Hantera vilka som kan skapa Office 365 Grupper

Uppdaterades senast 11 juni 2018

Eftersom det är så enkelt för användare att skapa Office 365-grupper slipper du en massa förfrågningar om att skapa dem åt andra. Beroende på vilken verksamhet du har kanske du ändå vill styra vilka som har möjlighet att skapa grupper. Varför?

Den här artikeln beskriver hur du inaktiverar möjligheten att skapa grupper i alla Office 365-tjänster som använder grupper:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Varken administratörer eller användare kan skapa grupper.

  • StaffHub: Varken administratörer eller chefer kan skapa grupper.

  • Planner: Användare kan inte skapa en ny plan i webb- och mobilversioner av Planner.

  • PowerBI

Det bästa sättet att göra detta på är att skapa en säkerhetsgrupp. Därefter kommer endast personer i den säkerhetsgruppen att kunna skapa Office 365-grupper i dessa program. Den här artikeln hjälper dig genom stegen.

Om du vill ange vilka som kan skapa Office 365-grupper använder du Windows PowerShell, något som påminner om att skriva kommandon på C:\-kommandoraden i den gamla DOS-miljön. Om du aldrig har använt PowerShell, är den här uppgiften en bra introduktion till att börja göra det. Vi går igenom vad du behöver göra, steg för steg.

Vad du behöver veta innan du börjar

  • Du måste ha en prenumeration på Azure Active Directory (Azure AD) Premium för att kunna utföra stegen i artikeln. Administratören som konfigurerar inställningarna samt medlemmarna i de berörda grupperna måste ha Azure AD Premium licenser tilldelade till sig. Mer information finns under Komma igång med Azure Active Directory Premium.

  • Försök inte att använda GA-versionen – Azure Active Directory PowerShell för Graph – om du vill utföra stegen i den här artikeln. Det fungerar inte.

  • Med PowerShell-kommandona i den här artikeln ändrar du endast vem som kan skapa Office 365-grupper. De påverkar inte resten av Office 365-miljön.

  • Du kan bara använda stegen i den här artikeln en gång i organisationen, för att skapa en säkerhetsgrupp. Om du försöker använda dem igen för en annan säkerhetsgrupp får du ett felmeddelande som ser ut så här:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Anvisningarna i den här artikeln förhindrar inte att användare med följande roller kan skapa Grupper i Office 365 i Administrationscenter för Office 365. Men de hindrar dem från att skapa Grupper i Office 365 från programmen och de hindrar dem från att skapa grupper (eftersom du inte kan skapa grupper i Administrationscenter för Office 365).

    • Globala Office 365-administratörer

    • Postlådeadministratör

    • Partner Tier1-support

    • Partner Tier2-support

    • Katalogredigerare

    Om du har en av dessa roller kan du skapa Grupper i Office 365 för begränsade användare och sedan tilldela användaren som gruppens ägare.

  • Det är viktigt att du använder en säkerhetsgrupp – enligt beskrivningen i steg 1 i den här artikeln – för att begränsa vem som kan skapa Office 365-grupper. Försök inte använda en Office 365-grupp för detta. Om du försöker använda en Office 365-grupp kommer medlemmarna inte kunna skapa någon grupp från SharePoint, eftersom den söker efter en säkerhetsgrupp.

  • Inställningen Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True aktiverar bara behörigheter för användare till att skapa säkerhetsgrupper, inte Office 365-grupper. Mer information om den här cmdleten finns i Set-Msolcompanysettings.

  • Anta att du utför stegen i den här artikeln och ger vissa användare möjligheten att skapa Grupper i Office 365. Men av någon anledning kan de fortfarande inte skapa någon Office 365-grupp med hjälp av Outlook. Kontrollera att de inte blockeras av sin OWA-postlådeprincip. Den innehåller fler kontroller för att blockera skapandet av Office 365-grupper med hjälp av Outlook.

Installera förhandsversionen av Azure Active Directory PowerShell för Graph

VIKTIGT: Du kan inte installera både förhandsversioner och GA-versioner på samma dator samtidigt.

Vi rekommenderar att alltid  använda den aktuella versionen: Avinstallera den tidigare AzureADPreview-versionen eller den tidigare AzureAD-versionen och skaffa den senaste.

  1. Öppna Windows PowerShell som administratör:

    Fönstret Windows PowerShell öppnas. Prompten C:\Windows\system32 betyder att du har öppnat det som administratör.

    Så här ser PowerShell ut när du öppnar det för första gången.

    1. I sökfältet, skriver du Windows PowerShell.

    2. Högerklicka på Windows PowerShell och välj Kör som administratör.

      Öppna PowerShell som ”Kör som administratör.”

