管理谁可以创建 Office 365 组

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

参与者: 丁娜
上次更新时间 30 年 8 月,2017年

因为它是以便用户可以方便地创建 Office 365 组,您不出现大量来创建制表位代表其他人的请求。但是,具体取决于您的业务,您可能希望控制哪些人可以创建组的能力。为什么执行此操作?

本文提供了要关闭的能力来创建组所使用的组的所有 Office 365 服务中的步骤: Outlook、 规划器、 SharePoint、 Yammer 和 Microsoft 团队。仅在您创建的安全组的用户将能够在这些应用程序中创建 Office 365 组。

若要控制哪些人创建 Office 365 组,您可以使用 Windows PowerShell,非常如同在旧 DOS 环境 C:\ 提示符下键入命令。如果您以前从未使用过 PowerShell,此任务是出色简介使用它。我们将引导您完成您需要执行的操作,分步说明。

开始之前需了解的事项

  • 本文中的 PowerShell 命令仅更改哪些人可以创建 Office 365 组。它们不会影响您的 Office 365 环境的其余部分。

  • 您可以在您的组织,一个安全组应用一次只能在本文中的步骤操作。如果您尝试再次应用的其他安全组,您会收到如下所示的错误:

    A conflicting object with one or more of the specified property values is present in the directory.
  • 本文中的步骤不在Office 365 管理中心中创建Office 365 组阻止的以下角色的成员。但是,它会阻止从创建Office 365 组从应用它们

    • Office 365 全局管理员

    • 邮箱管理员

    • 合作伙伴 Tier1 支持

    • 合作伙伴 Tier2 支持

    • 目录撰稿人创作

    如果您是某个这些角色的成员,您可以创建Office 365 组受限的用户,然后向用户分配作为组的所有者。

  • 值得使用安全组-步骤 1 中的这篇文章-来限制哪些人可以创建 Office 365 组所述。请勿尝试使用 Office 365 组。如果您尝试使用 Office 365 组,成员将无法从 sharepoint 网站上创建组,因为它会检查安全组。

  • 设置Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True仅可让用户能够创建安全组,请不要使用 Office 365 组的权限。有关此 cmdlet 的详细信息,请参阅Set-msolcompanysettings

  • 假设您执行本文中的步骤并让某些用户能够创建Office 365 组。但是,由于某种原因他们不能 !检查,它们未被阻止通过其OWA 邮箱策略

安装预览版的 用于 Windows PowerShell 的 Azure Active Directory 模块

重要提示:本文中的步骤需要预览版 用于 Windows PowerShell 的 Azure Active Directory 模块,具体而言是 AzureADPreview 模块,版本为 2.0.0.137 or later.

建议的最佳做法是始终保持最新:先卸载旧的 AzureADPreview 版本并获取最新版本,然后再运行 PowerShell 命令。

  1. 以管理员身份打开 Windows PowerShell:

    1. 在搜索栏中,键入 Windows PowerShell

    2. 右键单击 Windows PowerShell,然后选择“以管理员身份运行”。

      通过“以管理员身份​​运行​​”打开 PowerShell。

    Windows PowerShell 窗口会弹出打开。提示 C:\Windows\system32 意味着以管理员身份打开它。

    PowerShell 在首次打开时的显示外观。

  2. 要卸载早期版本的 AzureADPreview,请运行以下命令:

    Uninstall-Module AzureADPreview
  3. 要安装最新版本的 AzureADPreview,请运行以下命令:

    Install-Module AzureADPreview

    在有关不受信任的存储库的消息中,键入 Y。安装新模块需要一分钟左右的时间。

步骤 1: 创建安全组的用户需要创建Office 365 组

只有一个在您的组织中的安全组可以用于控制哪些用户可以创建Office 365 组。但是,您可以嵌套其他安全组为此组的成员。例如,名为允许组创建组是指定的安全组中,并且名为Microsoft Planner用户和 Exchange Online 用户的组是该组的成员。

  1. 在Office 365 管理中心,创建安全组类型的组。请记住组的名称 !您将需要使用它。

    在管理中心中创建安全组。

  2. 添加人员或您希望能够在您的组织中创建Office 365 组组其他安全组

有关详细说明,请参阅创建、 编辑或删除 Office 365 管理中心中的安全组

步骤 2: 运行 PowerShell 命令

最常见的错误不存在的预览模块和拼写错误。无需键入每个命令中,,复制并粘贴本文中的命令和示例。您可以使用左和右箭头键移动命令中运行它,然后向上和向下箭头以滚动之前返回到上一个命令。如果发生误操作,您将获得大量红色文本时出现错误。只需尝试再次键入该命令。如果您有疑问,呼叫我们

这些步骤上次和测试上 23-6-2017 验证。

  1. 如果尚未执行此操作,打开计算机上的 Windows PowerShell 窗口(可以是普通 Windows PowerShell 窗口,也可以是通过选择“以管理员身份运行”打开的窗口)。

  2. 运行以下命令。在每个命令后,按 Enter

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入 Office 365 管理员帐户和密码以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  3. 通过使用以下语法步骤 1中查找您的安全组的名称:

    Get-AzureADGroup -SearchString "<Name of your security group>"

