Quản lý người có thể tạo Nhóm Office 365

Cập nhật gần nhất vào 11/06/2018

Vì người dùng có thể dễ dàng tạo Nhóm Office 365 nên bạn sẽ không bị choáng ngợp với các yêu cầu tạo thay mặt những người khác. Tuy nhiên, tùy theo doanh nghiệp của bạn, bạn có thể muốn kiểm soát những người có khả năng tạo nhóm. Tại sao lại thực hiện như vậy?

Bài viết này giải thích cách vô hiệu hóa khả năng tạo nhóm trong mọi dịch vụ Office 365 sử dụng nhóm:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams: Cả người quản trị lẫn người dùng đều sẽ không thể tạo nhóm.

  • StaffHub: Cả người quản trị và người quản lý đều không thể tạo nhóm.

  • Planner: Người dùng sẽ không thể tạo kế hoạch mới trong web và các ứng dụng dành cho thiết bị di động của Planner.

  • PowerBI

Cách tốt nhất để thực hiện điều này là tạo một nhóm bảo mật, rồi chỉ những người trong nhóm bảo mật đó mới có thể tạo Nhóm Office 365 và các nhóm trong những ứng dụng này. Bài viết này sẽ hướng dẫn bạn qua các bước sau đây.

Để kiểm soát người tạo Nhóm Office 365, bạn sử dụng Windows PowerShell tương tự như cách nhập lệnh tại dấu nhắc C:\ trong môi trường DOS cũ. Nếu bạn chưa bao giờ sử dụng PowerShell, tác vụ này sẽ là một giới thiệu tuyệt vời về việc sử dụng PowerShell. Chúng tôi sẽ từng bước hướng dẫn bạn thực hiện những điều bạn cần thực hiện.

Những điều bạn cần biết trước khi bắt đầu

  • Cần có đăng ký đối với Azure Active Directory (Azure AD) Premium để thực hiện các bước trong bài viết này. Người quản trị đặt cấu hình cho cài đặt và thành viên của các nhóm bị ảnh hưởng phải được gán giấy phép Azure AD Premium. Để biết thêm thông tin, xem mục Bắt đầu với Azure Active Directory Premium.

  • Đừng sử dụng phiên bản GA Azure - Azure Active Directory PowerShell for Graph - để thực hiện các bước trong bài viết này. Cách đó không có hiệu quả.

  • Các lệnh PowerShell trong bài viết này chỉ thay đổi người có thể tạo Nhóm Office 365. Các lệnh này sẽ không ảnh hưởng đến phần còn lại trong môi trường Office 365 của bạn.

  • Bạn áp dụng các bước trong bài viết này một lần duy nhất ở tổ chức của mình, cho một nhóm bảo mật. Nếu bạn tìm cách áp dụng lại các bước cho nhóm bảo mật khác, bạn sẽ gặp lỗi có dạng như sau:

    A conflicting object with one or more of the specified property values is present in the directory.
  • Các bước trong bài viết này không ngăn các thành viên với các vai trò sau đây tạo Nhóm Office 365 trong Trung tâm quản trị Office 365. Tuy nhiên, lại ngăn không cho các thành viên đó tạo Nhóm Office 365 từ các ứng dụng, đồng thời ngăn các thành viên tạo nhóm (vì bạn không thể tạo nhóm trong Trung tâm quản trị Office 365).

    • Người quản trị Toàn cầu Office 365

    • Người quản trị Hộp thư

    • Hỗ trợ Đối tác Cấp 1

    • Hỗ trợ Đối tác Cấp 2

    • Người viết Thư mục

    Nếu bạn là thành viên của một trong các vai trò này, bạn có thể tạo Nhóm Office 365 cho người dùng bị hạn chế, rồi gán người dùng đó với tư cách là chủ sở hữu của nhóm.

  • Điều quan trọng là bạn phải sử dụng nhóm bảo mật - như được mô tả ở Bước 1 của bài viết này - để hạn chế người có thể tạo nhóm Office 365. Không tìm cách sử dụng Nhóm Office 365 cho mục đích này. Nếu bạn tìm cách sử dụng Nhóm Office 365, các thành viên sẽ không thể tạo nhóm từ SharePoint vì thao tác đó sẽ kiểm tra nhóm bảo mật.

  • Việc đặt  Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True chỉ cho phép người dùng được quyền tạo nhóm Bảo mật chứ không phải nhóm Office 365. Để biết thêm thông tin về lệnh ghép ngắn này, hãy xem Set-Msolcompanysettings.

  • Giả sử bạn thực hiện các bước trong bài viết này rồi cung cấp khả năng tạo Nhóm Office 365 cho một số người. Tuy nhiên, vì một số lý do nên họ vẫn không thể tạo nhóm Office 365 bằng Outlook. Hãy kiểm tra xem họ không bị chặn thông qua Chính sách hộp thư OWA. Điều này sẽ cung cấp kiểm soát bổ sung để chặn việc tạo nhóm Office 365 bằng Outlook.

