Керування, хто може створювати групи Office 365

Увага! : Цю статтю перекладено за допомогою служби машинного перекладу; див. застереження. Версію цієї статті англійською мовою див. тут для отримання довідки.

Співробітники: Діана Файґель (Diane Faigel)
останнє оновлення 30 серпня, 2017

Оскільки це так легко для користувачів для створення групи Office 365, не завалені запитів на створення їх від імені іншим користувачам. Залежно від вашої компанії проте ви можете керувати, хто має можливість створювати групи. Причини цього?

У цій статті пояснюється, як можна заборонити створювати групи в усіх службах Office 365, у яких вони використовуються: Outlook, Planner, Yammer, SharePoint і Microsoft Teams. Створювати групи Office 365 у цих програмах зможуть лише користувачі, які є в групі безпеки.

Керувати тим, хто створює групи Office 365, можна за допомогою Windows PowerShell. Це дуже схоже на введення команд у командному рядку C:\ у старому середовищі DOS. Якщо ви ніколи не використовували PowerShell, це завдання – найкращий вступ для цього. Далі ми надамо поетапні інструкції.

Що потрібно знати, перш ніж почати

  • У цій статті, команди PowerShell змінити тільки, хто може створювати групи Office 365. Вони не впливають на решту середовищем служби Office 365.

  • Кроки, описані в цій статті, застосовуються лише раз в організації, а саме для однієї групи безпеки. Якщо ви спробуєте знову застосувати їх до іншої групи безпеки, з’явиться таке повідомлення про помилку:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Виконавши кроки, описані в цій статті, ви не зможете заборонити учасникам указаних ролей створювати Групи Office 365 в Центр адміністрування Office 365. Однак вони не зможуть створювати Групи Office 365 із програм.

    • Глобальні адміністратори Office 365

    • Адміністратори поштових скриньок

    • Партнери з підтримкою рівня 1

    • Партнери з підтримкою рівня 2

    • Автори каталогів

    Якщо вам призначена одна з таких ролей, ви можете створювати Групи Office 365 для обмежених користувачів, а потім призначити користувача як власника групи.

  • Важливо, що ви використовуєте групи безпеки – як описано на кроці 1 цієї статті - для обмеження, хто може створювати групи служби Office 365. Не намагайтеся використовувати групи Office 365 для цього. Якщо ви намагаєтеся використовувати групи Office 365, учасники не можна створити групу із сайту SharePoint, оскільки вона перевіряє групи безпеки.

  • Лише встановлення Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True дає змогу використовувати дозволи для користувачів для створення групи безпеки, не групи Office 365. Докладніше про цей командлет перегляньте Set-Msolcompanysettings.

  • Припустімо, ви виконали кроки, описані в цій статті, і надали користувачам право створювати Групи Office 365. Але з якоїсь причини вони не можуть цього робити. Перевірте, чи їх не блокує політика поштової скриньки OWA.

Інсталяція попередньої версії Модуля Azure Active Directory для Windows PowerShell

УВАГА! Щоб виконати процедуру, описану в цій статті, знадобиться ПІДГОТОВЧА ВЕРСІЯ модуля Microsoft Azure Active Directory для Windows PowerShell (зокрема, модуль AzureADPreview версії 2.0.0.137 or later.).

Радимо завжди використовувати найновішу версію. Видаліть стару версію AzureADPreview та отримайте найновішу перед запуском команд PowerShell.

  1. Відкрийте Windows PowerShell як адміністратор:

    1. У полі пошуку введіть Windows PowerShell.

    2. Клацніть Windows PowerShell правою кнопкою миші та виберіть Запустити з правами адміністратора.

      Відкрийте PowerShell із правами адміністратора.

    Відкриється вікно Windows PowerShell. Напис C:\Windows\system32 вказує на те, що ви відкрили цей компонент від імені адміністратора.

    Вікно PowerShell під час першого відкриття.

  2. Щоб видалити попередню версію AzureADPreview, виконайте цю команду:

    Uninstall-Module AzureADPreview
  3. Щоб інсталювати найновішу версію AzureADPreview, виконайте цю команду:

    Install-Module AzureADPreview

    У повідомленні про ненадійне сховище введіть Y. Щоб інсталювати новий модуль, знадобиться близько хвилини.

