Управление разрешениями пользователей на создание групп Office 365

Авторы: Дайан Файгель
Последнее обновление: 6 ноября 2017 г.

Благодаря тому, что пользователи могут легко создавать группы Office 365, вам не будет приходиться это делать. Однако вам может потребоваться ограничивать права на создание групп или предоставлять их. Зачем это нужно?

В этой статье приведены инструкции по отключению возможности создавать группы во всех службах Office 365, где они используются:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: администраторы и пользователи не смогут создавать группы.

  • StaffHub: администраторы и руководители не смогут создавать группы.

  • Планировщик: пользователи не смогут создавать планы.

Проще всего создать группу безопасности и добавить в нее только пользователей, которые смогут создавать группы Office 365 и рабочие группы в этих приложениях. В этой статье описана соответствующая процедура.

Для выполнения этой процедуры используется Windows PowerShell, работа с которым напоминает ввод команд в командной строке C:\ среды DOS. Если вы еще не работали с PowerShell, эта отличная возможность ознакомиться с этой оболочкой. Вы найдете здесь все необходимые пошаговые инструкции.

Что нужно знать перед началом работы

  • Команды PowerShell в этой статье изменяют только права на создание групп Office 365. Они не влияют на остальные функции среды Office 365.

  • Действия, описанные в этой статье, нужно выполнить только один раз для одной группы безопасности в организации. При попытке выполнить их для другой группы безопасности появится ошибка:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Действия, описанные в этой статье, не предотвращают создание групп Office 365 в Центре безопасности и соответствия требованиям пользователями с указанными ниже ролями. Тем не менее они не смогут создавать Группы Office 365 из приложений, а также рабочие группы (так их невозможно создать через Центр администрирования Office 365).

    • Глобальные администраторы Office 365

    • Администратор почтового ящика

    • Поддержка партнеров уровня 1

    • Поддержка партнеров уровня 2

    • Запись каталогов

    Если вы входите в одну из этих ролей, вы можете создать Группы Office 365 для пользователей с ограниченными правами, а затем назначить пользователя владельцем группы.

  • Важно использовать группу безопасности (как описано в шаге 1 этой статьи), чтобы ограничить список пользователей, которые могут создавать группы Office 365. Не используйте для этого группу Office 365. Ее участники не смогут создать группу из SharePoint, так как SharePoint проверяет наличие группы безопасности.

  • При использовании Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True пользователям предоставляются разрешения только на создание групп безопасности, а не групп Office 365. Дополнительные сведения об этом командлете см. в статье Set-Msolcompanysettings.

  • Предположим, что вы выполнили действия, описанные в этой статье, и предоставили некоторым пользователям возможность создавать Группы Office 365, но им по-прежнему не удается создать группу Office 365 с помощью Outlook. Убедитесь, что они не заблокированы политикой почтовых ящиков OWA. Она представляет дополнительные инструменты для блокирования создания групп Office 365 через Outlook.

Установка предварительной версии модуля Azure Active Directory для Windows PowerShell

Внимание! Для выполнения процедур, описанных в этой статье, требуется наличие предварительной версии Модуль Azure Active Directory для Windows PowerShell (а именно модуля AzureADPreview версии 2.0.0.137 or later.).

Мы рекомендуем всегда следить за актуальностью компонентов: прежде чем выполнять команды PowerShell, удалите старую версию AzureADPreview и установите текущую.

  1. Откройте Windows PowerShell от имени администратора.

    1. На панели поиска введите Windows PowerShell.

    2. Щелкните программу Windows PowerShell правой кнопкой мыши и выберите пункт Запуск от имени администратора.

      Откройте PowerShell с помощью команды "Запуск от имени администратора".

    Откроется окно Windows PowerShell. Приглашение C:\Windows\system32 будет означать, что окно открыто от имени администратора.

    Внешний вид PowerShell при первом запуске.

  2. Чтобы удалить предыдущую версию AzureADPreview, выполните следующую команду:

    Uninstall-Module AzureADPreview
  3. Чтобы установить текущую версию AzureADPreview, выполните следующую команду:

    Install-Module AzureADPreview

    В ответ на вопрос о ненадежном хранилище введите Y. Установка нового модуля занимает примерно минуту.

