Керування правами на створення груп Office 365

Співавтори: Діана Файґель (Diane Faigel)
Останнє оновлення: 31 січня 2018 р.

Створювати групи Office 365 дуже просто, тому кожен користувач може робити це самостійно. Проте в деяких організаціях слід стежити за цим процесом. Дізнайтеся, навіщо це потрібно.

У цій статті наведено вказівки з вимкнення можливості створювати групи в усіх службах Office 365, у яких вони використовуються:

  • Outlook;

  • SharePoint;

  • Yammer;

  • Microsoft Teams (адміністратори та користувачі не зможуть створювати робочі групи);

  • StaffHub (адміністратори й керівники не зможуть створювати робочі групи);

  • Planner (користувачі не зможуть створювати плани).

  • PowerBI.

Найкращий спосіб зробити це – створити групу безпеки та додати до неї лише користувачів, які можуть створювати групи Office 365 і робочі групи в цих програмах. У цій статті наведено відповідні вказівки.

Керувати тим, хто створює групи Office 365, можна за допомогою Windows PowerShell. Це дуже схоже на введення команд у командному рядку C:\ у старому середовищі DOS. Якщо ви ніколи не використовували PowerShell, це завдання – найкращий вступ для цього. Далі ми надамо поетапні інструкції.

Що потрібно знати, перш ніж почати

  • Команди PowerShell, наведені в цій статті, дають змогу лише змінити користувача, який може створювати групи Office 365. Ці команди не впливають на решту параметрів середовища Office 365.

  • Кроки, описані в цій статті, застосовуються лише раз в організації, а саме для однієї групи безпеки. Якщо ви спробуєте знову застосувати їх до іншої групи безпеки, з’явиться таке повідомлення про помилку:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Виконавши кроки, описані в цій статті, ви не забороните учасникам указаних нижче ролей створювати групи в Центрі адміністрування Office 365. Проте вони не зможуть робити це в програмах. Крім того, так ви заблокуєте можливість створювати робочі групи (у Центрі адміністрування Office 365 цього робити не можна).

    • Глобальні адміністратори Office 365

    • Адміністратори поштових скриньок

    • Партнери з підтримкою рівня 1

    • Партнери з підтримкою рівня 2

    • Автори каталогів

    Якщо вам призначена одна з таких ролей, ви можете створювати Групи Office 365 для обмежених користувачів, а потім призначити користувача як власника групи.

  • Щоб обмежити коло користувачів, які зможуть створювати групи Office 365, важливо створити групу безпеки, як описано на кроці 1 цієї статті. Не намагайтеся зробити це за допомогою групи Office 365. Інакше учасники не зможуть створити групу в SharePoint, адже ця служба перевіряє групу безпеки.

  • За допомогою командлета Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True можна надати користувачам можливість створювати групи безпеки, а не групи Office 365. Докладні відомості див. в описі командлета Set-Msolcompanysettings.

  • Припустімо, ви виконали кроки, описані в цій статті, і надали користувачам право створювати групи Office 365. Але з якоїсь причини вони не можуть цього робити в Outlook. Перевірте, чи не перешкоджає цьому політика поштової скриньки OWA. Вона забезпечує додатковий набір елементів керування, які дають змогу блокувати створення груп Office 365 в Outlook.

Інсталяція попередньої версії Модуля Azure Active Directory для Windows PowerShell

УВАГА! Щоб виконати процедуру, описану в цій статті, знадобиться ПІДГОТОВЧА ВЕРСІЯ модуля Microsoft Azure Active Directory для Windows PowerShell (зокрема, модуль AzureADPreview версії 2.0.0.137 or later.).

Радимо завжди використовувати найновішу версію. Видаліть стару версію AzureADPreview та отримайте найновішу перед запуском команд PowerShell.

  1. Відкрийте Windows PowerShell як адміністратор:

    1. У полі пошуку введіть Windows PowerShell.

    2. Клацніть Windows PowerShell правою кнопкою миші та виберіть Запустити з правами адміністратора.

      Відкрийте PowerShell із правами адміністратора.

    Відкриється вікно Windows PowerShell. Напис C:\Windows\system32 вказує на те, що ви відкрили цей компонент від імені адміністратора.

    Вікно PowerShell під час першого відкриття.

  2. Щоб видалити попередню версію AzureADPreview, виконайте цю команду:

    Uninstall-Module AzureADPreview
  3. Щоб інсталювати найновішу версію AzureADPreview, виконайте цю команду:

    Install-Module AzureADPreview

    У повідомленні про ненадійне сховище введіть Y. Щоб інсталювати новий модуль, знадобиться близько хвилини.