Cài đặt phiên bản xem trước của Azure Active Directory PowerShell for Graph

QUAN TRỌNG: Bạn không thể cài đặt đồng thời cả phiên bản xem trước lẫn phiên bản GA trên cùng một máy tính.

Tốt nhất, chúng tôi khuyên bạn luôn duy trì cập nhật: gỡ cài đặt phiên bản AzureADPreview cũ hoặc AzureAD cũ, rồi tải phiên bản mới nhất.

  1. Mở Windows PowerShell với tư cách người quản trị:

    Cửa sổ Windows PowerShell sẽ bật ra. Dấu nhắc C:\Windows\system32 cho biết bạn đã mở ứng dụng với tư cách người quản trị.

    Giao diện của PowerShell khi bạn mở lần đầu.

    1. Trong thanh tìm kiếm, nhập Windows PowerShell.

    2. Bấm chuột phải vào Windows PowerShell, rồi chọn Chạy với tư cách người quản trị.

      Mở PowerShell với tư cách "Chạy với tư cách người quản trị".

  2. Kiểm tra mô-đun đã cài đặt:

    Get-InstalledModule -Name "AzureAD*"

3. Để gỡ cài đặt phiên bản trước của AzureADPreview hoặc AzureAD, hãy chạy lệnh sau:

   Uninstall-Module AzureADPreview

hoặc

   Uninstall-Module AzureAD

4. Để cài đặt phiên bản mới nhất của AzureADPreview, chạy lệnh sau:

   Install-Module AzureADPreview

Tại thông báo về kho lưu trữ không đáng tin cậy, nhập Y. Sẽ mất khoảng một phút để cài đặt mô-đun mới.

Bước 1: Tạo nhóm bảo mật dành cho người dùng cần tạoNhóm Office 365

Chỉ có thể sử dụng một nhóm bảo mật trong tổ chức để kiểm soát người có thể tạo Nhóm Office 365. Tuy nhiên, bạn có thể lồng các nhóm bảo mật khác với tư cách là thành viên trong nhóm này. Ví dụ: nhóm có tên Cho phép Tạo Nhóm là nhóm bảo mật chỉ định và các nhóm có tên Người dùng Microsoft Planner cũng như Người dùng Exchange Online là thành viên của nhóm đó.

  1. Trong Trung tâm quản trị Office 365, tạo nhóm loại nhóm Bảo mật. Hãy nhớ tên của nhóm! Bạn sẽ cần nhóm đó sau này.

    Tạo nhóm bảo mật trong trung tâm quản trị.

  2. Thêm người hoặc các nhóm bảo mật khác bạn muốn có thể tạo nhóm Nhóm Office 365 trong tổ chức của mình.

Để biết hướng dẫn chi tiết, hãy xem mục Tạo, chỉnh sửa hoặc xóa nhóm bảo mật trong Trung tâm quản trị Office 365.

Bước 2: Chạy các lệnh PowerShell

Lỗi phổ biến nhất là không có mô-đun bản xem trước và các lỗi đánh máy. Thay vì nhập từng lệnh, hãy sao chép cũng như dán các lệnh và ví dụ trong bài viết này. Bạn có thể sử dụng các phím mũi tên trái và phải để di chuyển xung quanh trong một lệnh trước khi chạy lệnh đó, cũng như các phím mũi tên lên và xuống để cuộn lùi trên các lệnh trước đó. Nếu bạn gây ra lỗi, bạn sẽ nhận được một loạt văn bản màu đỏ cho biết đã xảy ra lỗi. Chỉ cần thử nhập lệnh lại lần nữa. Nếu bạn gặp sự cố, hãy gọi cho chúng tôi!

Các bước này đã được thử nghiệm và xác minh gần nhất vào 18/04/2018. Hãy nhớ sử dụng phiên bản AzureADPreview, không phải Azure Active Directory PowerShell for Graph.

  1. Nếu bạn chưa mở, hãy mở cửa sổ Windows PowerShell trên máy tính (không quan trọng rằng đây là cửa sổ Windows PowerShell bình thường hay cửa sổ bạn đã mở bằng cách chọn Chạy với tư cách người quản trị).

  2. Chạy các lệnh sau. Nhấn Enter sau mỗi lệnh.

    Import-Module AzureADPreview
    Connect-AzureAD

    Trong màn hình Đăng nhập vào Tài khoản của bạn mở ra, nhập tài khoản và mật khẩu người quản trị Office 365 của bạn để kết nối với dịch vụ, rồi bấm Đăng nhập.