Шаг 1. Создание группы безопасности для пользователей, которые должны создавать Группы Office 365

Только одну группу безопасности в организации можно использовать для управления тем, кто может создавать Группы Office 365. Но вы можете вложить в нее другие группы безопасности как участников. Например, группой безопасности может быть группа Allow Group Creation, участниками которой являются группы Microsoft Planner Users и Exchange Online Users.

  1. В Центре безопасности и соответствия требованиям создайте группу типа Группа безопасности. Запомните имя группы. Он потребуется позже.

    Создайте группу безопасности в Центре администрирования.

  2. Добавьте людей или другие группы безопасности, которые должны иметь возможность создавать Группы Office 365 в вашей организации.

Дополнительные инструкции см. в статье Создание, изменение и удаление группы безопасности в Центре администрирования Office 365.

Шаг 2. Запуск команд PowerShell

Чаще всего ошибки связаны с отсутствием предварительного просмотра и опечатками. Вместо ввода команд скопируйте и вставьте команды и примеры из этой статьи. Для перемещения по команде до ее выполнения можно использовать клавиши СТРЕЛКА ВЛЕВО и СТРЕЛКА ВПРАВО, а для прокрутки предыдущих команд — клавиши СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ. Если вы допустите ошибку, появится сообщение красного цвета. Просто введите команду еще раз. Если у вас возникнут проблемы, позвоните нам.

Указанные ниже действия были в последний раз протестированы и проверены 6 ноября 2017 г.

  1. Откройте на компьютере окно Windows PowerShell (обычное окно Windows PowerShell или открытое с выбранным параметром Запуск от имени администратора).

  2. Выполните следующие команды: После ввода каждой команды нажимайте клавишу ВВОД.

    Import-Module AzureADPreview
    Connect-AzureAD

    На открывшемся экране Вход в учетную запись введите учетную запись глобального администратора Office 365 и пароль для подключения к службе и нажмите кнопку Войти.

    Введите свои учетные данные Office 365.
  3. Найдите имя группы безопасности, созданной на шаге 1, используя следующий синтаксис:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Например, если группа называется AllowedtoCreateGroups, нужно выполнить следующую команду:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    При этом отобразятся свойства группы безопасности AllowedtoCreateGroups.

    Сведения о группе в Azure AD PowerShell

    Вы можете заметить, что свойство ObjectID группы AllowedtoCreateGroups имеет значение afc88.... Вам не нужно записывать ObjectID группы безопасности, но вы должны быть способны распознать его на следующем шаге.

  4. Выполните следующую команду:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Выполните следующую команду:

    $Setting = $Template.CreateDirectorySetting()
  6. Выполните следующую команду:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Если появляется такое сообщение об ошибке, перейдите к шагу 7. Сообщение об ошибке означает, что вам не нужно выполнять шаг 6.

    Если появляется сообщение об ошибке, перейдите к шагу 7.

    В противном случае командлет возвращает идентификатор нового объекта параметров.

  7. Выполните следующую команду:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Выполните следующую команду:

    $Setting["EnableGroupCreation"] = $False
  9. Используйте следующий синтаксис:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Например, если группа называется AllowedtoCreateGroups, нужно выполнить следующую команду:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Выполните следующую команду:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Чтобы убедиться в том, что группа безопасности МОЖЕТ создавать группы, а все остальные пользователи в вашей организации — нет, выполните следующую команду:

    (Get-AzureADDirectorySetting).Values

    Результат должен выглядеть следующим образом (со значением ID вашей группы безопасности):

    Настроенные параметры.

    Только участники группы безопасности AllowedtoCreateGroups (Afc88abb... ) могут создавать группы. Другим пользователям это запрещено, что указано инструкцией EnableGroupCreation = False.

Шаг 3. Проверка

  1. Войдите в Office 365 с учетной записью пользователя, который НЕ должен иметь возможности создавать группы, то есть пользователя, который не входит в созданную вами группу безопасности.