  2. Kontrollera den installerade modulen:

    Get-InstalledModule -Name "AzureAD*"

3. Om du vill avinstallera en tidigare version av AzureADPreview eller AzureAD kör du det här kommandot:

   Uninstall-Module AzureADPreview

eller

   Uninstall-Module AzureAD

4. Om du vill installera den senaste versionen av AzureADPreview kör du det här kommandot:

   Install-Module AzureADPreview

När du får meddelandet om icke betrodda lagringsplatser trycker du på Y. Det tar några minuter att installera den nya modulen.

Steg 1: Skapa en säkerhetsgrupp för användare som behöver skapa Grupper i Office 365

Endast en säkerhetsgrupp i organisationen kan användas för att ange vilka som kan skapa Grupper i Office 365. Du kan emellertid kapsla in andra säkerhetsgrupper som medlemmar i den här gruppen. T.ex. så är gruppen Allow Group Creation den tilldelade säkerhetsgruppen medan grupperna Microsoft Planner Users och Exchange Online Users är medlemmar av den gruppen.

  1. Skapa en grupp av typen Säkerhetsgrupp i Administrationscenter för Office 365. Kom ihåg namnet på gruppen! Du behöver det senare.

    Skapa en säkerhetsgrupp i administrationscentret.

  2. Lägg till de personer eller säkerhetsgrupper som du vill ska kunna skapa Grupper i Office 365-grupper i organisationen.

Detaljerade anvisningar finns i Skapa, redigera eller ta bort en säkerhetsgrupp i Administrationscenter för Office 365.

Steg 2: Kör PowerShell-kommandon

De vanligaste felen är att inte ha förhandsgranskningsmodulen och stavfel. I stället för att skriva varje kommando kan du kopiera och klistra in kommandona och exemplen i den här artikeln. Du kan använda vänster- och högerpiltangenterna för att flytta runt i ett kommando innan du kör det samt använda upp- och nedpiltangenterna för att bläddra genom tidigare kommandon. Om du gör fel visas röd text som meddelar dig om att ett fel uppstod. Skriv bara in kommandot igen. Ring oss om du fastnar!

De här stegen testades och verifierades senast den 18 april 2018. Kom ihåg att använda AzureADPreview-versionen och inte Azure Active Directory PowerShell för Graph.

  1. Om du inte redan har gjort det öppnar du ett Windows PowerShell-fönster på datorn (det spelar ingen roll om det är ett normalt Windows PowerShell-fönster eller ett som du har öppnat genom att välja Kör som administratör).

  2. Kör följande kommandon: Tryck på Retur efter varje kommando.

    Import-Module AzureADPreview
    Connect-AzureAD

    På fönstret Logga in på ditt konto som öppnas anger du ditt administratörskonto och lösenord för Office 365 för att ansluta till tjänsten och klickar på Logga in.

    Ange dina inloggningsuppgifter för Office 365
  3. Leta rätt på namnet på säkerhetsgruppen från steg 1 genom att använda följande syntax:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Om du t.ex. gav gruppen namnet AllowedtoCreateGroups. Kör då:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Det här visar egenskaperna för säkerhetsgruppen AllowedtoCreateGroups.

    Gruppinformation via Azure AD PowerShell

    Du kan se att ObjectID-egenskapsvärdet för gruppen AllowedtoCreateGroups är afc88.... Du behöver inte skriva ned ObjectID för säkerhetsgruppen, men du behöver kunna identifiera det i ett senare steg.

  4. Kör det här kommandot:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Kör det här kommandot:

    $Setting = $Template.CreateDirectorySetting()
  6. Kör det här kommandot:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Om du får ett felmeddelande som det här går du till steg 7. Felmeddelandet innebär att du inte behöver göra steg 6.

    Om du får ett felmeddelande går du till steg 7.

    När kommandot har körts klart returnerar cmdleten annars ID:t för det nya inställningsobjektet.

  7. Kör det här kommandot:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Kör det här kommandot:

    $Setting["EnableGroupCreation"] = $False
  9. Använd följande syntax:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Om du gav gruppen namnet AllowedtoCreateGroups så ska du köra följande kommando:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Kör det här kommandot:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Kör följande kommando om du vill verifiera att din säkerhetsgrupp KAN skapa grupper och att ingen annan i organisationen kan det:

    (Get-AzureADDirectorySetting).Values

    Resultatet bör se ut så här, men med ID-värdet för din säkerhetsgrupp (det är här du behöver kunna känna igen värdet):

    Så här ser inställningarna ut när du är färdig.

    Endast medlemmar i säkerhetsgruppen AllowedtoCreateGroups (Afc88abb.....) kan skapa grupper. Ingen annan kan det, vilket anges av EnableGroupCreation = False.

Steg 3: Kontrollera att det fungerar

  1. Logga in på Office 365 med ett användarkonto för någon som INTE borde ha möjligheten att skapa grupper. D.v.s. någon som inte är medlem i säkerhetsgruppen du skapade.

  2. Välj panelen Planner.

  3. Välj Ny plan i Planner för att skapa en plan.

    Välj Ny plan i Planner.