    Nhập thông tin xác thực Office 365 của bạn
  3. Tìm tên nhóm bảo mật của bạn từ Bước 1 bằng cú pháp sau đây:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    Ví dụ: tôi đã đặt tên nhóm của mình là AllowedtoCreateGroups. Vì vậy, tôi sẽ chạy:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    Thao tác này sẽ hiển thị các thuộc tính của nhóm bảo mật AllowedtoCreateGroups của tôi.

    Nhóm thông tin thông qua Azure AD PowerShell

    Bạn có thể thấy rằng giá trị thuộc tính ObjectID của nhóm AllowedtoCreateGroups của tôi là afc88... Bạn không cần ghi lại ObjectID từ nhóm bảo mật của mình, tuy nhiên, bạn sẽ cần phải nhận diện được ID đó trong bước sau.

  4. Chạy lệnh này:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. Chạy lệnh này:

    $Setting = $Template.CreateDirectorySetting()
  6. Chạy lệnh này:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    Nếu bạn gặp lỗi như này, hãy chuyển sang bước 7. Thông báo lỗi nghĩa là bạn không cần phải thực hiện bước 6.

    Nếu bạn nhận được một thông báo lỗi, hãy chuyển sang bước 7.

    Nếu không, khi hoàn tất thành công, lệnh ghép ngắn sẽ trả về ID đối tượng cài đặt mới.

  7. Chạy lệnh này:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. Chạy lệnh này:

    $Setting["EnableGroupCreation"] = $False
  9. Sử dụng cú pháp sau:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    Ví dụ: tôi đã đặt tên nhóm của mình là AllowedtoCreateGroups, vì vậy tôi sẽ chạy lệnh này:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. Chạy lệnh này:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. Để xác minh nhóm bảo mật của bạn CÓ THỂ tạo nhóm còn những người khác trong tổ chức của bạn không thể tạo nhóm, hãy chạy lệnh sau:

    (Get-AzureADDirectorySetting).Values

    Kết quả sẽ trông như thế này (nhưng có giá trị ID cho nhóm bảo mật của bạn - đây là nơi bạn cần nhận diện được giá trị đó):

    Đây là diện mạo cài đặt của bạn sau khi bạn hoàn tất.

    Chỉ những thành viên của nhóm bảo mật AllowedtoCreateGroups (Afc88abb... ) mới có thể tạo nhóm. Không ai khác có thể tạo nhóm, như đã xác định bởi EnableGroupCreation = False.

Bước 3: Xác minh hoạt động

  1. Đăng nhập vào Office 365 bằng tài khoản người dùng của một người KHÔNG có khả năng tạo nhóm. Tức là họ không phải là thành viên của nhóm bảo mật bạn đã tạo.

  2. Chọn ô Planner.

  3. Trong Planner, chọn Kế hoạch Mới để tạo kế hoạch.

    Trong Planner, chọn Kế hoạch mới.

  4. Bạn sẽ nhận được thông báo rằng bạn không thể tạo kế hoạch:

    Thông báo rằng bạn không thể tạo kế hoạch.

Tôi nên làm gì nếu tính năng này không hoạt động?

Hãy kiểm tra xem họ không bị chặn thông qua Chính sách hộp thư OWA.

Nếu cách này không khắc phục được sự cố, hãy gọi cho chúng tôi để được trợ giúp.

Loại bỏ hạn chế những người có thể tạo nhóm

Giả sử sau một lúc, bạn muốn loại bỏ giới hạn bạn cho phép những người có thể tạo nhóm. Chạy lệnh này:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

Thêm thông tin về việc quản lý nhóm

Toàn bộ người dùng Office 365 đều có thể tạo Nhóm Office 365 theo mặc định:

  • Mỗi người dùng có thể tạo tối đa 250 Nhóm Office 365.

  • Người quản trị Office 365 không có giới hạn về số lượng Nhóm Office 365 họ có thể tạo.

  • Số Nhóm Office 365 tối đa mặc định mà một tổ chức Office 365 có thể có hiện nay là 500.000 nhưng có thể tăng theo yêu cầu. Để biết thêm thông tin về giới hạn Nhóm Office 365, hãy xem mục Nhóm Office 365 - Trợ giúp quản trị.

Một vài dịch vụOffice 365yêu cầu khả năng tạo Nhóm Office 365 cho các chức năng cụ thể. Ví dụ: một nhóm được tạo tự động khi một kế hoạch được tạo bằng cách sử dụng Microsoft Planner. Điều này có nghĩa là người dùng có thể vô tình tạo nhiều nhóm khi họ thử nghiệm tạo kế hoạch.

Bạn có thể muốn kiểm soát chặt chẽ hơn nữa việc tạo Nhóm Office 365 và ưu tiên không phải tất cả mọi người đều có thể tạo Nhóm - rằng chỉ những người dùng dịch vụ Office 365 yêu cầu tạo Nhóm Office 365 mới được phép tạo Nhóm.