Крок 1. Створення групи безпеки для користувачів, яким слід створити Групи Office 365

Щоб керувати тим, хто може створювати Групи Office 365, можна використовувати лише одну групу безпеки у вашій організації. Проте ви можете вкласти в неї інші групи безпеки. Наприклад, група "Дозвіл на створення груп" – це визначена група безпеки, а група "Користувачі Microsoft Planner та Exchange Online" входить до неї.

  1. У Центр адміністрування Office 365 створіть групу безпеки. Запам’ятайте її ім’я. Воно знадобиться пізніше.

    Створіть групу безпеки в Центрі адміністрування.

  2. Додайте користувачів або інші групи безпеки, у яких має бути можливість створення Групи Office 365 у вашій організації.

Щоб отримати докладні вказівки у статті створення, редагування та видалення групи безпеки в центрі адміністрування Office 365.

Крок 2. Виконання команд PowerShell

Найпоширеніші помилки – це відсутність модуля попереднього перегляду та орфографічні помилки. Не вводьте кожну команду вручну. Скопіюйте та вставте її та приклади в цій статті. Щоб переміщатися рядками команди, перш ніж запустити її, використовуйте клавіші зі стрілками ліворуч і праворуч, угору та вниз для переходу до попередньої команди. Якщо ви припустилися помилки, текст буде виділено червоним кольором й надійде попередження, що сталася помилка. Спробуйте ввести команду ще раз. Якщо у вас виникли проблеми, телефонуйте нам.

Ці кроки востаннє перевірено 23 червня 2017 р.

  1. Якщо ви ще не відкрили вікно Windows PowerShell на комп’ютері, зробіть це (це може бути як звичайне вікно Windows PowerShell, так і вікно, відкрите за допомогою команди Запустити з правами адміністратора).

  2. Виконайте команди нижче. Після кожної команди натискайте клавішу Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    На екрані Увійдіть у свій обліковий запис, що з’явиться, введіть свій обліковий запис і пароль адміністратора Office 365, щоб підключитися до своєї служби, і натисніть кнопку Увійти.

    Введіть свої облікові дані Office 365.
  3. Знайдіть ім’я групи безпеки з кроку 1, використовуючи такий синтаксис:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Наприклад, я назву групу AllowedtoCreateGroups. Тож слід виконати таку команду:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Після цього з’являться властивості групи безпеки AllowedtoCreateGroups.

    Відомості про групу в Azure AD PowerShell

    Властивість ObjectID групи AllowedtoCreateGroups має значення afc88.... Не потрібно записувати параметр ObjectID групи безпеки, але вам знадобиться впізнати його на наступному кроці.

  4. Виконайте цю команду:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Виконайте цю команду:

    $Setting = $Template.CreateDirectorySetting()
  6. Виконайте цю команду:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Після успішного завершення командлет повертає ідентифікатор нового об’єкта налаштування.

  7. Виконайте цю команду:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Виконайте цю команду:

    $Setting["EnableGroupCreation"] = $False
  9. Дотримуйтеся цього синтаксису:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Наприклад, для групи AllowedtoCreateGroups слід виконати цю команду:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Виконайте цю команду:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Щоб перевірити, що в групі безпеки можна створювати групи, а інші користувачі у вашій організації не мають такої можливості, виконайте цю команду:

    (Get-AzureADDirectorySetting).Values

    Результат має виглядати так (але зі значенням ID для групи безпеки (саме тут ви маєте впізнати його)):

    Вікно PowerShell після налаштування.

Крок 3. Перевірка правильності роботи

  1. Увійдіть в Office 365 із використанням облікового запису користувача, у якого не має бути можливості створення груп. Тобто він не має бути учасником створеної групи безпеки.

  2. Виберіть плитку Planner.

  3. У Planner виберіть Новий план.

    У Planner виберіть "Новий план".

  4. Після цього ви отримаєте повідомлення про те, що неможливо створити план:

    Повідомлення про те, що неможливо створити план.

Що робити, якщо нічого не працює?

Переконайтеся, що вони не заблоковано через їх політики поштових скриньок OWA.

Якщо це не вирішує проблему, телефонуйте за допомогою.

Видалення обмеження на те, хто може створювати групи

Припустімо, що згодом вам потрібно видалити обмеження на те, хто може створювати групи. Виконайте цю команду:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Докладні відомості про керування групами

За замовчуванням усі користувачі Office 365 можуть створювати Групи Office 365:

  • Користувачі можуть створити до 250 Групи Office 365.

  • Кількість Групи Office 365, які можуть створювати адміністратори Office 365, необмежена.

