een abonnement op Azure Active Directory (Azure AD) Premium vereist. De beheerder die de instellingen configureert en de leden van de desbetreffende groepen moeten beschikken over Azure AD Premium-licenties. Zie voor meer informatie Aan de slag met Azure Active Directory Premium.

  • Probeer niet om de GA-versie (Azure Active Directory PowerShell for Graph) te gebruiken voor het uitvoeren van de stappen in dit artikel. Dit werkt niet.

  • De PowerShell-opdrachten in dit artikel dienen alleen om te wijzigen wie Office 365-groepen kunnen maken. Ze zijn niet van invloed op de rest van uw Office 365-omgeving.

  • U gebruikt de stappen in dit artikel slechts eenmaal in uw organisatie, voor één beveiligingsgroep. Als u ze opnieuw gebruikt voor een andere beveiligingsgroep, krijgt u de volgende foutmelding:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Met de stappen in dit artikel wordt niet voorkomen dat leden met de volgende rollen Office 365 Groepen kunnen maken in de Office 365-beheercentrum. Er wordt echter wel voorkomen dat ze Office 365 Groepen kunnen maken met de app. Het voorkomt ook dat ze teams kunnen maken (omdat er geen teams in het Office 365-beheercentrum kunnen worden gemaakt).

    • Globale beheerders van Office 365

    • Postvakbeheerder

    • Ondersteuning voor partnerlaag 1

    • Ondersteuning voor partnerlaag 2

    • Schrijvers van adreslijsten

    Als u lid bent van een van deze rollen, kunt u Office 365 Groepen maken voor gebruikers met beperkte toegang, en vervolgens de gebruiker instellen als de eigenaar van de groep.

  • Het is belangrijk dat u een beveiligingsgroep maakt (zoals beschreven in stap 1 van dit artikel), om een beperking in te stellen voor wie Office 365-groepen kunnen maken. Gebruik hiervoor geen Office 365-groep. Als u hiervoor een Office 365-groep gebruikt, kunnen leden geen groep maken vanuit SharePoint, omdat er op een beveiligingsgroep wordt gecontroleerd.

  • Met de instelling Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True worden slechts machtigingen ingeschakeld voor gebruikers om beveiligingsgroepen te maken, geen Office 365-groepen. Zie Set-Msolcompanysettings voor meer informatie over deze cmdlet.

  • Stel, u voert de stappen in dit artikel uit en geeft sommige personen de mogelijkheid om Office 365 Groepen te maken. Maar om de een of andere reden kunnen ze nog steeds gen Office 365-groep via Outlook maken. Controleer of ze niet worden geblokkeerd door het OWA-postvakbeleid. Dit biedt aanvullende controles om het maken van Office 365-groepen via Outlook te blokkeren.

Installeer de preview-versie van de Azure Active Directory PowerShell voor Graph

BELANGRIJK: U kunt de preview-versie en de algemeen beschikbare versie niet op hetzelfde moment op dezelfde computer installeren.

Als aanbevolen procedure wordt aangeraden altijd bij te blijven: verwijder de oude AzureADPreview- of AzureAD-versie en installeer de meest recente versie.

  1. Open Windows PowerShell als beheerder:

    Het Windows PowerShell-venster wordt geopend. De opdracht C:\Windows\system32 betekent dat u het als beheerder hebt geopend.

    Hoe PowerShell eruitziet wanneer u het voor het eerst opent.

    1. Type Windows PowerShell in de zoekbalk.

    2. Klik met de rechtermuisknop op Windows PowerShell en selecteer Als administrator uitvoeren.

      Open PowerShell met 'Als administrator uitvoeren.'

  2. Controleer de geïnstalleerde module:

    Get-InstalledModule -Name "AzureAD*"

3. Als u een eerdere versie van AzureADPreview of AzureAD wilt verwijderen, moet u deze opdracht uitvoeren:

   Uninstall-Module AzureADPreview

of

   Uninstall-Module AzureAD

4. Als u de meest recente versie van AzureADPreview wilt installeren, moet u deze opdracht uitvoeren:

   Install-Module AzureADPreview

Typ bij het bericht over een niet-vertrouwde opslagplaats: Y. Het installeren van de nieuwe module duurt ongeveer een minuut.

Stap 1: een beveiligingsgroep maken voor gebruikers die Office 365 Groepen moeten kunnen maken

Slechts één beveiligingsgroep in uw organisatie kan worden gebruikt om te bepalen wie Office 365 Groepen kunnen maken. U kunt wel andere beveiligingsgroepen nesten als leden van deze groep. Voorbeeld: de groep met de naam Groep maken toestaan is de aangewezen beveiligingsgroep en de groepen met de naam Microsoft Planner-gebruikers en Exchange Online-gebruikers zijn lid van die groep.

  1. In de Office 365-beheercentrum maakt u een groep van het type Beveiligingsgroep. Onthoud de naam van de groep goed. Deze hebt u later nodig.

