Gérer les personnes autorisées à créer des groupes Microsoft 365
Par défaut, tous les utilisateurs peuvent créer des groupes Microsoft 365. Il s’agit de l’approche recommandée, car elle permet aux utilisateurs de commencer à collaborer sans avoir besoin d’aide du service informatique.
Si votre entreprise exige que vous restreignez les personnes autorisées à créer des groupes, vous pouvez limiter Groupes Microsoft 365 création aux membres d’un groupe ou d’un groupe de sécurité Microsoft 365 particulier.
Si vous êtes préoccupé par la création d’équipes ou de groupes qui ne respectent pas vos normes métier, envisagez d’exiger des utilisateurs qu’ils suivent un cours de formation, puis de les ajouter au groupe d’utilisateurs autorisés.
Lorsque vous limitez les personnes autorisées à créer un groupe, cela affecte tous les services qui s’appuient sur des groupes pour l’accès, notamment :
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planificateur
- Power BI (classique)
- Project pour le web / Feuille de route
Les étapes décrites dans cet article n’empêchent pas les membres de certains rôles de créer des groupes. Les administrateurs généraux Microsoft 365 peuvent créer des groupes via le Centre d'administration Microsoft 365, le Planificateur, Exchange et SharePoint, mais pas d’autres emplacements tels que Teams. D’autres rôles peuvent créer des Groupes Microsoft 365 par des moyens limités, répertoriés ci-dessous.
- Administrateur Exchange : Centre d’administration Exchange, Microsoft Entra ID
- Support partenaire de niveau 1 : Centre d'administration Microsoft 365, Centre d’administration Exchange, Microsoft Entra ID
- Support partenaire de niveau 2 : Centre d'administration Microsoft 365, Centre d’administration Exchange, Microsoft Entra ID
- Enregistreurs d’annuaires : Microsoft Entra ID
- Administrateur de groupes : Microsoft Entra ID
- Administrateur SharePoint : Centre d’administration SharePoint, Microsoft Entra ID
- Administrateur de service Teams : Centre d’administration Teams, Microsoft Entra ID
- Administrateur utilisateur : Centre d'administration Microsoft 365, Microsoft Entra ID
Si vous êtes membre de l’un de ces rôles, vous pouvez créer Groupes Microsoft 365 pour les utilisateurs restreints, puis affecter l’utilisateur en tant que propriétaire du groupe.
Conditions d'octroi de licence
Pour gérer les personnes qui créent des groupes, les personnes suivantes doivent Microsoft Entra ID licences P1 ou P2 ou Microsoft Entra licences EDU de base qui leur sont attribuées :
- L’administrateur qui configure ces paramètres de création de groupe
- Les membres du groupe autorisés à créer des groupes
Remarque
Pour plus d’informations sur l’attribution de licences Azure, consultez Attribuer ou supprimer des licences dans le centre d'administration Microsoft Entra.
Les personnes suivantes n’ont pas besoin de Microsoft Entra ID licences P1 ou P2 ou Microsoft Entra Basic EDU qui leur sont attribuées :
- Personnes qui sont membres de groupes Microsoft 365 et qui n’ont pas la possibilité de créer d’autres groupes.
Étape 1 : Créer un groupe pour les utilisateurs qui doivent créer des groupes Microsoft 365
Un seul groupe de votre organization peut être utilisé pour contrôler qui est en mesure de créer Groupes Microsoft 365. Toutefois, vous pouvez imbriquer d’autres groupes en tant que membres de ce groupe.
Les administrateurs des rôles listés ci-dessus n’ont pas besoin d’être membres de ce groupe : ils conservent leur capacité à créer des groupes.
Dans le Centre d’administration, accédez à la page Groupes.
Cliquez sur Ajouter un groupe.
Choisissez le type de groupe souhaité. Notez bien le nom du groupe ! Vous en aurez besoin plus tard.
Terminez la configuration du groupe, en ajoutant des personnes ou d’autres groupes pour lesquels vous souhaitez pouvoir créer des groupes en tant que membres (et non en tant que propriétaires).
Pour obtenir des instructions détaillées, consultez Créer, modifier ou supprimer un groupe de sécurité dans le Centre d'administration Microsoft 365.
Étape 2 : exécuter les commandes PowerShell
Vous allez utiliser le module Microsoft Graph PowerShellBeta pour modifier le paramètre d’accès invité au niveau du groupe :
- Si vous avez déjà installé la version bêta, exécutez
Update-Module Microsoft.Graph.Betapour vérifier qu’il s’agit de la dernière version de ce module.
Copiez le script ci-dessous dans un éditeur de texte, tel que le Bloc-notes, ou le Windows PowerShell ISE.
Remplacez GroupName> par< le nom du groupe que vous avez créé. Par exemple :
$GroupName = "Group Creators"
Enregistrez le fichier en tant que GroupCreators.ps1.
Dans la fenêtre PowerShell, accédez à l’emplacement où vous avez enregistré le fichier (tapez « CD <FileLocation> »).
Exécutez le script en tapant :
.\GroupCreators.ps1
et connectez-vous avec votre compte administrateur lorsque vous y êtes invité.
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
La dernière ligne du script affiche les paramètres mis à jour :
Si, à l’avenir, vous souhaitez modifier le groupe utilisé, vous pouvez réexécuter le script avec le nom du nouveau groupe.
Si vous souhaitez désactiver la restriction de création de groupe et autoriser à nouveau tous les utilisateurs à créer des groupes, définissez $GroupName sur « » et $AllowGroupCreation sur « $true », puis réexécutez le script.
Étape 3 : vérifier le bon fonctionnement
L’application des modifications peut prendre trente minutes ou plus. Vous pouvez vérifier les nouveaux paramètres en procédant comme suit :
Connectez-vous à Microsoft 365 avec le compte d’utilisateur d’une personne qui ne doit PAS avoir la possibilité de créer des groupes. Autrement dit, ils ne sont pas membres du groupe que vous avez créé ni administrateur.
Sélectionnez la vignette Planificateur .
Dans le Planificateur, sélectionnez Nouveau plan dans le volet de navigation de gauche pour créer un plan.
Vous devez recevoir un message indiquant que la création du plan et du groupe est désactivée.
Réessayez la même procédure avec un membre du groupe.
Remarque
Si les membres du groupe ne sont pas en mesure de créer des groupes, case activée qu’ils ne sont pas bloqués via leur stratégie de boîte aux lettres OWA.
Voir aussi
Recommandations relatives à la planification de la gouvernance de la collaboration
Créer votre plan de gouvernance de collaboration
Mise en route d’Office 365 PowerShell
Configurer la gestion des groupes en libre-service dans Microsoft Entra ID
Microsoft Entra applets de commande pour la configuration des paramètres de groupe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour