Управление разрешениями пользователей на создание групп Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Участники: Дайан Файгель
последнее обновление 30 августа 2017 г.

Так как это упрощает для пользователей можно создавать группы Office 365, не успевает с запросами на их создание от имени других пользователей. Тем не менее, в зависимости от вашей компании может потребоваться управления списка людей, имеющих возможность создавать группы. Зачем это делается?

В этой статье приведены инструкции по отключению возможности создавать группы во всех службах Office 365, где они используются (Outlook, Планировщик, SharePoint, Yammer и Microsoft Teams). Создавать группы Office 365 в этих приложениях смогут только участники созданной вами группы безопасности.

Для выполнения этой процедуры используется Windows PowerShell, работа с которым напоминает ввод команд в командной строке C:\ среды DOS. Если вы еще не работали с PowerShell, эта отличная возможность ознакомиться с этой оболочкой. Вы найдете здесь все необходимые пошаговые инструкции.

Что нужно знать перед началом работы

  • Команды PowerShell в этой статье изменяют только права на создание групп Office 365. Они не влияют на остальные функции среды Office 365.

  • Действия, описанные в этой статье, нужно выполнить только один раз для одной группы безопасности в организации. При попытке выполнить их для другой группы безопасности появится ошибка:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Действия, описанные в этой статье, не предотвращают создание групп Office 365 в Центре безопасности и соответствия требованиям пользователями с указанными ниже ролями. Тем не менее они не смогут создавать Группы Office 365 из приложений.

    • Глобальные администраторы Office 365

    • Администратор почтового ящика

    • Поддержка партнеров уровня 1

    • Поддержка партнеров уровня 2

    • Запись каталогов

    Если вы входите в одну из этих ролей, вы можете создать Группы Office 365 для пользователей с ограниченными правами, а затем назначить пользователя владельцем группы.

  • Важно, можно использовать группы безопасности- как описано в шаге 1 в этой статье: чтобы ограничить кто может создавать группы Office 365. Не пытайтесь использовать группы Office 365. При попытке использовать группы Office 365 участники не сможете создать группу из SharePoint, потому что проверяет наличие группы безопасности.

  • Только задание Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True включает разрешения для пользователей для создания группы безопасности, не группы Office 365. Дополнительные сведения о этот командлет Set-Msolcompanysettingsсм.

  • Предположим, что вы выполнили действия, описанные в этой статье, и предоставили некоторым пользователям возможность создавать Группы Office 365, но по какой-то причине они не могут ей воспользоваться. Убедитесь, что они не заблокированы политикой почтовых ящиков OWA.

Установка предварительной версии модуля Azure Active Directory для Windows PowerShell

Внимание! Для выполнения процедур, описанных в этой статье, требуется наличие предварительной версии Модуль Azure Active Directory для Windows PowerShell (а именно модуля AzureADPreview версии 2.0.0.137 or later.).

Мы рекомендуем всегда следить за актуальностью компонентов: прежде чем выполнять команды PowerShell, удалите старую версию AzureADPreview и установите текущую.

  1. Откройте Windows PowerShell от имени администратора.

    1. На панели поиска введите Windows PowerShell.

    2. Щелкните программу Windows PowerShell правой кнопкой мыши и выберите пункт Запуск от имени администратора.

      Откройте PowerShell с помощью команды "Запуск от имени администратора".

    Откроется окно Windows PowerShell. Приглашение C:\Windows\system32 будет означать, что окно открыто от имени администратора.

    Внешний вид PowerShell при первом запуске.

  2. Чтобы удалить предыдущую версию AzureADPreview, выполните следующую команду:

    Uninstall-Module AzureADPreview
  3. Чтобы установить текущую версию AzureADPreview, выполните следующую команду:

    Install-Module AzureADPreview

    В ответ на вопрос о ненадежном хранилище введите Y. Установка нового модуля занимает примерно минуту.

Шаг 1. Создание группы безопасности для пользователей, которые должны создавать Группы Office 365

Только одну группу безопасности в организации можно использовать для управления тем, кто может создавать Группы Office 365. Но вы можете вложить в нее другие группы безопасности как участников. Например, группой безопасности может быть группа Allow Group Creation, участниками которой являются группы Microsoft Planner Users и Exchange Online Users.

  1. В Центре безопасности и соответствия требованиям создайте группу типа Группа безопасности. Запомните имя группы. Он потребуется позже.

    Создайте группу безопасности в Центре администрирования.

  2. Добавьте людей или другие группы безопасности, которые должны иметь возможность создавать Группы Office 365 в вашей организации.

Для получения подробных инструкций читайте в статье Создание, редактирование и удаление группы безопасности в центре администрирования Office 365.

Шаг 2. Запуск команд PowerShell

Чаще всего ошибки связаны с отсутствием предварительного просмотра и опечатками. Вместо ввода команд скопируйте и вставьте команды и примеры из этой статьи. Для перемещения по команде до ее выполнения можно использовать клавиши СТРЕЛКА ВЛЕВО и СТРЕЛКА ВПРАВО, а для прокрутки предыдущих команд — клавиши СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ. Если вы допустите ошибку, появится сообщение красного цвета. Просто введите команду еще раз. Если у вас возникнут проблемы, позвоните нам.

Указанные ниже действия были в последний раз протестированы и проверены 23 июня 2017 г.

  1. Откройте на компьютере окно Windows PowerShell (обычное окно Windows PowerShell или открытое с выбранным параметром Запуск от имени администратора).

  2. Выполните следующие команды: После ввода каждой команды нажимайте клавишу ВВОД.

    Import-Module AzureADPreview
    Connect-AzureAD

    На открывшемся экране Вход в учетную запись введите учетную запись глобального администратора Office 365 и пароль для подключения к службе и нажмите кнопку Войти.

