Administrar quién puede crear grupos de Microsoft 365

  • Artículo

De forma predeterminada, todos los usuarios pueden crear grupos de Microsoft 365. Este es el enfoque recomendado, ya que permite a los usuarios empezar a colaborar sin necesidad de ayuda de TI.

Si su empresa requiere que restrinja quién puede crear grupos, puede restringir la creación de Grupos de Microsoft 365 a los miembros de un grupo o grupo de seguridad de Microsoft 365 determinado.

Si le preocupa que los usuarios creen equipos o grupos que no cumplan los estándares empresariales, considere la posibilidad de exigir a los usuarios que completen un curso de aprendizaje y, a continuación, agregarlos al grupo de usuarios permitidos.

Cuando se limita quién puede crear un grupo, afecta a todos los servicios que dependen de grupos para el acceso, incluidos los siguientes:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (clásico)
  • Project para la web/Roadmap

Los pasos de este artículo no impedirán que los miembros de determinados roles creen grupos. Los administradores globales de Microsoft 365 pueden crear grupos a través de Centro de administración de Microsoft 365, Planner, Exchange y SharePoint, pero no otras ubicaciones como Teams. Otros roles pueden crear Grupos de Microsoft 365 a través de medios limitados, que se enumeran a continuación.

  • Administrador de Exchange: Centro de administración de Exchange, Microsoft Entra ID
  • Soporte técnico de nivel 1 de partner: Centro de administración de Microsoft 365, centro de administración de Exchange, Microsoft Entra ID
  • Soporte técnico de nivel 2 de partner: Centro de administración de Microsoft 365, centro de administración de Exchange, Microsoft Entra ID
  • Escritores de directorios: Microsoft Entra ID
  • Administrador de grupos: Microsoft Entra ID
  • Administrador de SharePoint: Centro de administración de SharePoint, Microsoft Entra ID
  • Administrador de servicios de Teams: Centro de administración de Teams, Microsoft Entra ID
  • Administrador de usuarios: Centro de administración de Microsoft 365, Microsoft Entra ID

Si es miembro de uno de estos roles, puede crear Grupos de Microsoft 365 para usuarios restringidos y, a continuación, asignar el usuario como propietario del grupo.

Requisitos de licencias

Para administrar quién crea grupos, las siguientes personas necesitan Microsoft Entra ID licencias P1 o P2 o Microsoft Entra licencias EDU básicas asignadas a ellos:

  • El administrador que configura estas opciones de creación de grupos
  • Los miembros del grupo a los que se les permite crear grupos

Nota:

Consulte Asignación o eliminación de licencias en la Centro de administración Microsoft Entra para obtener más información sobre cómo asignar licencias de Azure.

Las siguientes personas no necesitan Microsoft Entra ID licencias P1 o P2 o Microsoft Entra EDU básicas asignadas:

  • Personas que son miembros de grupos de Microsoft 365 y que no tienen la capacidad de crear otros grupos.

Paso 1: Crear un grupo para los usuarios que necesitan crear grupos de Microsoft 365

Solo se puede usar un grupo de la organización para controlar quién puede crear Grupos de Microsoft 365. Sin embargo, puede anidar otros grupos como miembros de este grupo.

Los administradores de los roles enumerados anteriormente no necesitan ser miembros de este grupo: conservan su capacidad de crear grupos.

  1. En el centro de administración, vaya a la página Grupos.

  2. Haga clic en Agregar un grupo.

  3. Elija el tipo de grupo que desee. Recuerde que el nombre del grupo. Lo necesitará más adelante.

  4. Termine de configurar el grupo, agregando personas u otros grupos que quiera que puedan crear grupos como miembros (no como propietarios).

Para obtener instrucciones detalladas, consulte Creación, edición o eliminación de un grupo de seguridad en el Centro de administración de Microsoft 365.

Paso 2: Ejecutar los comandos de PowerShell

Usará el módulo PowerShellBeta de Microsoft Graph para cambiar la configuración de acceso de invitado de nivel de grupo:

  • Si ya ha instalado la versión beta, ejecute Update-Module Microsoft.Graph.Beta para asegurarse de que es la versión más reciente de este módulo.

Copie el script siguiente en un editor de texto, como el Bloc de notas, o el Windows PowerShell ISE.

Reemplace <GroupName> por el nombre del grupo que creó. Por ejemplo:

$GroupName = "Group Creators"

Guarde el archivo como GroupCreators.ps1.

En la ventana de PowerShell, vaya a la ubicación donde guardó el archivo (escriba "CD <FileLocation>").

Ejecute el script escribiendo:

.\GroupCreators.ps1

e inicie sesión con su cuenta de administrador cuando se le solicite.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

La última línea del script mostrará la configuración actualizada:

Captura de pantalla de la salida del script de PowerShell.

Si en el futuro quiere cambiar qué grupo se usa, puede volver a ejecutar el script con el nombre del nuevo grupo.

Si desea desactivar la restricción de creación de grupos y volver a permitir que todos los usuarios creen grupos, establezca $GroupName en "" y $AllowGroupCreation en "$true" y vuelva a ejecutar el script.

Paso 3: Comprobar que funciona correctamente

Los cambios pueden tardar treinta minutos o más en surtir efecto. Para comprobar la nueva configuración, haga lo siguiente:

  1. Inicie sesión en Microsoft 365 con una cuenta de usuario de alguien que NO debería tener la capacidad de crear grupos. Es decir, no son miembros del grupo que creó ni de un administrador.

  2. Seleccione el icono de Planner .

  3. En Planner, seleccione Nuevo plan en el panel de navegación izquierdo para crear un plan.

  4. Debería recibir un mensaje que indica que el plan y la creación de grupos están deshabilitados.

Vuelva a intentar el mismo procedimiento con un miembro del grupo.

Nota:

Si los miembros del grupo no pueden crear grupos, compruebe que no se bloqueen a través de su directiva de buzón de OWA.

Recomendaciones de planeamiento de gobernanza de colaboración

Creación del plan de gobernanza de colaboración

Introducción a PowerShell de Office 365

Configuración de la administración de grupos de autoservicio en Microsoft Entra ID

Set-ExecutionPolicy

cmdlets de Microsoft Entra para configurar la configuración de grupos