  • За замовчуванням в Office 365 можна створити максимум 500 000 Групи Office 365, але за запитом цю кількість можна збільшити. Докладні відомості про обмеження Груп Office 365 див. в статті Групи Office 365 – довідка для адміністратора.

Кілька служб Office 365потребують можливості створювати Групи Office 365 для певних функцій. Наприклад, група створюється автоматично під час створення плану за допомогою Microsoft Planner. Це означає, що користувачі можуть ненавмисно створити багато груп, експериментуючи зі створенням планів.

Вам може знадобитися забезпечити суворіший контроль над створенням груп Office 365 і керувати тим, щоб не всі користувачі могли створити їх, а лише ті з користувачів служб Office 365, які цього потребують.

Примітка : Ви можете контролювати, які користувачі можуть створювати Групи Office 365, але це не впливає на можливість усіх ліцензованих користувачів виконувати дії групи, наприклад створювати завдання в Planner або відповідати на розмови в Outlook.

Якщо ви вже створювали об’єкт налаштувань "Група" й вам потрібно змінити значення параметра (наприклад, вказати іншу групу), можна виконати наведені нижче дії.

  1. Відкрийте на комп’ютері вікно Windows PowerShell і виконайте таку команду:

    Import-Module AzureADPreview
    Connect-AzureAD

    На екрані Увійдіть у свій обліковий запис, що відобразиться, введіть свої облікові дані, щоб підключитися до своєї служби, і натисніть кнопку Увійти.

    Введіть свої облікові дані Office 365.
  2. Після підключення до служби Office 365 потрібно спочатку вказати об’єкт налаштувань "Група", що містить параметри конфігурації. Для цього вам знадобиться ObjectId. Якщо ви не знаєте його, його можна знайти, ввівши такий командлет:

    Get-AzureADDirectorySetting

    Після цього з’явиться поточний об’єкт налаштувань "Група" та ObjectId.

    Приклад значень, які можуть відображатися Пошук об’єкта налаштувань групи
  3. Коли ви знайдете ObjectID для об’єкта налаштувань "Група", його можна використати, щоб вибрати об’єкт налаштувань "Група", що містить налаштування. Введіть такий командлет:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Наприклад, використовуючи ObjectId на зображенні вище.

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Ви повернетеся до командного рядка в модулі Windows Azure Active Directory.

  4. Вибравши об’єкт налаштувань "Група", перевірте поточні значення конфігурації, ввівши наведений нижче параметр:

    $setting.values
    Знімок екрана: список Поточні значення конфігурації

    Після цього з’явиться значення параметрів для об’єкта налаштувань "Група", і ви повернетеся до командного рядка в модулі Windows Azure Active Directory. Зверніть увагу, що в прикладі вище для EnableGroupCreation встановлено значення False, а в GroupCreationAllowedGroupId зараз визначена група.

  5. Тепер ви можете внести певні зміни в значення параметра "Група". Наприклад, можна скористатися наведеним нижче командлетом, якщо потрібно вказати на іншу групу та дозволити створення груп:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Наприклад, давайте змінимо групу AllowedtoCreateGroups, установлену раніше, на іншу групу з ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Після налаштування параметрів ви повернетеся до командного рядка в модулі Windows Azure Active Directory.

  6. Після налаштування нових параметрів ви можете застосувати їх до об’єкта налаштувань "Група", ввівши такі команди:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Наприклад, за допомогою ObjectID об’єкта налаштувань "Група" можна змінити наступне:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Ви повернетеся до командного рядка в модулі Windows Azure Active Directory.

  7. Щоб переконатися, що налаштування групи оновлено, виконайте командлет $settings.values і перевірте значення.

    Об’єкт налаштувань групи зі зміненим значенням

    Зверніть увагу, що параметр GroupCreationAllowedGroupId змінено на нову групу.

Пов’язані статті

Початок роботи з Office 365 PowerShell
Налаштування параметрів для Груп Office 365 в Azure AD
Запис блоґу: командлети Azure Active Directory для налаштування параметрів групи Командлети Azure Active Directory (MSDN)

Примітка : Застереження про машинний переклад: Цю статтю перекладено комп’ютерною системою без втручання людини. Корпорація Майкрософт пропонує таку послугу, щоб іншомовні користувачі могли дізнаватися про продукти, служби й технології Microsoft. Оскільки статтю перекладено за допомогою служби машинного перекладу, вона може містити смислові, синтаксичні або граматичні помилки.

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×