管理可创建 Office 365 组的人员

撰稿人: 丁娜
上次更新时间:2017 年 11 月 6 日

由于用户非常容易即可创建 Office 365 组,因而你无需处理大量代表其他人员创建组的请求。但是,根据具体业务而定,你可能希望控制可以创建组的人员。为什么执行此操作?

本文介绍如何在所有使用组的 Office 365 服务中禁用组创建权限:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams:管理员和用户均无法创建团队。

  • StaffHub:管理员和经理均无法创建团队。

  • Planner:用户无法创建计划。

实现该目标的最佳方式是创建一个安全组,仅该安全组中的人员可以在这些应用中创建 Office 365 组和团队。本文逐步演示各个步骤。

若要控制可以创建 Office 365 组的人员,请使用 Windows PowerShell(该方法与在旧版 DOS 环境中的 C:\ 提示符下键入命令非常相似)。如果你从未使用过 PowerShell,可以通过本任务很好地了解其使用方法。我们会逐步引导你完成所需操作。

开始之前需了解的事项

  • 本文中的 PowerShell 命令仅更改可以创建 Office 365 组的人员。它们不会影响 Office 365 环境的其他方面。

  • 本文中的步骤仅可一次性地应用于组织中的一个安全组。如果尝试将这些步骤应用于另一安全组,则会出现类似如下的错误:

    A conflicting object with one or more of the specified property values is present in the directory.
  • 本文中的步骤不会阻止以下角色成员在 Office 365 管理中心内创建 Office 365 组。但是,这些步骤会仍会阻止此类成员在应用中创建 Office 365 组,并且会阻止他们创建团队(原因在于你无法在 Office 365 管理中心内创建团队)。

    • Office 365 全局管理员

    • 邮箱管理员

    • 合作伙伴层级 1 支持

    • 合作伙伴层级 2 支持

    • 目录作者

    如果你属于以上其中一种角色的成员,则可以为受限用户创建 Office 365 组,然后将该用户分配为组所有者。

  • 如本文步骤 1 所述,请使用“安全组”来限制可以创建 Office 365 组的人员,这一点非常重要。请勿使用 Office 365 组来实现此目的。如果尝试使用 Office 365 组,则成员无法通过 SharePoint 创建组,因为它会检查是否存在安全组。

  • 设置 Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True 将仅为用户启用创建安装组的权限,而不会启用创建 Office 365 组的权限。有关此 cmdlet 的详细信息,请参阅 Set-Msolcompanysettings

  • 假设你已按照本文中的步骤,授予某些人员创建 Office 365 组 的权限。但是出于某些原因,他们仍然无法使用 Outlook​​ 创建 Office 365 组。请检查是否由于 OWA 邮箱策略而导致他们的权限受到阻止。该邮箱策略提供额外的控制措施来阻止使用 Outlook​​ 创建 Office 365 组。

安装预览版的 用于 Windows PowerShell 的 Azure Active Directory 模块

重要提示:本文中的步骤需要预览版 用于 Windows PowerShell 的 Azure Active Directory 模块,具体而言是 AzureADPreview 模块,版本为 2.0.0.137 or later.

建议的最佳做法是始终保持最新:先卸载旧的 AzureADPreview 版本并获取最新版本,然后再运行 PowerShell 命令。

  1. 以管理员身份打开 Windows PowerShell:

    1. 在搜索栏中,键入 Windows PowerShell

    2. 右键单击 Windows PowerShell,然后选择“以管理员身份运行”。

      通过“以管理员身份​​运行​​”打开 PowerShell。

    Windows PowerShell 窗口会弹出打开。提示 C:\Windows\system32 意味着以管理员身份打开它。

    PowerShell 在首次打开时的显示外观。

  2. 要卸载早期版本的 AzureADPreview,请运行以下命令:

    Uninstall-Module AzureADPreview
  3. 要安装最新版本的 AzureADPreview,请运行以下命令:

    Install-Module AzureADPreview

    在有关不受信任的存储库的消息中,键入 Y。安装新模块需要一分钟左右的时间。

步骤 1:为需要创建 Office 365 组 的用户创建一个安全组

只能在组织中使用一个安全组来控制哪些人员可以创建 Office 365 组。但是,你可以将其他安全组包含在内作为该组的成员。例如,名为“允许创建组”的组作为指定的安全组,名为“Microsoft Planner 用户”和“Exchange Online 用户”的组作为该安全组的成员。

  1. 在 Office 365 管理中心 中,创建一个“安全组”类型的组。请记住该组的名称!稍后需要用到该名称。

    在管理中心创建安全组。

  2. 添加你希望可以在组织中创建 Office 365 组 组的人员或其他安全组。

有关详细说明,请参阅在 Office 365 管理员中心内创建、编辑或删除安全组

步骤 2:运行 PowerShell 命令

最常见的错误是无预览模块以及键入错误。无需键入每个命令,复制并粘贴本文中的命令和示例即可。运行命令之前,可以使用向左键和向右键在命令中移动光标位置,并且可以使用向上键和向下键来回滚动之前的命令。如果出错,则会显示一串红色文本,表明此处存在错误。只需重新键入命令即可。如果遇到困难,请致电我们

上次测试和验证这些步骤的时间为 2017 年 11 月 6 日

  1. 如果尚未执行此操作,打开计算机上的 Windows PowerShell 窗口(可以是普通 Windows PowerShell 窗口,也可以是通过选择“以管理员身份运行”打开的窗口)。

  2. 运行以下命令。在每个命令后,按 Enter

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入 Office 365 管理员帐户和密码以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  3. 使用如下语法,查找步骤 1 中所用的安全组名称:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    例如,我将我的组命名为 AllowedtoCreateGroups。因此我会运行如下语法:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    这会显示 AllowedtoCreateGroups 安全组的属性。