    Введите свои учетные данные Office 365.
  3. Найдите имя группы безопасности, созданной на шаге 1, используя следующий синтаксис:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Например, если группа называется AllowedtoCreateGroups, нужно выполнить следующую команду:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    При этом отобразятся свойства группы безопасности AllowedtoCreateGroups.

    Сведения о группе в Azure AD PowerShell

    Вы можете заметить, что свойство ObjectID группы AllowedtoCreateGroups имеет значение afc88.... Вам не нужно записывать ObjectID группы безопасности, но вы должны быть способны распознать его на следующем шаге.

  4. Выполните следующую команду:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Выполните следующую команду:

    $Setting = $Template.CreateDirectorySetting()
  6. Выполните следующую команду:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    После успешного завершения командлет возвращает идентификатор нового объекта параметров.

  7. Выполните следующую команду:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Выполните следующую команду:

    $Setting["EnableGroupCreation"] = $False
  9. Используйте следующий синтаксис:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Например, если группа называется AllowedtoCreateGroups, нужно выполнить следующую команду:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Выполните следующую команду:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Чтобы убедиться в том, что группа безопасности МОЖЕТ создавать группы, а все остальные пользователи в вашей организации — нет, выполните следующую команду:

    (Get-AzureADDirectorySetting).Values

    Результат должен выглядеть следующим образом (со значением ID вашей группы безопасности):

    Настроенные параметры.

Шаг 3. Проверка

  1. Войдите в Office 365 с учетной записью пользователя, который НЕ должен иметь возможности создавать группы, то есть пользователя, который не входит в созданную вами группу безопасности.

  2. Выберите плитку Планировщик.

  3. В Планировщике щелкните Создать план.

    В Планировщике выберите "Создать план".

  4. Должно появиться сообщение о том, что не удается создать план:

    Сообщение о том, что не удается создать план.

Что делать, если что-то не работает?

Убедитесь, что они не блокирования через свои политики почтовых ящиков OWA.

Если эта проблема не исчезла, нам для получения справки.

Снятие ограничений на создание групп

Предположим, что вы решили отменить это ограничение. Выполните следующую команду:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Дополнительные сведения об управлении группами

Все пользователи Office 365 по умолчанию могут создавать Группы Office 365:

  • Каждый пользователь может создать до 250 групп Office 365.

  • Количество групп Office 365, которые могут создать администраторы, не ограничено.

  • По умолчанию максимальное количество групп в организации Office 365 в настоящее время составляет 500 000, но это значение можно увеличить по запросу. Дополнительные сведения об ограничениях см. в справке для администраторов.

Некоторым службам Office 365требуется возможность создавать Группы Office 365 для различных задач. Например, группа создается автоматически при создании плана через Microsoft Planner. Это означает, что пользователи могут случайно создать слишком много групп, экспериментируя с созданием планов.

Вам может понадобиться контролировать возможность создания групп Office 365 и разрешить делать это только определенным пользователям.

Примечание : Обратите внимание: запрет на создание групп Office 365 не влияет на способность всех лицензированных пользователей выполнять действия в группах, например создавать задачи в Планировщике или отвечать на беседы в Outlook.

Если вы уже создали объект параметров группы и хотите изменить значение параметра (например, указать другую группу), выполните указанные ниже действия.

  1. На своем компьютере откройте Windows PowerShell и выполните следующую команду:

    Import-Module AzureADPreview
    Connect-AzureAD

    На открывшемся экране Вход в учетную запись введите свои учетные данные для подключения к службе и нажмите кнопку Войти.

    Введите свои учетные данные Office 365.
  2. После подключения к службе Office 365 необходимо указать ссылку на объект параметров группы, который содержит параметры конфигурации. Для этого потребуется ObjectId. Если вы не знаете ObjectId, используйте следующий командлет:

    Get-AzureADDirectorySetting

    Вы увидите текущий объект параметров группы, включая ObjectId.

    Пример значения, которые могут отображаться Поиск объекта параметров группы
  3. Узнав ObjectID объекта параметров группы, можно использовать для выбора объекта, который содержит нужные параметры. Введите следующий командлет:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Для ObjectId на приведенном выше рисунке:

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Появится запрос модуля Windows Azure Active Directory.

  4. Выбрав объект параметров группы, проверьте значения конфигурации, указав следующее:

    $setting.values
    Снимок экрана: список значений конфигурации

    Появятся значения параметров для объекта и откроется запрос модуля Windows Azure Active Directory. Обратите внимание на то, что в примере выше параметр EnableGroupCreation имеет значение False, а для GroupCreationAllowedGroupId задана группа.

  5. Теперь вы можете изменить значения параметров группы. Например, вы можете выбрать другую группу с помощью следующего командлета:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Например, изменим значение AllowedtoCreateGroups на другую созданную нами группу с ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    После настройки параметров появится запрос модуля Windows Azure Active Directory.

  6. Настроив новые параметры, вы можете применить их непосредственно к объекту группы параметров с помощью следующего командлета:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Например, для ObjectID объекта группы параметров, который мы редактируем:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Появится запрос модуля Windows Azure Active Directory.

  7. Вы можете убедиться в том, что параметры группы были обновлены, запустив командлет $settings.values и проверив значения.

    Объект параметров группы с измененным значением

    Обратите внимание, что теперь параметр GroupCreationAllowedGroupId имеет другое значение.

Статьи по теме

Начало работы с Office 365 PowerShell
Настройка параметров Групп Office 365 в Azure AD
Запись блога. Командлеты Azure Active Directory для настройки параметров группы Командлеты Azure Active Directory (MSDN)

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×