  4. Du bör få ett meddelande om att du inte kan skapa en plan:

    Meddelande om att du inte kan skapa någon plan.

Vad ska jag göra om det inte fungerar?

Kontrollera att de inte blockeras av sin OWA-postlådeprincip.

Om det inte löser problemet ringer du oss så hjälper vi dig.

Ta bort begränsningen för vem som kan skapa grupper

Anta att du efter ett tag vill ta bort begränsningen för vem som kan skapa grupper. Kör det här kommandot:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Mer information om att hantera grupper

Alla Office 365-användare kan skapa Grupper i Office 365 som standard:

  • Varje användare kan skapa upp till 250 Grupper i Office 365.

  • Office 365-administratörer har ingen gräns för antalet Grupper i Office 365 de kan skapa.

  • Som standard är 500 000 det maximala antalet Grupper i Office 365 en Office 365-organisation kan ha, men det kan ökas på begäran. Mer information om begränsningar för Office 365-grupper finns i Office 365-grupper – hjälp för administratörer.

Möjligheten att skapa Grupper i Office 365 för specifika funktioner krävs för flera Office 365-tjänster. Till exempel så skapas en grupp automatiskt när en plan skapas med Microsoft Planner. Det innebär att användare kan oavsiktligt skapa många grupper när de experimenterar med att skapa planer.

Du kanske vill ha bättre kontroll över hur Office 365-grupper skapas och föredrar att inte alla kan skapa dem, utan att bara användare av Office 365-tjänster som behöver Office 365-grupper kan skapa dem.

Obs!: Observera att även om du har möjlighet att ange vilka användare som kan skapa Grupper i Office 365 påverkar det inte licensierade användares möjlighet att delta i gruppens aktiviteter, t.ex. skapa uppgifter i Planner eller svara på konversationer i Outlook.

Om du tidigare har skapat ett gruppinställningsobjekt och behöver ändra värdet för en inställning (t.ex. ange en annan grupp) kan du använda följande procedur.

  1. Öppna ett Windows PowerShell-fönster på datorn och kör följande kommando:

    Import-Module AzureADPreview
    Connect-AzureAD

    På skärmen Logga in på ditt konto som öppnas anger du dina autentiseringsuppgifter för att ansluta till tjänsten och klickar på Logga in.

    Ange dina inloggningsuppgifter för Office 365
  2. När du har anslutit till Office 365-tjänsten måste du först referera till det gruppinställningsobjekt som innehåller konfigurationsinställningarna. Om du ska kunna göra det måste du ha dess objekt-ID. Om du inte känner till objekt-ID:t kan söka du efter det genom att köra följande cmdlet:

    Get-AzureADDirectorySetting

    Det visar det aktuella gruppinställningsobjektet, inklusive dess objekt-ID.

    Exempel på värden som kan visas Hitta gruppinställningsobjekt
  3. När du har hittat objekt-ID:t för gruppinställningsobjektet kan du använda det till att välja det gruppinställningsobjekt som innehåller dina inställningar. Ange och kör följande cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Till exempel med hjälp av objekt-ID:t på bilden ovan

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Du returneras till kommandoraden i Windows Azure Active Directory-modulen.

  4. När du har valt gruppinställningsobjektet bör du kontrollera aktuella konfigurationsvärden genom att ange och köra följande:

    $setting.values
    Skärmbild av listan med de aktuella konfigurationsvärdena

    Det visar inställningsvärdena för gruppinställningsobjektet och du returneras till kommandoraden i Windows Azure Active Directory-modulen. I exemplet ovan visar GroupCreationAllowedGroupId att medlemmar i säkerhetsgruppen 1f8f32... kan skapa grupper. Och eftersom EnableGroupCreation = ”False” kan ingen annan i företaget skapa grupper.

  5. Nu kan du göra specifika ändringar av gruppinställningsvärdena. Som exempel kan du använda följande cmdlet om du vill ge en annan grupp möjligheten att skapa grupper:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Vi kan t.ex. ändra från gruppen AllowedtoCreateGroups som vi angav tidigare till en annan grupp vi skapade med objekt-ID:t 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    När du har konfigurerat inställningarna returneras du till kommandoraden i Windows Azure Active Directory-modulen.

  6. När du har konfigurerat de nya inställningarna kan du använda inställningarna direkt på gruppinställningsobjektet genom att ange och köra följande:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    T.ex. med objekt-ID:t för gruppinställningsobjektet vi redigerar:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Du returneras till kommandoraden i Windows Azure Active Directory-modulen.

  7. Du kan verifiera att gruppinställningarna har uppdaterats genom att köra $settings.values och verifiera värdena.

    Gruppinställningsobjekt med ändrat värde

    Observera att inställningen GroupCreationAllowedGroupId har ändrats till den nya gruppen.

Relaterade artiklar

Komma igång med Office 365 PowerShell

Utöka dina Office-kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×