管理能建立 Office 365 群組的使用者

投稿人: Diane Faigel
上次更新:2017 年 11 月 6 日

由於使用者要自行建立 Office 365 群組非常容易,因此您可能不常收到這類代理建立群組的要求。不過,視您的業務而定,您可能會想要設定誰有權建立群組。這樣做的原因?

本文將說明如何在採用群組功能的全部 Office 365 服務中停用建立群組的能力:

  • Outlook

  • SharePoint

  • Yammer

  • Microsoft Teams:系統管理員和使用者都將無法建立小組。

  • StaffHub:系統管理員和管理員都將無法建立小組。

  • Planner:使用者將無法建立計劃。

限制群組建立權限的最佳做法是建立一個安全性群組,然後只開放當中的群組成員在上述 App 中建立 Office 365 群組和小組。本文會逐步引導您完成這些步驟。

若要控制可建立 Office 365 群組的使用者,您可以使用 Windows PowerShell,此程式是由在舊 DOS 環境中 C:\ 提示的眾多輸入命令所構成。如果您從未使用過 PowerShell,建議您不妨藉此工作開始使用。我們會逐步引導您需完成的事項。

開始之前的相關須知

  • 本文所述的 PowerShell 命令只會變更可建立 Office 365 群組的使用者,不會影響其餘 Office 365 環境。

  • 本文中的步驟只能針對貴組織的單一安全性群組執行一次。如果您嘗試再次套用至其他安全性群組,您會收到類似以下的錯誤訊息:

    A conflicting object with one or more of the specified property values is present in the directory.
  • 本文所述的步驟不會禁止下列角色成員在 Office 365 系統管理中心中建立 Office 365 群組。不過卻會禁止使用者從 App 中建立 Office 365 群組及小組 (因為您無法在 Office 365 系統管理中心中建立小組)。

    • Office 365 全域系統管理員

    • 信箱系統管理員

    • 合作夥伴第 1 層支援

    • 合作夥伴第 2 層支援

    • 目錄作者

    如果您是上述角色成員,即可為受限的使用者建立 Office 365 群組,然後將指派使用者為群組的擁有者。

  • 請務必確認您使用安全性群組來限制可建立 Office 365 群組的使用者,如本文步驟 1 所述。請勿嘗試為此目的使用 Office 365 群組。如果您嘗試使用 Office 365 群組,則成員將因 SharePoint 的安全性群組檢查而無法在當中建立群組。

  • 只設定 Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $True 會啟用使用者建立安全性群組的權限,而非 Office 365 群組。如需有關此 Cmdlet 的詳細資訊,請參閱 Set-Msolcompanysettings (英文)。

  • 假設您執行本文所述的步驟,並授與部分使用者建立 Office 365 群組的權限。但因不明原因,使用者仍無法使用 Outlook 建立 Office 365 群組。請確認使用者並非因自己的 OWA 信箱原則而遭到封鎖。此原則會提供額外的控制項來封鎖使用 Outlook 建立 Office 365 群組的功能。

安裝預覽版的 適用於 Windows PowerShell 的 Azure Active Directory 模組

重要:本主題中的程序需要使用預覽版 適用於 Windows PowerShell 的 Azure Active Directory 模組 (特別是 AzureADPreview 模組,版本 2.0.0.137 or later.)

我們建議的最佳做法是永遠保持在最新狀態:在執行 PowerShell 命令前先解除安裝舊的 AzureADPreview 版本並取得最新版。

  1. 以系統管理員身分開啟 Windows PowerShell:

    1. 在搜尋列中,輸入 Windows PowerShell

    2. 在 Windows PowerShell 上按一下滑鼠右鍵,然後選取 [以系統管理員身分執行]。

      以「以系統管理員身分執行」方式開啟 PowerShell。

    Windows PowerShell 視窗隨即快顯開啟。提示 C:\Windows\system32 代表您是以系統管理員身分開啟。

    當您首次開啟 PowerShell 時,系統顯示的畫面。

  2. 若要解除安裝舊版 AzureADPreview,請執行此命令:

    Uninstall-Module AzureADPreview
  3. 若要安裝最新版 AzureADPreview,請執行此命令:

