Gerir quem pode criar Grupos do Office 365

Última atualização: 11 de junho de 2018

Como os utilizadores podem criar muito facilmente Grupos do Office 365, não será bombardeado com pedidos para os criar em nome de outras pessoas. Contudo, dependendo da sua empresa, poderá querer controlar quem pode criar grupos. Objetivo

Este artigo explica como desativar a capacidade de criar grupos em todos os serviços do Office 365 que utilizam grupos:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: os administradores e utilizadores não poderão criar equipas.

  • StaffHub: os administradores e gestores não poderão criar equipas.

  • Planner: Os utilizadores não poderão criar um novo plano no Planner web e em aplicações para dispositivos móveis.

  • Power BI

A melhor forma de o fazer é através da criação de um grupo de segurança, para que só as pessoas desse grupo possam criar equipas e Grupos do Office 365 nestas aplicações. Este artigo guia-o ao longo destes passos.

Para controlar quem pode criar Grupos do Office 365, utilize o Windows PowerShell (o processo é muito semelhante à escrita de comandos na linha de comandos C:\ do antigo ambiente DOS). Se nunca tiver utilizado o PowerShell, esta tarefa é uma boa forma de começar a utilizá-lo. Iremos guiá-lo passo a passo ao longo do que precisa de fazer.

O que precisa de saber antes de começar

  • Para efetuar os passos disponíveis neste artigo, é necessária uma subscrição do Azure Active Directory (Azure AD) Premium. O administrador que configura as definições e os membros dos grupos afetados têm de ter licenças do Azure AD Premium atribuídas. Para obter mais informações, consulte Introdução ao Azure Active Directory Premium.

  • Não tente utilizar a versão de disponibilidade geral (Azure Active Directory para PowerShell para Graph) para executar os passos neste artigo. Não irá funcionar.

  • Os comandos do PowerShell mencionados neste artigo só permitem alterar quem pode criar Grupos do Office 365. Não afetarão o restante ambiente do Office 365.

  • Na sua organização, só realizará os passos mencionados neste artigo uma vez para um grupo de segurança. Se os tentar realizar novamente para outro grupo de segurança, será apresentada uma mensagem de erro semelhante a esta:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Os passos mencionados neste artigo não impedem que os utilizadores com as seguintes funções criem Grupos do Office 365 no Centro de administração do Office 365. Contudo, impede-os de criar Grupos do Office 365 a partir das aplicações, bem como de criar equipas (dado não ser possível criar equipas no Centro de administração do Office 365).

    • Administradores globais do Office 365

    • Administrador da Caixa de Correio

    • Suporte para Parceiros do Escalão 1

    • Suporte para Parceiros do Escalão 2

    • Escritores de Diretório

    Se possuir uma destas funções, pode criar Grupos do Office 365 para utilizadores restritos e, em seguida, atribuir o utilizador como proprietário do grupo.

  • É importante que utilize um grupo de segurança, conforme descrito no Passo 1 deste artigo, para restringir as pessoas que podem criar grupos do Office 365. Não tente utilizar um Grupo do Office 365 para este efeito. Se tentar utilizar um Grupo do Office 365, os membros não conseguirão criar um grupo a partir do SharePoint porque este verifica se existe um grupo de segurança.

  • A definição Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True só ativa permissões para que os utilizadores criem Grupos de segurança e não grupos do Office 365. Para obter mais informações sobre este cmdlet, consulte Set-Msolcompanysettings.

  • Suponhamos que realizou os passos indicados neste artigo para permitir que algumas pessoas criem Grupos do Office 365, mas que, por algum motivo, estas pessoas ainda não conseguem criar um Grupo do Office 365 através do Outlook. Verifique se essas pessoas estão a ser bloqueadas pela respetiva política de caixa de correio do OWA, dado que esta política proporciona controlos adicionais para impedir a criação de Grupos do Office 365 através do Outlook.

Instalar a versão de pré-visualização do Azure Active Directory PowerShell para Graph

IMPORTANTE: não pode instalar a versão de pré-visualização e a versão de disponibilidade geral no mesmo computador ao mesmo tempo.

Como prática recomendada, deve manter-se sempre atualizado: desinstale a versão antiga do AzureADPreview ou do AzureAD e obtenha a versão mais recente.

  1. Abra o Windows PowerShell como administrador:

    A janela do Windows PowerShell será aberta. Se for apresentado o comando C:\Windows\system32, significa que abriu o programa como administrador.

    Aspeto do PowerShell quando o abre pela primeira vez.

    1. Na barra de pesquisa, escreva Windows PowerShell.

    2. Clique com o botão direito do rato em Windows PowerShell e selecione Executar como Administrador.

      Abrir o PowerShell como "Executar como administrador".

  2. Verificar o módulo instalado:

    Get-InstalledModule -Name "AzureAD*"

3. Para desinstalar uma versão anterior do AzureADPreview ou do AzureAD, execute este comando:

   Uninstall-Module AzureADPreview

ou

   Uninstall-Module AzureAD

4. Para instalar a versão mais recente do AzureADPreview, execute este comando:

   Install-Module AzureADPreview

Na mensagem sobre um repositório não fidedigno, escreva Y. A instalação do novo módulo irá demorar cerca de um minuto.