Lưu ý: Lưu ý rằng trong khi bạn có thể kiểm soát người dùng có thể tạo Nhóm Office 365, điều đó không ảnh hưởng tới khả năng của tất cả người dùng được cấp phép tham gia vào các hoạt động nhóm, như tạo tác vụ trong Planner hoặc phản hồi cuộc hội thoại trong Outlook.

Nếu trước đó bạn đã tạo đối tượng cài đặt Nhóm và cần thay đổi giá trị của một cài đặt (ví dụ: chỉ định một nhóm khác), bạn có thể sử dụng quy trình sau đây.

  1. Mở cửa sổ Windows PowerShell trên máy tính của bạn, rồi chạy lệnh sau đây:

    Import-Module AzureADPreview
    Connect-AzureAD

    Trong màn hình Đăng nhập vào Tài khoản của bạn mở ra, nhập thông tin xác thực của bạn để kết nối bạn với dịch vụ, rồi bấm vào Đăng nhập.

    Nhập thông tin xác thực Office 365 của bạn
  2. Sau khi kết nối với dịch vụ Office 365, trước tiên bạn cần tham chiếu đối tượng cài đặt Nhóm có chứa cài đặt cấu hình. Để thực hiện thao tác này, bạn sẽ cần Id_Đối tượng của đối tượng đó. Nếu bạn không biết Id_Đối tượng, bạn có thể tìm kiếm bằng cách nhập, rồi nhập lệnh ghép ngắn sau đây:

    Get-AzureADDirectorySetting

    Việc này sẽ hiển thị đối tượng cài đặt Nhóm hiện tại, bao gồm Id_Đối tượng của đối tượng đó.

    Ví dụ về giá trị có thể xuất hiện Tìm đối tượng Cài đặt Nhóm
  3. Sau khi tìm ID_Đối tượng cho đối tượng Cài đặt Nhóm, bạn có thể sử dụng ID đó để chọn đối tượng cài đặt Nhóm có chứa cài đặt của bạn. Nhập, rồi nhập lệnh ghép ngắn sau:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    Ví dụ: bằng cách sử dụng Id_Đối tượng trong đồ họa ở trên

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Bạn sẽ được trả về lời nhắc trong Mô-đun Windows Azure Active Directory.

  4. Sau khi chọn đối tượng cài đặt Nhóm, bạn nên kiểm tra các giá trị cấu hình hiện tại bằng cách nhập, rồi nhập nội dung sau:

    $setting.values
    Ảnh chụp màn hình danh sách các giá trị cấu hình hiện tại

    Việc này sẽ hiển thị các giá trị cài đặt cho đối tượng cài đặt Nhóm, đồng thời sẽ trả về cho bạn lời nhắc trong Mô-đun Windows Azure Active Directory. Trong ví dụ trên GroupCreationAllowedGroupId cho biết các thành viên của nhóm bảo mật 1f8f32... có thể tạo nhóm. Đồng thời, vì EnableGroupCreation = "False" nên không ai khác trong công ty có thể tạo nhóm.

  5. Giờ đây, bạn có thể thực hiện thay đổi cụ thể cho các giá trị cài đặt Nhóm. Ví dụ: bạn có thể sử dụng lệnh ghép ngắn sau đây nếu muốn trỏ tới một nhóm khác để cho phép tạo Nhóm:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    Ví dụ: hãy thay đổi từ nhóm AllowedtoCreateGroups mà chúng ta đã đặt trước đó sang một nhóm khác chúng ta đã tạo với Id_Đối tượng 3054dce3-37e6-437a-a817-2363272cac1c:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    Sau khi đặt cấu hình cài đặt của mình, bạn sẽ được trả về lời nhắc trong Mô-đun Windows Azure Active Directory.

  6. Sau khi đặt cấu hình cài đặt mới của mình, bạn có thể áp dụng cài đặt trực tiếp cho đối tượng cài đặt Nhóm bằng cách nhập, rồi nhập các thao tác sau:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    Ví dụ: sử dụng ID_Đối tượng của đối tượng cài đặt Nhóm chúng tôi đang chỉnh sửa:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Bạn sẽ được trả về lời nhắc trong Mô-đun Windows Azure Active Directory.

  7. Bạn có thể xác minh cài đặt Nhóm của bạn đã được cập nhật bằng cách chạy lệnh ghép ngắn $settings.values, rồi xác minh các giá trị.

    Đối tượng cài đặt nhóm có giá trị thay đổi

    Lưu ý rằng cài đặt GroupCreationAllowedGroupId đã thay đổi đối với nhóm mới của bạn.

Bài viết liên quan

Bắt đầu với Office 365 PowerShell

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×