    Install-Module AzureADPreview

    在關於不受信任存放庫的訊息中,輸入 Y。安裝新模組的時間大約要一分鐘。

步驟 1:為需要建立 Office 365 群組的使用者建立安全性群組

貴組織中只使用一個安全性群組來控制有權建立 Office 365 群組的使用者。不過,您可以以巢狀方式內嵌其他安全性群組,做為此群組的成員。例如,名為「Allow Group Creation」的群組即為指定的安全性群組,而名為「Microsoft Planner Users and Exchange Online Users」的群組則屬於該群組成員。

  1. 在 Office 365 系統管理中心中建立 [安全性群組] 類型的群組。請記下群組名稱!以便後續步驟使用。

    在系統管理中心中建立安全性群組。

  2. 根據您想授權在貴組織中建立 Office 365 群組群組的使用者,新增人員或其他安全性群組。

如需詳細指示,請參閱在 Office 365 系統管理中心中建立、編輯或刪除安全性群組 (機器翻譯)。

步驟 2:執行 PowerShell 命令

最常見的錯誤為缺少預覽模組與錯字。因此,請複製貼上本文中的每個命令和範例,不要手動輸入。在執行命令前,您可以使用向左鍵或向右鍵在命令附近移動,也可以使用向上鍵或向下鍵來捲回上一個命令。如果有錯誤,您會收到一串紅色的文字,指出有錯誤發生。這時請試著重新輸入命令。如果您不知道如何解決問題,請與我們連絡

上述步驟已於 2017 年 11 月 6 日進行測試及驗證完畢。

  1. 如果您尚未進行,請在您的電腦上開啟 [Windows PowerShell] 視窗 (不論是一般的 [Windows PowerShell] 視窗或透過選取 [以系統管理員身分執行] 的方式開啟的視窗皆可)。

  2. 執行下列命令。每個命令執行完畢後,按 Enter。

    Import-Module AzureADPreview
    Connect-AzureAD

    在開啟的 [登入您的帳戶] 畫面中,輸入您的 Office 365 系統管理員帳戶和密碼以連線至您的服務,然後按一下 [登入]。

    輸入您的 Office 365 認證
  3. 使用下列語法,從步驟 1 中尋找您的安全性群組名稱。

    Get-AzureADGroup -SearchString "<Name of your security group>"

    例如,我將我的群組重新命名為 AllowedtoCreateGroups。因此,我應執行:

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    這會顯示我的 AllowedtoCreateGroups 安全性群組屬性。

    Azure AD PowerShell 的群組資訊

    您可以看到 AllowedtoCreateGroups 群組的 ObjectID 屬性值為 afc88...。您不必記下安全性群組的 ObjectID,但您需要在後續步驟中辨識出它來。

  4. 執行此命令︰

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. 執行此命令︰

    $Setting = $Template.CreateDirectorySetting()
  6. 執行此命令︰

    New-AzureADDirectorySetting -DirectorySetting $Setting

    如果您收到這類錯誤,請直接跳到步驟 7。此錯誤訊息代表您無需執行步驟 6。

    如果您收到錯誤訊息,請直接跳到步驟 7。

    若沒收到錯誤訊息,則系統成功完成命令後,Cmdlet 就會傳回新設定物件的識別碼。

  7. 執行此命令︰

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. 執行此命令︰

    $Setting["EnableGroupCreation"] = $False
  9. 使用此語法:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    例如,我將我的群組重新命名為 AllowedtoCreateGroups,因此我應執行此命令:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. 執行此命令︰

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. 若要驗證您的安全訊群組可以建立群組,且貴組織中的其他使用者無權這麼做,請執行此命令:

    (Get-AzureADDirectorySetting).Values

    結果應類似這樣 (但加上您安全性群組的 ID 值;這裡便是您需要辨識出它的地方):

    當您完成時,設定外觀看起來會像這個樣子。

    只有 AllowedtoCreateGroups 安全性群組 (Afc88abb.....) 的成員可以建立群組。而 EnableGroupCreation = False 則代表其他人無法這麼做。

步驟 3:驗證命令能正常運作

  1. 請使用不具備群組建立能力的使用者帳戶登入 Office 365。也就是說,這個使用者並不屬於您所建安全群組的成員。

  2. 選擇 [Planner] 磚。

  3. 在 Planner 中,選擇 [新增計劃] 來建立計劃。

    在 Planner 中,選擇 [新增計劃]。

  4. 您應會收到訊息,指出您無法建立計劃:

    指出您無法建立計劃的訊息。

如果命令無效,我該怎麼辦?