Passo 1: criar um grupo de segurança para os utilizadores que precisam de criar Grupos do Office 365

Na sua organização, só é possível utilizar um grupo de segurança para controlar quem pode criar Grupos do Office 365. No entanto, pode aninhar outros grupos de segurança como membros deste grupo. Por exemplo, o grupo de segurança escolhido é o grupo denominado Permitir Criação de Grupos e os membros desse grupo são os grupos denominados Utilizadores do Microsoft Planner e Utilizadores do Exchange Online.

  1. No Centro de administração do Office 365, crie um grupo do tipo Grupo de segurança. Memorize o nome do grupo! Precisará dele mais tarde.

    Crie um grupo de segurança no centro de administração.

  2. Adicione pessoas ou outros grupos de segurança aos quais pretende atribuir a capacidade de criar Grupos do Office 365 na sua organização.

Para obter instruções detalhadas, consulte Criar, editar ou eliminar um grupo de segurança no centro de administração do Office 365.

Passo 2: executar comandos do PowerShell

Os erros mais comuns são não ter o módulo de pré-visualização e erros de digitação. Em vez de escrever todos os comandos, copie e cole os comandos e exemplos que constam neste artigo. Pode utilizar as teclas Seta Para a Esquerda e Seta Para a Direita para se deslocar num comando antes de o executar, bem como as teclas Seta Para Cima e Seta Para Baixo para se deslocar para trás em comandos anteriores. Caso se engane, verá uma grande quantidade de texto a vermelho que indica que ocorreu um erro. Experimente escrever novamente o comando. Se tiver dificuldades, contacte-nos!

Estes passos foram testados e verificados pela última vez no dia 18 de abril de 2018. Lembre-se de utilizar a versão AzureADPreview e não a versão Azure Active Directory para PowerShell para Graph.

  1. Se ainda não o tiver feito, abra uma janela do Windows PowerShell no seu computador (não importa se for uma janela normal do Windows PowerShell ou uma janela que tenha aberto ao selecionar a opção Executar como administrador).

  2. Execute os seguintes comandos. Prima Enter após cada comando.

    Import-Module AzureADPreview
    Connect-AzureAD

    No ecrã Iniciar sessão na sua Conta que é aberto, introduza a sua conta e palavra-passe de administrador do Office 365 para ligar ao seu serviço e clique em Iniciar sessão.

    Introduzir as credenciais do Office 365
  3. Localize o nome do seu grupo de segurança que definiu no Passo 1 através da seguinte sintaxe:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Por exemplo, atribuí o nome AllowedtoCreateGroups ao meu grupo. Portanto, deveria executar:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Esta ação permitirá apresentar as propriedades do meu grupo de segurança AllowedtoCreateGroups.

    Informações de grupo através do Azure AD PowerShell

    Pode ver que o valor da propriedade ObjectID do meu grupo AllowedtoCreateGroups é afc88.... Não precisa de anotar o ObjectID do seu grupo de segurança, mas terá de conseguir reconhecê-lo num passo posterior.

  4. Execute este comando:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Execute este comando:

    $Setting = $Template.CreateDirectorySetting()
  6. Execute este comando:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Se for apresentado um erro como este, avance para o passo 7. A mensagem de erro significa que não precisa de seguir o passo 6.

    Se for apresentada uma mensagem de erro, avance para o passo 7.

    Caso contrário, após a conclusão bem-sucedida, o cmdlet devolverá o ID do novo objeto de definições.

  7. Execute este comando:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Execute este comando:

    $Setting["EnableGroupCreation"] = $False
  9. Utilize esta sintaxe:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Por exemplo, atribuí ao meu grupo o nome AllowedtoCreateGroups, pelo que deveria executar o seguinte comando:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Execute este comando:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Para verificar se o seu grupo de segurança PODE criar grupos e se todas as outras pessoas da sua organização não podem, execute o seguinte comando:

    (Get-AzureADDirectorySetting).Values

    O resultado deve assemelhar-se ao seguinte (mas o valor do ID deve corresponder ao ID do seu grupo de segurança – é nesta fase que tem de conseguir reconhecê-lo):

    Esta será a forma como as suas definições serão apresentadas quando terminar.

    Só os membros do grupo de segurança AllowedtoCreateGroups (Afc88abb...) podem criar grupos. Mais ninguém pode fazê-lo, conforme indicado por EnableGroupCreation = Falso.

Passo 3: verificar se funciona

  1. Inicie sessão no Office 365 com uma conta de um utilizador que NÃO tenha permissão para criar grupos, ou seja, de um utilizador que não seja membro do grupo de segurança que criou.

  2. Selecione o mosaico do Planner.

  3. No Planner, selecione Novo Plano para criar um plano.

    No Planner, selecione Novo plano.

  4. Deverá receber uma mensagem a indicar que não pode criar um plano:

    Mensagem a indicar que não pode criar um plano.

O que devo fazer se isto não funcionar?

