Compartir a través de


Administrar quién puede crear grupos de Microsoft 365

De forma predeterminada, todos los usuarios pueden crear grupos de Microsoft 365. Este es el enfoque recomendado, ya que permite a los usuarios empezar a colaborar sin necesidad de ayuda de TI.

Si su empresa requiere que restrinja quién puede crear grupos, puede restringir la creación de grupos de Microsoft 365 a los miembros de un grupo o grupo de seguridad de Microsoft 365 determinado.

Si le preocupa que los usuarios creen equipos o grupos que no cumplan los estándares empresariales, considere la posibilidad de exigir a los usuarios que completen un curso de aprendizaje y, a continuación, agregarlos al grupo de usuarios permitidos.

Cuando se limita quién puede crear un grupo, afecta a todos los servicios que dependen de grupos para el acceso, incluidos los siguientes:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (clásico)
  • Proyecto para la web o hoja de ruta

Los pasos de este artículo no impedirán que los miembros de determinados roles creen grupos. Los administradores globales de Microsoft 365 pueden crear grupos a través del Centro de administración de Microsoft 365, Planner, Exchange y SharePoint, pero no otras ubicaciones como Teams. Otros roles pueden crear grupos de Microsoft 365 a través de medios limitados, que se enumeran a continuación.

  • Administrador de Exchange: Centro de administración de Exchange, Id. de Microsoft Entra
  • Soporte técnico de nivel 1 de asociado: Centro de administración de Microsoft 365, Centro de administración de Exchange, Id. de Microsoft Entra
  • Compatibilidad con el nivel de asociado 2: Centro de administración de Microsoft 365, Centro de administración de Exchange, Id. de Microsoft Entra
  • Escritores de directorios: Id. de Microsoft Entra
  • Administrador de grupos: Id. de Microsoft Entra
  • Administrador de SharePoint: Centro de administración de SharePoint, Id. de Microsoft Entra
  • Administrador de servicios de Teams: Centro de administración de Teams, Identificador de Microsoft Entra
  • Administrador de usuarios: Centro de administración de Microsoft 365, Id. de Microsoft Entra

Si es miembro de uno de estos roles, puede crear grupos de Microsoft 365 para usuarios restringidos y, a continuación, asignar al usuario como propietario del grupo.

Requisitos de licencias

Para administrar quién crea grupos, las siguientes personas necesitan licencias de Microsoft Entra ID P1 o P2 o licencias EDU de Microsoft Entra Basic asignadas a ellos:

  • El administrador que configura estas opciones de creación de grupos
  • Los miembros del grupo a los que se les permite crear grupos

Nota:

Consulte Asignación o eliminación de licencias en el Centro de administración de Microsoft Entra para obtener más información sobre cómo asignar licencias de Azure.

Las siguientes personas no necesitan licencias EDU de Microsoft Entra ID P1 o P2 o Microsoft Entra Basic asignadas:

  • Personas que son miembros de grupos de Microsoft 365 y que no tienen la capacidad de crear otros grupos.

Paso 1: Crear un grupo para los usuarios que necesitan crear grupos de Microsoft 365

Solo se puede usar un grupo de su organización para controlar quién puede crear grupos de Microsoft 365. Sin embargo, puede anidar otros grupos como miembros de este grupo.

Los administradores de los roles enumerados anteriormente no necesitan ser miembros de este grupo: conservan su capacidad de crear grupos.

  1. En el centro de administración, vaya a la página Grupos.

  2. Haga clic en Agregar un grupo.

  3. Elija el tipo de grupo que desee. Recuerde que el nombre del grupo. Lo necesitará más adelante.

  4. Termine de configurar el grupo, agregando personas u otros grupos que quiera que puedan crear grupos como miembros (no como propietarios).

Para obtener instrucciones detalladas, consulte Creación, edición o eliminación de un grupo de seguridad en el Centro de administración de Microsoft 365.

Paso 2: Ejecutar los comandos de PowerShell

Usará el módulo PowerShellBeta de Microsoft Graph para cambiar la configuración de acceso de invitado de nivel de grupo:

  • Si ya ha instalado la versión beta, ejecute Update-Module Microsoft.Graph.Beta para asegurarse de que es la versión más reciente de este módulo.

Copie el script siguiente en un editor de texto, como el Bloc de notas o el ISE de Windows PowerShell.

Reemplace <GroupName> por el nombre del grupo que creó. Por ejemplo:

$GroupName = "Group Creators"

Guarde el archivo como GroupCreators.ps1.

En la ventana de PowerShell, vaya a la ubicación donde guardó el archivo (escriba "CD <FileLocation>").

Ejecute el script escribiendo:

.\GroupCreators.ps1

e inicie sesión con su cuenta de administrador cuando se le solicite.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

La última línea del script mostrará la configuración actualizada:

Captura de pantalla de la salida del script de PowerShell.

Si en el futuro quiere cambiar qué grupo se usa, puede volver a ejecutar el script con el nombre del nuevo grupo.

Si desea desactivar la restricción de creación de grupos y volver a permitir que todos los usuarios creen grupos, establezca $GroupName en "" y $AllowGroupCreation en "$true" y vuelva a ejecutar el script.

Paso 3: Comprobar que funciona correctamente

Los cambios pueden tardar treinta minutos o más en surtir efecto. Para comprobar la nueva configuración, haga lo siguiente:

  1. Inicie sesión en Microsoft 365 con una cuenta de usuario de alguien que NO debería tener la capacidad de crear grupos. Es decir, no son miembros del grupo que creó ni de un administrador.

  2. Seleccione el icono de Planner .

  3. En Planner, seleccione Nuevo plan en el panel de navegación izquierdo para crear un plan.

  4. Debería recibir un mensaje que indica que el plan y la creación de grupos están deshabilitados.

Vuelva a intentar el mismo procedimiento con un miembro del grupo.

Nota:

Si los miembros del grupo no pueden crear grupos, compruebe que no se bloqueen a través de su directiva de buzón de OWA.

Recomendaciones de planeamiento de gobernanza de colaboración

Creación del plan de gobernanza de colaboración

Introducción a PowerShell de Office 365

Configuración de la administración de grupos de autoservicio en el identificador de Microsoft Entra

Set-ExecutionPolicy

Cmdlets de Microsoft Entra para configurar la configuración de grupos