Zarządzanie tym, kto może tworzyć grupy usługi Office 365

Ostatnia aktualizacja: 11 czerwca 2018 r.

Ponieważ użytkownicy mogą bardzo łatwo tworzyć grupy usługi Office 365, nie będą zasypywać Cię wnioskami o tworzenie grup w ich imieniu. W zależności od sytuacji w firmie możesz jednak potrzebować możliwości decydowania o tym, kto może tworzyć grupy. Dlaczego?

W tym artykule wyjaśniono, jak wyłączyć możliwość tworzenia grup we wszystkich usługach Office 365, w których są używane grupy:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: ani administratorzy, ani użytkownicy nie będą mogli tworzyć zespołów.

  • StaffHub: ani administratorzy, ani kierownicy nie będą mogli tworzyć zespołów.

  • Planner: użytkownicy nie będą mogli tworzyć nowego planu ani w internetowej, ani w mobilnej aplikacji Planner.

  • Power BI

Najlepszym sposobem jest utworzenie grupy zabezpieczeń, a następnie przyznanie uprawnień do tworzenia zespołów i grup usługi Office 365 w tych aplikacjach tylko osobom należącym do tej grupy zabezpieczeń. W tym artykule przedstawiono kroki tego procesu.

Aby określić, kto może tworzyć grupy usługi Office 365, należy użyć programu Windows PowerShell, co w dużym stopniu przypomina wpisywanie poleceń w wierszu C:\ w starym środowisku systemu DOS. Jeśli to Twój pierwszy kontakt z programem PowerShell, to zadanie będzie doskonałym wprowadzeniem do pracy z nim. Przeprowadzimy Cię przez całą procedurę, krok po kroku.

Co należy wiedzieć przed rozpoczęciem

  • Wykonanie czynności opisanych w tym artykule wymaga subskrypcji usługi Azure Active Directory (Azure AD) Premium. Administrator, który konfiguruje ustawienia oraz członkowie odpowiednich grup, muszą mieć przypisane licencje usługi Azure AD Premium. Aby uzyskać więcej informacji, sprawdź Wprowadzenie do usługi Azure Active Directory Premium.

  • Nie próbuj używać wersji ogólnie udostępnionej — programu PowerShell usługi Azure Active Directory dla programu Graph — do wykonania czynności opisanych w tym artykule. To nie zadziała.

  • Polecenia programu PowerShell przedstawione w tym artykule umożliwiają tylko zmianę użytkowników, którzy mogą tworzyć grupy usługi Office 365. Nie mają wpływu na inne elementy środowiska usługi Office 365.

  • Czynności opisane w tym artykule wykonuje się w organizacji tylko raz, wybierając jedną grupę zabezpieczeń. Jeśli spróbujesz wykonać je ponownie dla innej grupy zabezpieczeń, zobaczysz następujący komunikat o błędzie:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Mimo wykonania czynności opisanych w tym artykule członkowie ról wymienionych poniżej będą nadal mogli tworzyć Grupy usługi Office 365, wykorzystując do tego celu centrum administracyjne usługi Office 365. Nie będą jednak mogli tworzyć grup usługi Office 365 z poziomu aplikacji ani tworzyć zespołów (ponieważ centrum administracyjne usługi Office 365 nie umożliwia tworzenia zespołów).

    • Administratorzy globalni usługi Office 365

    • Administrator skrzynki pocztowej

    • Pomoc techniczna dla partnerów (warstwa 1)

    • Pomoc techniczna dla partnerów (warstwa 2)

    • Zapisywanie katalogów

    Jeśli jesteś członkiem jednej z tych ról, możesz tworzyć Grupy usługi Office 365 dla użytkowników objętych ograniczeniami i przypisywać tych użytkowników jako właścicieli grup.

  • Do ograniczenia możliwości tworzenia grup usługi Office 365 należy używać grupy zabezpieczeń, zgodnie z opisem w kroku 1 w tym artykule. Nie należy używać do tego celu grupy usługi Office 365. Jeśli spróbujesz użyć grupy usługi Office 365, jej członkowie nie będą mogli tworzyć grup z poziomu usługi SharePoint, ponieważ jest wówczas sprawdzana przynależność do grupy zabezpieczeń.

  • Ustawienie Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True powoduje przyznanie użytkownikom uprawnień do tworzenia grup zabezpieczeń, a nie grup usługi Office 365. Aby uzyskać więcej informacji o tym poleceniu cmdlet, zobacz Set-Msolcompanysettings.