    例如,我已命名的 AllowedtoCreateGroups 我组。使我需要运行:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    这将显示我 AllowedtoCreateGroups 安全组的属性。

    通过 PowerShell 的 Azure AD 组信息

    您可以看到我 AllowedtoCreateGroups 组的ObjectID属性值是afc88...不需要记下您的安全组ObjectID ,但您需要能够将其识别在后面的步骤。

  4. 运行此命令:

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. 运行此命令:

    $Setting = $Template.CreateDirectorySetting()
  6. 运行此命令:

    New-AzureADDirectorySetting -DirectorySetting $Setting

    成功完成后,该 cmdlet 返回新设置对象的 ID。

  7. 运行此命令:

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. 运行此命令:

    $Setting["EnableGroupCreation"] = $False
  9. 使用以下语法:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    例如,我命名 AllowedtoCreateGroups,我的用户组,以便我需要运行以下命令:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. 运行此命令:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. 若要验证您的安全组可以创建组,并且您的组织中的其他所有人都不能运行此命令:

    (Get-AzureADDirectorySetting).Values

    结果应如下所示 (但ID值为您的安全组-这是您需要能够将其识别):

    这是当您设置完成后的外观。

步骤 3: 验证其工作方式

  1. 使用不应具有的能力来创建组的人的用户帐户登录到 Office 365。即,它们不是您创建的安全组的成员。

  2. 选择规划器磁贴。

  3. 在规划器中选择新计划以创建一个计划。

    在规划器中,选择新计划。

  4. 您应收到一条消息,您不能创建计划:

    不能创建一个计划的消息。

如果它不起作用,该怎么办?

检查,它们未被阻止通过其OWA 邮箱策略

如果这不能解决问题,呼叫我们以获取帮助

删除对哪些人可以创建组的限制

假设一段时间后您想要删除您将在哪些人可以创建组的限制。运行以下命令:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

管理组的详细信息

默认情况下,所有Office 365用户可以都创建Office 365 组 :

  • 用户可以创建多达 250 Office 365 组每个。

  • Office 365 管理员的他们可以创建的Office 365 组数有无限制。

  • 默认最大数目Office 365 组具有 Office 365 组织可以是当前 500000,但可以按请求增加。Office 365 组限制的详细信息,请参阅Office 365 组-管理员帮助

多个Office 365服务需要创建的特定函数Office 365 组的能力。例如,组时自动创建使用Microsoft Planner创建的计划。这意味着用户无意中可以创建大量的组,他们创建计划试用。

您可能希望创建 Office 365 组的更紧密控件,并且喜欢并非每个人都可以创建这些-允许用户需要 Office 365 组创建的 Office 365 服务的来创建制表位。

注意: 请注意时,您可以控制哪些用户可以创建Office 365 组,它不会影响所有许可用户能够参与组活动,如规划器或响应在 Outlook 中的对话中创建任务。

如果您以前创建了一个组设置对象,并且需要更改设置的值 (例如,指定不同的组),您可以使用以下过程。

  1. 打开您的计算机上Windows PowerShell窗口并运行以下命令:

    Import-Module AzureADPreview
    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入凭据以连接到服务,然后单击“登录”。

    输入 Office 365 凭据
  2. 连接到您的Office 365服务之后,您首先需要的引用组设置对象,其中包含的配置设置。若要执行此操作,您需要为其对象 Id。如果您不知道对象 Id,您可以搜索其通过键入并输入以下 cmdlet:

    Get-AzureADDirectorySetting

    这将显示当前组设置对象,包括其对象 Id。

    可能会显示的值的示例 查找组设置对象
  3. 查找组设置对象的对象 Id 之后, 您可以使用它来选择包含您的设置的组设置对象。键入,然后输入以下 cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    例如,在上图中使用对象 Id

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    您将返回到 Windows Azure Active Directory 模块中的提示。

  4. 选定组设置对象后,您应该检查的当前配置值通过键入并输入以下命令:

    $setting.values
    当前的配置值的列表的屏幕截图

    这将显示组设置对象的设置值,将返回到 Windows Azure Active Directory 模块中的提示。请注意在上面的示例, EnableGroupCreation设置为"False" GroupCreationAllowedGroupId当前指定组。

  5. 现在,您可以更改特定组设置值。如果您想要指向不同的组以允许组创建,作为示例,您可以使用以下 cmdlet:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    例如,让我们从AllowedtoCreateGroups组我们以前设置,向我们的3054dce3-37e6-437a-a817-2363272cac1c对象 Id 与创建了另一个组更改:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    配置您的设置后,您将返回到 Windows Azure Active Directory 模块中的提示。

  6. 配置您的新设置后,您可以应用直接向组设置对象设置通过键入并输入以下命令:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    例如,使用组设置对象的对象 Id 我们正在编辑:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    您将返回到 Windows Azure Active Directory 模块中的提示。

  7. 可以通过运行 $settings.values cmdlet 并验证值验证您的组设置的已更新

    使用更改的值的组设置对象

    请注意, GroupCreationAllowedGroupId设置更改为新组。

相关文章

Office 365 PowerShell 入门
配置设置 Office 365 中的组 Azure AD
博客文章: 用于配置组设置的 Azure Active Directory cmdlet Azure Active DirectoryCmdlet-MSDN

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×