    通过 Azure AD PowerShell 对信息分组

    可以看到,AllowedtoCreateGroups 组的 ObjectID 属性值为 afc88...,你无需记下你的安全组的 ObjectID,但是在之后的步骤中你需要能够识别出该属性值。

  4. 运行以下命令:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. 运行以下命令:

    $Setting = $Template.CreateDirectorySetting()
  6. 运行以下命令:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    如果出现与此类似的错误,请跳至步骤 7。该错误消息表明无需执行步骤 6。

    如果出现错误消息,请跳至步骤 7。

    否则,成功完成后,该 cmdlet 即会返回新设置对象的 ID。

  7. 运行以下命令:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. 运行以下命令:

    $Setting["EnableGroupCreation"] = $False
  9. 使用此语法:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    例如,我将我的组命名为 AllowedtoCreateGroups ,因此我将运行以下命令:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. 运行以下命令:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. 若要验证你的安全组可以创建组,而组织中的其他人员无法进行创建,请运行以下命令:

    (Get-AzureADDirectorySetting).Values

    结果应类似如下所示(但具有你的安全组的 ID 值 - 在此需要能够识别该值):

    完成后,设置与下方类似。

    AllowedtoCreateGroups 安全组 (Afc88abb.....) 的成员可以创建组。如“EnableGroupCreation = False”所示,其他任何人员均无法创建组。

步骤 3:验证有效性

  1. 使用不应具备组创建权限的人员的用户帐户登录 Office 365。即是说,他们不是你所创建的安全组的成员。

  2. 选择“Planner”磁贴。

  3. 在 Planner 中,选择“新建计划”以创建计划。

    在 Planner 中,选择“新建计划”。

  4. 此时应看到如下消息,告知你无法创建计划:

    告知你无法创建计划的消息。

如果不起作用,应该怎么办?

请检查是否由于 OWA 邮箱策略而导致他们的权限受到阻止。

如果这无法解决该问题,请致电我们获取帮助

删除有关对可以创建组的人员的限制

假设一段时间过后,你希望删除对可以创建组的人员的限制。运行以下命令:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

有关管理组的更多信息

默认情况下所有 Office 365 用户均可创建 Office 365 组:

  • 每位用户最多可创建 250 个 Office 365 组。

  • Office 365 管理员可创建的 Office 365 组没有数量限制。

  • 虽然目前 Office 365 组织可拥有的默认最大 Office 365 组数量为 500,000,但是如果申请,数量可以增加。有关 Office 365 组限制的详细信息,请参阅 Office 365 组 - 管理员帮助

部分 Office 365 服务的某些特定功能需要创建 Office 365 组的权限。例如,使用 Microsoft Planner 创建计划时会自动创建一个组。这意味着用户在体验计划创建时可能在无意之中创建大量的组。

你可能希望对创建 Office 365 组进行更严格的控制,使得并非所有人皆可创建组,而是仅允许需要创建 Office 365 组的 Office 365 服务用户创建组。

注意: 请注意,虽然你可以控制哪些用户可以创建 Office 365 组,但是这并不会影响所有许可用户参与组活动的能力,例如在 Planner 中创建任务或响应 Outlook​​ 中的会话。

如果之前你已创建了组设置对象,并且需要更改设置的值(例如指定不同的组),则可以按照如下过程操作。

  1. 在计算机上打开 Windows PowerShell 窗口并运行以下命令:

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入凭据以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  2. 连接到 Office 365 服务后,首先需要引用包含配置设置的组设置对象。为此,将需要 ObjectId。如果不知道 ObjectId,可以键入和输入以下 cmdlet 进行搜索:

    Get-AzureADDirectorySetting

    这将显示当前组设置对象(包括其 ObjectId)。

    可能出现的值的示例 查找组设置对象
  3. 找到组设置对象的 ObjectID 后,你可使用它来选择包含你的设置的组设置对象。键入和输入以下 cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    例如,使用上图中的 ObjectId

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    你将会返回到 Windows Azure Active Directory 模块中的提示符下。

  4. 选择组设置对象后,应键入和输入以下命令检查当前配置值

    $setting.values
    当前配置值列表的屏幕截图

    这会显示组设置对象的设置值,并返回到 Windows Azure Active Directory 模块中的提示符下。在上例中,GroupCreationAllowedGroupId 表明安全组“1f8f32...”的成员可以创建组。由于 EnableGroupCreation =“False”,因此公司中的其他任何人员均无法创建组。

  5. 现在,你可以对组设置值进行具体更改。如果你希望指向不同的组以允许创建组,你可以使用以下示例 cmdlet:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    例如,让我们将之前设置的 AllowedtoCreateGroups 组改为我们已创建的另一个组(ObjectId 为 3054dce3-37e6-437a-a817-2363272cac1c):

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    配置设置后,你将会返回到 Windows Azure Active Directory 模块中的提示符下。

  6. 配置新设置后,通过键入和输入以下命令可以将设置直接应用到组设置对象

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    例如,使用我们正在编辑的组设置对象的 ObjectID:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    你将会返回到 Windows Azure Active Directory 模块中的提示符下。

  7. 可以通过运行 $settings.values cmdlet 并验证值来确保已更新组设置

    更改了值的组设置对象

    请注意,GroupCreationAllowedGroupId 设置已变更为新组。

相关文章

Office 365 PowerShell 入门
在 Azure AD 中为 Office 365 组配置设置
博客文章:用于配置组设置的 Azure Active Directory cmdlet Azure Active Directory Cmdlet - MSDN

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×