  • Załóżmy, że wykonano czynności opisane w tym artykule i umożliwiono niektórym użytkownikom tworzenie grup usługi Office 365. Jednak z niewiadomej przyczyny nadal nie mogą oni tworzyć grup usługi Office 365 przy użyciu programu Outlook. Sprawdź, czy użytkownicy nie są blokowani przez zasady skrzynki pocztowej aplikacji OWA. Zawierają one dodatkowe elementy umożliwiające blokowanie tworzenia grup usługi Office 365 za pomocą programu Outlook.

Instalowanie wersji Preview modułu Moduł Azure Active Directory dla programu Windows PowerShell

WAŻNE: Nie można zainstalować jednocześnie na tym samym komputerze wersji Preview i wersji GA..

Jako najlepsze rozwiązanie zalecamy, aby zawsze używać bieżącego oprogramowania: odinstaluj starą wersję składnika AzureADPreview lub AzureAD i pobierz najnowszą.

  1. Otwórz program Windows PowerShell jako administrator:

    Zostanie wyświetlone osobne okno Windows PowerShell. Monit „C:\Windows\system32” oznacza, że narzędzie otwarto z uprawnieniami administratora.

    Jak wygląd program PowerShell po pierwszym otwarciu.

    1. Na pasku wyszukiwania wpisz Windows PowerShell.

    2. Kliknij prawym przyciskiem myszy pozycję Windows PowerShell, a następnie wybierz pozycję Uruchom jako administrator.

      Otwórz program PowerShell za pomocą polecenia Uruchom jako administrator.

  2. Sprawdź zainstalowany moduł:

    Get-InstalledModule -Name "AzureAD*"

3. Aby odinstalować poprzednią wersję składnika AzureADPreview lub AzureAD, uruchom następujące polecenie:

   Uninstall-Module AzureADPreview

lub

   Uninstall-Module AzureAD

4. Aby zainstalować najnowszą wersję składnika AzureADPreview, uruchom następujące polecenie:

   Install-Module AzureADPreview

W komunikacie o niezaufanym repozytorium wpisz Y. Zainstalowanie nowego modułu zajmie około minuty.

Krok 1. Utworzenie grupy zabezpieczeń dla użytkowników, którzy będą mogli tworzyć Grupy usługi Office 365

Do określania, kto może tworzyć Grupy usługi Office 365, można użyć tylko jednej grupy na organizację. Można jednak zagnieździć inne grupy zabezpieczeń, dodając je jako członków tej grupy. Na przykład grupa o nazwie Uprawnieni do tworzenia grup może być tą grupą zabezpieczeń, a jej członkami mogą być grupy o nazwach Użytkownicy aplikacji Microsoft Planner i Użytkownicy usługi Exchange Online.

  1. Otwórz centrum administracyjne usługi Office 365 i utwórz grupę typu Grupa zabezpieczeń. Zapamiętaj nazwę tej grupy! Będzie potrzebna później.

    Utwórz grupę zabezpieczeń w centrum administracyjnym.

  2. Dodaj osoby lub inne grupy zabezpieczeń, które będą mogły tworzyć Grupy usługi Office 365 w organizacji.

Aby uzyskać szczegółowe instrukcje, zobacz Tworzenie, edytowanie i usuwanie grupy zabezpieczeń w centrum administracyjnym usługi Office 365.

Krok 2. Uruchamianie poleceń programu PowerShell

Najczęściej popełniane błędy to brak modułu w wersji Preview oraz błędy pisowni. Zamiast wpisywać poszczególne polecenia, skopiuj i wklej polecenia i przykłady z tego artykułu. Możesz użyć klawiszy strzałek w prawo i w lewo, aby poruszać się w obszarze polecenia przed jego uruchomieniem, a strzałek w górę i w dół, aby przewijać poprzednio uruchomione polecenia. Jeśli się pomylisz, zostanie wyświetlony czerwony tekst informujący, że wystąpił błąd. W takim przypadku prostu wpisz polecenie ponownie. Jeśli utkniesz w dowolnym miejscu, skontaktuj się z nami!

Ta procedura została ostatnio przetestowana i zweryfikowana 18 kwietnia 2018 r. Pamiętaj, aby użyć wersji AzureADPreview, a nie programu PowerShell usługi Azure Active Directory dla programu Graph.

  1. Jeśli nie zostało to jeszcze zrobione, otwórz na komputerze okno programu Windows PowerShell (nie ma znaczenia, czy będzie to okno programu Windows PowerShell w trybie normalnym, czy okno otwarte za pomocą polecenia Uruchom jako administrator).