Verifique se essas pessoas estão a ser bloqueados pela respetiva política de caixa de correio do OWA,

Se isto não resolver o problema contacte-nos para obter ajuda.

Remover a restrição das pessoas que podem criar grupos

Imaginemos que, passado algum tempo, quer remover o limite que impôs relativamente às pessoas que podem criar grupos. Execute este comando:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Mais informações sobre a gestão de grupos

Por predefinição, todos os utilizadores do Office 365 podem criar Grupos do Office 365:

  • Cada utilizador pode criar até 250 Grupos do Office 365.

  • Os administradores do Office 365 podem criar os Grupos do Office 365 que quiserem sem restrições.

  • O número máximo predefinido de Grupos do Office 365 que uma organização do Office 365 pode ter atualmente é 500 000, mas este número pode ser aumentado mediante pedido. Para obter mais informações sobre limites dos Grupos do Office 365, consulte Grupos do Office 365 – Ajuda para Administradores.

Existem muitos serviços do Office 365 que exigem a capacidade de criação de Grupos do Office 365 para funções específicas. Por exemplo, um grupo é criado automaticamente aquando da criação de um plano através do Microsoft Planner. Isto significa que os utilizadores podem criar muitos grupos de forma involuntária à medida que utilizam a criação de planos.

Poderá querer controlar a criação de Grupos do Office 365 de forma mais rigorosa e preferir que nem todas as pessoas os possam criar, ou seja, que apenas os utilizadores de serviços do Office 365 que exijam a criação de Grupos do Office 365 tenham autorização para os criar.

Nota: Tenha em atenção que, embora consiga controlar os utilizadores que podem criar Grupos do Office 365, isto não afeta a capacidade que todos os utilizadores com licenças têm para participar em atividades de grupo, tais como criar tarefas no Planner ou responder a conversações no Outlook.

Se tiver criado anteriormente um objeto de definições de Grupo e precisar de alterar o valor de uma definição (por exemplo, especificar um grupo diferente), pode efetuar o seguinte procedimento.

  1. Abra uma janela do Windows PowerShell no seu computador e execute o seguinte comando:

    Import-Module AzureADPreview
    Connect-AzureAD

    No ecrã Inicie sessão na sua conta que é apresentado, introduza as suas credenciais para se ligar ao serviço e clique em Iniciar sessão.

    Introduzir as credenciais do Office 365
  2. Depois de se ligar ao seu serviço do Office 365, tem primeiro de referenciar o objeto de definições de Grupo que contém as definições de configuração. Para tal, precisará do ObjectID do mesmo. Se não souber qual é o ObjectID, pode procurá-lo ao escrever e introduzir o seguinte cmdlet:

    Get-AzureADDirectorySetting

    Esta ação permitirá apresentar o objeto de definições de Grupo atual, incluindo o respetivo ObjectID.

    Exemplo de valores que poderão ser apresentados Encontrar o objeto de Definições do Grupo
  3. Depois de localizar o ObjectID do objeto de Definições de Grupos, pode utilizá-lo para selecionar o objeto de definições de Grupo que contém as suas definições. Escreva e introduza o seguinte cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Por exemplo, se utilizar o ObjectID que consta no gráfico acima

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Regressará a uma linha de comandos no Módulo Windows Azure Active Directory.

  4. Depois de selecionar o objeto de definições de Grupo, deve verificar os valores de configuração atuais ao escrever e introduzir o seguinte:

    $setting.values
    Captura de ecrã da lista de valores de configuração atuais

    Esta ação permitirá apresentar os valores de definição do objeto de definições de Grupo, bem como permitirá que regresse a uma linha de comandos do Módulo Windows Azure Active Directory. No exemplo acima, GroupCreationAllowedGroupID indica que os membros do grupo de segurança 1f8f32... podem criar grupos. Além disso, como EnableGroupCreation = "Falso", as outras pessoas da empresa não podem criar grupos.

  5. Agora pode fazer alterações específicas aos valores de definições de Grupo. Por exemplo, pode utilizar o seguinte cmdlet se quiser atribuir a capacidade de criação de Grupos a um grupo diferente:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Por exemplo, vamos alterar o grupo que definimos anteriormente para AllowedtoCreateGroups para um grupo diferente que criámos com o ObjectID 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Depois de configurar as suas definições, regressará a uma linha de comandos no Módulo Windows Azure Active Directory.

  6. Depois de configurar as suas definições novas, pode aplicar diretamente as definições ao objeto de definições de Grupo ao escrever e introduzir o seguinte:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Por exemplo, ao utilizarmos o ObjectID do objeto de definições de Grupo estamos a editar:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Regressará a uma linha de comandos no Módulo Windows Azure Active Directory.

  7. Pode verificar se as suas definições de Grupo foram atualizadas ao executar o cmdlet $settings.values e verificar os valores.

    Objeto de definições de Grupo com valor alterado

    Repare que a definição GroupCreationAllowedGroupID mudou para o seu novo grupo.

Artigos relacionados

Introdução ao Office 365 PowerShell

Aumente os seus conhecimentos do Office
Explore as formações
Seja o primeiro a obter novas funcionalidades
Adira ao Office Insider

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×