請確認使用者並非因自己的 OWA 信箱原則而遭到封鎖。

如果這仍無法修正問題,請與我們連絡以取得協助

移除群組建立的使用者限制

假設之後您想要移除誰可建立群組的這項限制,執行此命令︰

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

了解管理群組的詳細資訊

根據預設,所有 Office 365 使用者都可以建立 Office 365 群組:

  • 每個使用者可以建立最多 250 個 Office 365 群組。

  • Office 365 系統管理員可無限建立 Office 365 群組。

  • 目前每個 Office 365 組織預設的 Office 365 群組數量上限為 500,000 個,但可依要求再增加。如需有關 Office 365 群組限制的詳細資訊,請參閱 Office 365 群組 - 系統管理說明

多個 Office 365 服務都需要建立 Office 365 群組的能力,以支援特定功能。例如,使用 Microsoft Planner 建立計劃時,系統便會自動建立群組。這表示當使用者嘗試建立計劃時,可能會不小心建立很多個群組。

您可以緊縮 Office 365 群組的建立控制權限,並偏好只有部分使用者可以建立群組,也就是只有需建立 Office 365 群組的 Office 365 服務使用者才能建立。

附註: 請注意,雖然您可以控制哪些使用者可以建立 Office 365 群組,但這不會影響所有授權使用者參與群組活動的能力,例如在 Planner 中建立工作,或是在 Outlook 中回覆交談。

如果您先前曾建立 Group 設定物件,且需要變更某項設定的值 (例如,指定不同的群組),您可以按照下列程序進行。

  1. 在電腦上開啟 Windows PowerShell 視窗,然後執行下列命令:

    Import-Module AzureADPreview
    Connect-AzureAD

    在開啟的 [登入您的帳戶] 畫面中,輸入您的認證資訊以連線至您的服務,然後按一下 [登入]。

    輸入您的 Office 365 認證
  2. 連線至 Office 365 服務後,您需先參照含有組態設定的 Group 設定物件。若要這麼做,您需要該物件的 ObjectId。如果您不知道 ObjectId 是什麼,可以透過輸入下列 Cmdlet 來搜尋:

    Get-AzureADDirectorySetting

    這會顯示目前的 Group 設定物件與其 ObjectId。

    畫面可能會顯示的範例值 找出 Group 設定物件
  3. 找出 Group 設定物件的 ObjectID 後,您可以用來選取含有您設定的 Group 設定物件。輸入下列 Cmdlet:

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    例如,如上圖所示的方式使用 ObjectId

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    系統隨即會讓您返回 Windows Azure Active Directory 模組中的提示。

  4. 選取 Group 設定物件後,您應輸入下列指令碼來檢查目前的組態值:

    $setting.values
    目前組態值清單的螢幕擷取畫面

    這會顯示 Group 設定物件的設定值,且您隨即會返回 Windows Azure Active Directory 模組中的提示。在上述範例中,GroupCreationAllowedGroupId 指出了可建立群組的安全性群組 (1f8f32...) 的成員。此外,由於 EnableGroupCreation = "False",公司內的其他使用者無法建立群組。

  5. 您現在可以對 Group 設定值進行特定變更。例如,如果要指向不同的群組以允許建立群組,您可以使用下列 Cmdlet:

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    例如,讓我們將先前所設定的 AllowedtoCreateGroups 群組改為我們先前以 3054dce3-37e6-437a-a817-2363272cac1c ObjectId 建立的不同群組:

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    完成設定後,系統隨即會讓您返回 Windows Azure Active Directory 模組中的提示。

  6. 完成新設定後,您可以直接對 Group 設定物件套用這些設定,方法是輸入下列命令:

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    例如,根據我們目前所編輯的 Group 設定物件使用其 ObjectID:

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    系統隨即會讓您返回 Windows Azure Active Directory 模組中的提示。

  7. 您可以執行 $settings.values Cmdlet 並驗證值,藉此驗證您的 Group 設定已更新。

    含有已變更值的 Group 設定物件

    請注意,GroupCreationAllowedGroupId 設定已變更為您的新群組。

相關文章

開始使用 Office 365 PowerShell
在 Azure AD 中設定 Office 365 群組設定
部落格文章:設定群組設定的 Azure Active Directory Cmdlet Azure Active Directory Cmdlte - MSDN

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×