Крок 1. Створення групи безпеки для користувачів, яким слід створити Групи Office 365

Щоб керувати тим, хто може створювати Групи Office 365, можна використовувати лише одну групу безпеки у вашій організації. Проте ви можете вкласти в неї інші групи безпеки. Наприклад, група "Дозвіл на створення груп" – це визначена група безпеки, а група "Користувачі Microsoft Planner та Exchange Online" входить до неї.

  1. У Центр адміністрування Office 365 створіть групу безпеки. Запам’ятайте її ім’я. Воно знадобиться пізніше.

    Створіть групу безпеки в Центрі адміністрування.

  2. Додайте користувачів або інші групи безпеки, у яких має бути можливість створення Групи Office 365 у вашій організації.

Докладні вказівки див. в статті Створення, редагування й видалення груп безпеки в Центрі адміністрування Office 365.

Крок 2. Виконання команд PowerShell

Найпоширеніші помилки – це відсутність модуля попереднього перегляду та орфографічні помилки. Не вводьте кожну команду вручну. Скопіюйте та вставте її та приклади в цій статті. Щоб переміщатися рядками команди, перш ніж запустити її, використовуйте клавіші зі стрілками ліворуч і праворуч, угору та вниз для переходу до попередньої команди. Якщо ви припустилися помилки, текст буде виділено червоним кольором й надійде попередження, що сталася помилка. Спробуйте ввести команду ще раз. Якщо у вас виникли проблеми, телефонуйте нам.

Ці кроки востаннє перевірено 6 листопада 2017 р.

  1. Якщо ви ще не відкрили вікно Windows PowerShell на комп’ютері, зробіть це (це може бути як звичайне вікно Windows PowerShell, так і вікно, відкрите за допомогою команди Запустити з правами адміністратора).

  2. Виконайте команди нижче. Після кожної команди натискайте клавішу Enter.

    Import-Module AzureADPreview
    Connect-AzureAD

    На екрані Увійдіть у свій обліковий запис, що з’явиться, введіть свій обліковий запис і пароль адміністратора Office 365, щоб підключитися до своєї служби, і натисніть кнопку Увійти.

    Введіть свої облікові дані Office 365.
  3. Знайдіть ім’я групи безпеки з кроку 1, використовуючи такий синтаксис:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Наприклад, я назву групу AllowedtoCreateGroups. Тож слід виконати таку команду:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Після цього з’являться властивості групи безпеки AllowedtoCreateGroups.

    Відомості про групу в Azure AD PowerShell

    Властивість ObjectID групи AllowedtoCreateGroups має значення afc88.... Не потрібно записувати параметр ObjectID групи безпеки, але вам знадобиться впізнати його на наступному кроці.

  4. Виконайте цю команду:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Виконайте цю команду:

    $Setting = $Template.CreateDirectorySetting()
  6. Виконайте цю команду:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Якщо з’явиться наведене нижче повідомлення про помилку, перейдіть до кроку 7. Це означає, що крок 6 виконувати не потрібно.

    Якщо з’явиться повідомлення про помилку, перейдіть до кроку 7.

    Інакше після успішного завершення командлет повертає ідентифікатор нового об’єкта налаштування.

  7. Виконайте цю команду:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Виконайте цю команду:

    $Setting["EnableGroupCreation"] = $False
  9. Дотримуйтеся цього синтаксису:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Наприклад, для групи AllowedtoCreateGroups слід виконати цю команду:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Виконайте цю команду:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Щоб перевірити, що в групі безпеки можна створювати групи, а інші користувачі у вашій організації не мають такої можливості, виконайте цю команду:

    (Get-AzureADDirectorySetting).Values

    Результат має виглядати так (але зі значенням ID для групи безпеки (саме тут ви маєте впізнати його)):

    Вікно PowerShell після налаштування.

    Лише учасники групи безпеки AllowedtoCreateGroups (Afc88abb.....) можуть створювати групи. Параметр EnableGroupCreation = False указує, що більше ніхто не може робити цього.

Крок 3. Перевірка правильності роботи

  1. Увійдіть в Office 365 із використанням облікового запису користувача, у якого не має бути можливості створення груп. Тобто він не має бути учасником створеної групи безпеки.

  2. Виберіть плитку Planner.

  3. У Planner виберіть Новий план.

    У Planner виберіть "Новий план".

  4. Після цього ви отримаєте повідомлення про те, що неможливо створити план:

    Повідомлення про те, що створити план не можна.

Що робити, якщо нічого не працює?

Перевірте, чи їх не блокує політика поштової скриньки OWA.

Якщо вам не вдалося вирішити проблему таким чином, зверніться до нас по допомогу.