    Maak een beveiligingsgroep in het beheercentrum.

  2. Voeg personen of andere beveiligingsgroepen toe die Office 365 Groepen-groepen in uw organisatie moeten kunnen maken.

Zie Een beveiligingsgroep maken, bewerken of verwijderen in het Office 365-beheercentrum voor uitgebreide instructies.

Stap 2: PowerShell-opdrachten uitvoeren

Veelvoorkomende fouten zijn het niet hebben van de preview-module en het maken van typfouten. In plaats van elke opdracht te typen, kopieert en plakt u de opdrachten en voorbeelden in dit artikel. Met de pijl-links en pijl-rechts kunt u navigeren in een opdracht voordat u deze uitvoert, en met de pijl-omhoog en pijl-omlaag kunt u bladeren door eerdere opdrachten. Als u een fout maakt, wordt er een foutmelding in rode tekst weergegeven. Probeer de opdracht opnieuw te typen. Bel ons als u er niet uitkomt.

Deze stappen zijn voor het laatst getest en geverifieerd op 18 april 2018. Denk eraan dat u de AzureADPreview-versie moet gebruiken, en niet Azure Active Directory PowerShell for Graph.

  1. Als u dit nog niet hebt gedaan, opent u een Windows PowerShell-venster op de computer (het maakt niet uit of het een normaal Windows PowerShell-venster is of een venster dat u hebt geopend door Als administrator uitvoeren te selecteren).

  2. Voer de volgende opdrachten uit. Druk na elke opdracht op Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    Voer in het scherm Aanmelden bij uw account dat wordt geopend uw Office 365-beheerdersaccount en wachtwoord in om verbinding te maken met uw service en klik op Aanmelden.

    Voer uw Office 365-referenties in
  3. Zoek de naam van de beveiligingsgroep uit Stap 1 met behulp van de volgende syntaxis:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Stel, ik heb mijn groep de naam AllowedtoCreateGroups gegeven. In dat geval voer ik deze opdracht uit:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Hierdoor worden de eigenschappen van de beveiligingsgroep AllowedtoCreateGroups weergegeven.

    Groepsgegevens via Azure AD PowerShell

    Zoals u ziet, is de waarde van de eigenschap ObjectID van de groep AllowedtoCreateGroups afc88.... U hoeft de ObjectID van de beveiligingsgroep niet te noteren, maar u moet deze wel kunnen herkennen in een latere stap.

  4. Voer deze opdracht uit:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Voer deze opdracht uit:

    $Setting = $Template.CreateDirectorySetting()
  6. Voer deze opdracht uit:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Als u een dergelijke fout krijgt, gaat u door naar stap 7. De foutmelding betekent dat u stap 6 niet hoeft uit te voeren.

    Als u een foutmelding krijgt, gaat u door naar stap 7.

    Anders wordt, bij succesvolle uitvoering van de cmdlet, de id van het object met de nieuwe instellingen weergegeven.

  7. Voer deze opdracht uit:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Voer deze opdracht uit:

    $Setting["EnableGroupCreation"] = $False
  9. Gebruik de volgende syntaxis:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Als ik mijn groep bijvoorbeeld de naam AllowedtoCreateGroups heb gegeven, voer ik deze opdracht uit:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Voer deze opdracht uit:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Om te controleren of de leden van uw beveiligingsgroep wél groepen kunnen maken en alle overige personen in uw organisatie niet, voert u deze opdracht uit:

    (Get-AzureADDirectorySetting).Values

    Het resultaat ziet er als volgt uit (waarbij ID de waarde voor uw beveiligingsgroep is die u moet kunnen herkennen):

    Zo zien de instellingen eruit wanneer u klaar bent.

    Alleen leden van de beveiligingsgroep AllowedtoCreateGroups (Afc88abb.....) kunnen groepen maken. Niemand anders kan dat doen, zoals aangegeven door EnableGroupCreation = False.

Stap 3: controleren of het werkt

  1. Meld u aan bij Office 365 met een gebruikersaccount van iemand die NIET in staat mag zijn om groepen te maken. Dat wil zeggen, van iemand die geen lid is van de beveiligingsgroep die u hebt gemaakt.

  2. Kies de tegel Planner.

  3. In Planner kiest u Nieuw plan om een plan te maken.

    Kies een nieuw plan in Planner.

  4. Als het goed is, verschijnt er een bericht dat u geen plan kunt maken:

    Bericht dat u een plan niet kunt maken.

Wat moet ik doen als dit niet werkt?

Controleer of ze niet worden geblokkeerd door het OWA-postvakbeleid.

Bel ons voor hulp als het probleem hiermee nog niet is opgelost.