  2. Выберите плитку Планировщик.

  3. В Планировщике щелкните Создать план.

    В Планировщике выберите "Создать план".

  4. Должно появиться сообщение о том, что не удается создать план:

    Сообщение о том, что не удается создать план.

Что делать, если что-то не работает?

Убедитесь, что они не заблокированы политикой почтовых ящиков OWA.

Если это не поможет решить эту проблему, обратитесь к нам.

Снятие ограничений на создание групп

Предположим, что вы решили отменить это ограничение. Выполните следующую команду:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Дополнительные сведения об управлении группами

Все пользователи Office 365 по умолчанию могут создавать Группы Office 365:

  • Каждый пользователь может создать до 250 групп Office 365.

  • Количество групп Office 365, которые могут создать администраторы, не ограничено.

  • По умолчанию максимальное количество групп в организации Office 365 в настоящее время составляет 500 000, но это значение можно увеличить по запросу. Дополнительные сведения об ограничениях см. в справке для администраторов.

Некоторым службам Office 365требуется возможность создавать Группы Office 365 для различных задач. Например, группа создается автоматически при создании плана через Microsoft Planner. Это означает, что пользователи могут случайно создать слишком много групп, экспериментируя с созданием планов.

Вам может понадобиться контролировать возможность создания групп Office 365 и разрешить делать это только определенным пользователям.

Примечание : Обратите внимание: запрет на создание групп Office 365 не влияет на способность всех лицензированных пользователей выполнять действия в группах, например создавать задачи в Планировщике или отвечать на беседы в Outlook.

Если вы уже создали объект параметров группы и хотите изменить значение параметра (например, указать другую группу), выполните указанные ниже действия.

  1. На своем компьютере откройте Windows PowerShell и выполните следующую команду:

    Import-Module AzureADPreview
    Connect-AzureAD

    На открывшемся экране Вход в учетную запись введите свои учетные данные для подключения к службе и нажмите кнопку Войти.

    Введите свои учетные данные Office 365.
  2. После подключения к службе Office 365 необходимо указать ссылку на объект параметров группы, который содержит параметры конфигурации. Для этого потребуется ObjectId. Если вы не знаете ObjectId, используйте следующий командлет:

    Get-AzureADDirectorySetting

    Вы увидите текущий объект параметров группы, включая ObjectId.

    Пример возможных числовых значений Поиск объекта параметров группы
  3. Узнав ObjectID объекта параметров группы, можно использовать для выбора объекта, который содержит нужные параметры. Введите следующий командлет:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Для ObjectId на приведенном выше рисунке:

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Появится запрос модуля Windows Azure Active Directory.

  4. Выбрав объект параметров группы, проверьте значения конфигурации, указав следующее:

    $setting.values
    Снимок экрана: список числовых значений текущей настройки

    Появятся значения параметров для объекта и откроется запрос модуля Windows Azure Active Directory. В приведенном выше примере GroupCreationAllowedGroupId указывает на то, участники группы безопасности 1f8f32... могут создавать группы. А так как EnableGroupCreation = "False", больше никто в организации не может создавать группы.

  5. Теперь вы можете изменить значения параметров группы. Например, вы можете выбрать другую группу с помощью следующего командлета:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Например, изменим значение AllowedtoCreateGroups на другую созданную нами группу с ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    После настройки параметров появится запрос модуля Windows Azure Active Directory.

  6. Настроив новые параметры, вы можете применить их непосредственно к объекту группы параметров с помощью следующего командлета:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Например, для ObjectID объекта группы параметров, который мы редактируем:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Появится запрос модуля Windows Azure Active Directory.

  7. Вы можете убедиться в том, что параметры группы были обновлены, запустив командлет $settings.values и проверив значения.

    Объект параметров группы с измененным значением

    Обратите внимание, что теперь параметр GroupCreationAllowedGroupId имеет другое значение.

Статьи по теме

Начало работы с Office 365 PowerShell
Настройка параметров Групп Office 365 в Azure AD
Запись блога. Командлеты Azure Active Directory для настройки параметров группы Командлеты Azure Active Directory (MSDN)

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×