Видалення обмеження на те, хто може створювати групи

Припустімо, що згодом вам потрібно видалити обмеження на те, хто може створювати групи. Виконайте цю команду:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Докладні відомості про керування групами

За замовчуванням усі користувачі Office 365 можуть створювати Групи Office 365:

  • Користувачі можуть створити до 250 Групи Office 365.

  • Кількість Групи Office 365, які можуть створювати адміністратори Office 365, необмежена.

  • За замовчуванням в Office 365 можна створити максимум 500 000 Групи Office 365, але за запитом цю кількість можна збільшити. Докладні відомості про обмеження Груп Office 365 див. в статті Групи Office 365 – довідка для адміністратора.

Кілька служб Office 365потребують можливості створювати Групи Office 365 для певних функцій. Наприклад, група створюється автоматично під час створення плану за допомогою Microsoft Planner. Це означає, що користувачі можуть ненавмисно створити багато груп, експериментуючи зі створенням планів.

Вам може знадобитися забезпечити суворіший контроль над створенням груп Office 365 і керувати тим, щоб не всі користувачі могли створити їх, а лише ті з користувачів служб Office 365, які цього потребують.

Примітка.: Ви можете контролювати, які користувачі можуть створювати Групи Office 365, але це не впливає на можливість усіх ліцензованих користувачів виконувати дії групи, наприклад створювати завдання в Planner або відповідати на розмови в Outlook.

Якщо ви вже створювали об’єкт налаштувань "Група" й вам потрібно змінити значення параметра (наприклад, вказати іншу групу), можна виконати наведені нижче дії.

  1. Відкрийте на комп’ютері вікно Windows PowerShell і виконайте таку команду:

    Import-Module AzureADPreview
    Connect-AzureAD

    На екрані Увійдіть у свій обліковий запис, що відобразиться, введіть свої облікові дані, щоб підключитися до своєї служби, і натисніть кнопку Увійти.

    Введіть свої облікові дані Office 365.
  2. Після підключення до служби Office 365 потрібно спочатку вказати об’єкт налаштувань "Група", що містить параметри конфігурації. Для цього вам знадобиться ObjectId. Якщо ви не знаєте його, його можна знайти, ввівши такий командлет:

    Get-AzureADDirectorySetting

    Після цього з’явиться поточний об’єкт налаштувань "Група" та ObjectId.

    Приклад значень, які можуть відображатися Пошук об’єкта параметрів групи
  3. Коли ви знайдете ObjectID для об’єкта налаштувань "Група", його можна використати, щоб вибрати об’єкт налаштувань "Група", що містить налаштування. Введіть такий командлет:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Наприклад, використовуючи ObjectId на зображенні вище.

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Ви повернетеся до командного рядка в модулі Windows Azure Active Directory.

  4. Вибравши об’єкт налаштувань "Група", перевірте поточні значення конфігурації, ввівши наведений нижче параметр:

    $setting.values
    Знімок екрана: список значень поточної конфігурації

    Після цього відобразиться значення параметрів об’єкта налаштувань "Група", і ви повернетеся до командного рядка в модулі Windows Azure Active Directory. У прикладі вище GroupCreationAllowedGroupId вказує, що учасники групи безпеки 1f8f32... можуть створювати групи. Значення False параметра EnableGroupCreation указує, що жоден співробітник організації не може створювати групи.

  5. Тепер ви можете внести певні зміни в значення параметра "Група". Наприклад, можна скористатися наведеним нижче командлетом, якщо потрібно вказати на іншу групу та дозволити створення груп:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Наприклад, давайте змінимо групу AllowedtoCreateGroups, установлену раніше, на іншу групу з ObjectId 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Після налаштування параметрів ви повернетеся до командного рядка в модулі Windows Azure Active Directory.

  6. Після налаштування нових параметрів ви можете застосувати їх до об’єкта налаштувань "Група", ввівши такі команди:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Наприклад, за допомогою ObjectID об’єкта налаштувань "Група" можна змінити наступне:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Ви повернетеся до командного рядка в модулі Windows Azure Active Directory.

  7. Щоб переконатися, що налаштування групи оновлено, виконайте командлет $settings.values і перевірте значення.

    Об’єкт налаштувань групи зі зміненим значенням

    Зверніть увагу, що параметр GroupCreationAllowedGroupId змінено на нову групу.

Пов’язані статті

Початок роботи з Office 365 PowerShell
Налаштування параметрів для Груп Office 365 в Azure AD
Запис блоґу: командлети Azure Active Directory для налаштування параметрів групи Командлети Azure Active Directory (MSDN)

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×