Verwijderen van de beperking wie groepen kan maken

Laten we aannemen dat u na verloop van tijd de beperking wie groepen kan maken, wilt opheffen. Voer deze opdracht uit:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Meer informatie over het beheren van groepen

Alle Office 365-gebruikers kunnen standaard Office 365 Groepen maken:

  • Elke gebruiker kan maximaal 250 Office 365 Groepen maken.

  • Office 365-beheerders kunnen een onbeperkt aantal Office 365 Groepen maken.

  • Momenteel kan een Office 365-organisatie standaard maximaal 500.000 Office 365 Groepen hebben, maar dit aantal kan op verzoek worden verhoogd. Zie voor meer informatie over limieten voor Office 365-groepen, Office 365-groepen - Help voor beheerders.

Voor verschillende functies van Office 365-services is het vereist om Office 365 Groepen te kunnen maken. Er wordt bijvoorbeeld automatisch een groep gemaakt bij het maken van een plan met Microsoft Planner. Zo kunnen gebruikers onbedoeld een groot aantal groepen maken als ze experimenteren met het maken van plannen.

Wellicht wilt u beter onder controle houden wie Office 365-groepen kunnen maken en hebt u liever niet dat iedereen groepen kan maken, maar dat alleen gebruikers van Office 365-services die Office 365-groepen moeten kunnen maken dit kunnen.

Opmerking: Hoewel u kunt beperken wie Office 365 Groepen kan maken, is dit niet van invloed op de mogelijkheid van alle gelicentieerde gebruikers om deel te nemen aan groepsactiviteiten, zoals het maken van taken in Planner of het reageren op gesprekken in Outlook.

Als u eerder een groepsinstellingenobject hebt gemaakt en de waarde voor een instelling moet wijzigen (bijvoorbeeld een andere groep wilt opgeven), gebruikt u de volgende procedure.

  1. Open een Windows PowerShell-venster op de computer en voer de volgende opdracht uit:

    Import-Module AzureADPreview
    Connect-AzureAD

    Voer uw referenties in het venster Aanmelden bij uw account in dat wordt geopend om verbinding te maken met uw service en klik op Aanmelden.

    Voer uw Office 365-referenties in
  2. Nadat u verbinding maakt met uw Office 365-service, moet u eerst verwijzen naar het groepsinstellingenobject met de configuratie-instellingen. Hiervoor hebt u de object-id nodig. Als u de object-id niet weet, kunt u ernaar zoeken door de volgende cmdlet te typen:

    Get-AzureADDirectorySetting

    Hierdoor wordt het huidige groepsinstellingenobject weergegeven, inclusief de object-id.

    Voorbeeld van waarden die kunnen worden weergegeven Groepsinstellingenobject zoeken
  3. Nadat u de object-id voor het groepsinstellingenobject hebt opgezocht, kunt u hiermee het groepsinstellingenobject met uw instellingen selecteren. Typ de volgende cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Gebruik bijvoorbeeld de object-id in de bovenstaande afbeelding

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Hiermee gaat u terug naar een prompt in de Windows Azure Active Directory-module.

  4. Na het selecteren van het groepsinstellingenobject, moet u de huidige configuratiewaarden controleren door het volgende te typen:

    $setting.values
    Schermafbeelding van een lijst met de huidige configuratiewaarden

    Hiermee worden de instellingswaarden voor het groepsinstellingenobject weergegeven en gaat u terug naar een prompt in de Windows Azure Active Directory-module. In het bovenstaande voorbeeld geeft GroupCreationAllowedGroupId aan dat leden van de beveiligingsgroep 1f8f32... groepen kunnen maken. En omdat EnableGroupCreation = 'False', kan niemand anders in het bedrijf groepen maken.

  5. Nu kunt u specifieke wijzigingen aanbrengen in de waarden van groepsinstellingen. U kunt bijvoorbeeld de volgende cmdlet gebruiken als u het maken van groepen wilt toestaan voor een andere groep:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Bijvoorbeeld, laten we de eerder ingestelde groep AllowedtoCreateGroups wijzigen in een andere, eerder gemaakte groep met de object-id 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Na het configureren van de instellingen gaat u terug naar een prompt in de Windows Azure Active Directory-module.

  6. Na het configureren van de nieuwe instellingen, kunt u de instellingen direct toepassen op het groepsinstellingenobject door het volgende te typen:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Gebruik bijvoorbeeld de object-id van het groepsinstellingenobject dat we momenteel bewerken:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Hiermee gaat u terug naar een prompt in de Windows Azure Active Directory-module.

  7. U kunt controleren of de groepsinstellingen zijn bijgewerkt door de cmdlet $settings.values uit te voeren en de waarden te controleren.

    Groepsinstellingenobject met gewijzigde waarde

    U ziet dat de instelling van GroupCreationAllowedGroupId is gewijzigd in de nieuwe groep.

Verwante artikelen

Aan de slag met Office 365 PowerShell

Uw Office-vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Office Insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagents.

×