  2. Uruchom następujące polecenia. Po wprowadzeniu każdego polecenia naciśnij klawisz Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    Na otwartym ekranie Logowanie na koncie wprowadź konto i hasło administratora usługi Office 365, aby połączyć się z usługą, a następnie kliknij pozycję Zaloguj się.

    Wprowadzanie poświadczeń usługi Office 365
  3. Znajdź nazwę grupy zabezpieczeń utworzonej w kroku 1, korzystając z następującej składni:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Można na przykład nazwać tę grupę AllowedtoCreateGroups (Uprawnieni do tworzenia grup). W takim przypadku należy uruchomić polecenie:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    To spowoduje wyświetlenie właściwości grupy zabezpieczeń o nazwie AllowedtoCreateGroups.

    Informacje o grupie w programie PowerShell dla usługi Azure AD

    Widać, że wartość właściwości ObjectID grupy AllowedtoCreateGroups to afc88.... Nie trzeba zapisywać właściwości ObjectID utworzonej grupy zabezpieczeń, ale konieczne będzie jej rozpoznanie na dalszym etapie.

  4. Uruchom następujące polecenie:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Uruchom następujące polecenie:

    $Setting = $Template.CreateDirectorySetting()
  6. Uruchom następujące polecenie:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Jeśli zostanie wyświetlony taki komunikat o błędzie, przejdź do kroku 7. Ten komunikat oznacza, że nie trzeba wykonywać kroku 6.

    Jeśli zostanie wyświetlony komunikat o błędzie, przejdź do kroku 7.

    W przeciwnym razie po pomyślnym ukończeniu to polecenie cmdlet zwraca identyfikator nowego obiektu ustawień.

  7. Uruchom następujące polecenie:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Uruchom następujące polecenie:

    $Setting["EnableGroupCreation"] = $False
  9. Użyj następującej składni:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Na przykład jeśli grupa nosi nazwę AllowedtoCreateGroups, należy uruchomić następujące polecenie:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Uruchom następujące polecenie:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Aby upewnić się, że członkowie tej grupy zabezpieczeń MOGĄ tworzyć grupy, a żadna inna osoba w organizacji nie może tego robić, uruchom następujące polecenie:

    (Get-AzureADDirectorySetting).Values

    Wynik powinien wyglądać następująco (z wartością ID utworzonej grupy zabezpieczeń — to tutaj należy ją rozpoznać):

    Tak będą wyglądać ustawienia po zakończeniu.

    Tylko członkowie grupy zabezpieczeń AllowedtoCreateGroups (Afc88abb...) mogą tworzyć grupy. Inne osoby nie mogą tego robić, na co wskazuje wartość EnableGroupCreation = False.

Krok 3. Sprawdzenie działania

  1. Zaloguj się w usłudze Office 365 przy użyciu konta użytkownika, który NIE POWINIEN mieć możliwości tworzenia grup. Powinien to więc być użytkownik nie będący członkiem utworzonej grupy zabezpieczeń.

  2. Wybierz kafelek Planner.

  3. W aplikacji Planner wybierz pozycję Nowy plan, aby utworzyć plan.

    W programie Planner wybierz pozycję Nowy plan.

  4. Powinien zostać wyświetlony komunikat informujący, że nie można utworzyć planu:

    Komunikat informujący, że nie można utworzyć planu.

Co zrobić, gdy coś nie działa?

Sprawdź, czy użytkownicy nie są blokowani przez zasady skrzynki pocztowej aplikacji OWA.

Jeśli to nie rozwiąże problemu, skontaktuj się z nami, aby uzyskać pomoc.

Usuwanie ograniczeń dotyczących tworzenia grup

Załóżmy, że po jakimś czasie zechcesz usunąć nałożone na użytkowników ograniczenia dotyczące tworzenia grup. Uruchom następujące polecenie:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Więcej informacji na temat zarządzania grupami

Domyślnie wszyscy użytkownicy usługi Office 365 mogą tworzyć Grupy usługi Office 365:

  • Każdy użytkownik może utworzyć maksymalnie 250 grup usługi Office 365.

  • Administratorzy usługi Office 365 mogą tworzyć nieograniczoną liczbę grup usługi Office 365.

  • Domyślna maksymalna liczba grup usługi Office 365, jakie może mieć organizacja usługi Office 365, wynosi obecnie 500 000, ale ten limit może zostać podwyższony na żądanie. Aby uzyskać więcej informacji na temat limitów dotyczących grup usługi Office 365, zobacz Grupy usługi Office 365 — Pomoc dla administratorów.

W kilku usługach Office 365 Grupy usługi Office 365 są wymagane do realizacji określonych funkcji. Na przykład grupa jest tworzona automatycznie w przypadku utworzenia planu w aplikacji Microsoft Planner. To oznacza, że użytkownicy mogą przypadkowo utworzyć wiele grup, eksperymentując z tworzeniem planów.

Być może potrzebujesz ściślejszej kontroli nad tworzeniem grup usługi Office 365 i wolisz, aby nie każdy mógł je tworzyć — aby możliwość tworzenia grup usługi Office 365 była ograniczona tylko do użytkowników tych usług Office 365, które wymagają takiej możliwości.

Uwaga: Pamiętaj, że możliwość decydowania o tym, którzy użytkownicy mogą tworzyć Grupy usługi Office 365, nie ma wpływu na możliwość uczestniczenia w aktywności grupy przez wszystkich licencjonowanych użytkowników — na przykład tworzenia zadań w aplikacji Planner i odpowiadania w ramach konwersacji w programie Outlook.

Jeśli wymagana jest zmiana wartości ustawienia w ramach uprzednio utworzonego obiektu ustawień grup (na przykład wskazanie innej grupy), możesz wykonać następujące czynności.

  1. Otwórz okno programu Windows PowerShell na komputerze i uruchom następujące polecenie:

    Import-Module AzureADPreview
    Connect-AzureAD

    Na otwartym ekranie Logowanie na koncie wprowadź poświadczenia, aby połączyć się z usługą, a następnie kliknij pozycję Zaloguj się.

    Wprowadzanie poświadczeń usługi Office 365
  2. Po nawiązaniu połączenia z usługą Office 365 należy najpierw utworzyć odwołanie do obiektu ustawień grup zawierającego ustawienia konfiguracji. W tym celu potrzebna będzie wartość właściwości ObjectId tego obiektu. Jeśli nie znasz wartości ObjectId, możesz ją wyszukać, wpisując i uruchamiając następujące polecenie cmdlet:

    Get-AzureADDirectorySetting

    Spowoduje to wyświetlenie bieżącego obiektu ustawień grup, wraz z wartością ObjectId.

    Przykładowe wyświetlane wartości Znajdowanie obiektu ustawień grup
  3. Możesz użyć znalezionej wartości ObjectID obiektu ustawień grup w celu wybrania obiektu ustawień grup zawierającego odpowiednie ustawienia. Wpisz i uruchom następujące polecenie cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Na przykład, używając wartości ObjectId z powyższej grafiki:

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Powrócisz do wiersza polecenia w module Windows Azure Active Directory.

  4. Po wybraniu obiektu ustawień grup należy sprawdzić bieżące wartości konfiguracyjne, wpisując i uruchamiając następujące polecenie:

    $setting.values
    Zrzut ekranu przedstawiający listę bieżących wartości konfiguracji

    To spowoduje wyświetlenie wartości ustawień obiektu ustawień grup i powrót do wiersza polecenia w module Windows Azure Active Directory. W powyższym przykładzie wartość GroupCreationAllowedGroupId wskazuje, że członkowie grupy zabezpieczeń o identyfikatorze 1f8f32... mogą tworzyć grupy. Natomiast wartość EnableGroupCreation = "False" oznacza, że nikt inny w firmie nie może tworzyć grup.

  5. Możesz teraz wprowadzić zmiany w wartościach ustawień grup. Możesz na przykład użyć następującego polecenia cmdlet, aby wskazać inną grupę jako uprawnioną do tworzenia grup:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Na przykład możesz zmienić wcześniej wybraną grupę AllowedtoCreateGroups na inną utworzoną grupę o identyfikatorze ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Po skonfigurowaniu wszystkich ustawień powrócisz do wiersza polecenia w module Windows Azure Active Directory.

  6. Po skonfigurowaniu nowych ustawień możesz zastosować ustawienia bezpośrednio do obiektu ustawień grup, wpisując i uruchamiając następujące polecenie:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Na przykład, używając wartości ObjectID edytowanego właśnie obiektu ustawień grup:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Powrócisz do wiersza polecenia w module Windows Azure Active Directory.

  7. Możesz sprawdzić, czy ustawienia grup zostały zaktualizowane, uruchamiając polecenie cmdlet $settings.values i sprawdzając zwrócone wartości.

    Obiekt ustawień grup ze zmienioną wartością

    Zwróć uwagę, że ustawienie GroupCreationAllowedGroupId zmieniło się i wskazuje nową grupę.

Artykuły pokrewne

Wprowadzenie do programu PowerShell dla usługi Office 365

Rozwijaj umiejętności związane z pakietem Office
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×