Gestire chi può creare gruppi in Microsoft 365
Per impostazione predefinita, tutti gli utenti possono creare gruppi di Microsoft 365. Questo è l'approccio consigliato perché consente agli utenti di iniziare a collaborare senza richiedere assistenza da parte dell'IT.
Se l'azienda richiede di limitare gli utenti che possono creare gruppi, è possibile limitare Gruppi di Microsoft 365 creazione ai membri di un determinato gruppo o gruppo di sicurezza di Microsoft 365.
Se si è preoccupati per gli utenti che creano team o gruppi non conformi agli standard aziendali, è consigliabile richiedere agli utenti di completare un corso di formazione e quindi aggiungerli al gruppo di utenti consentiti.
Quando si limita chi può creare un gruppo, influisce su tutti i servizi che si basano sui gruppi per l'accesso, tra cui:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (versione classica)
- Project per il Web/Roadmap
La procedura descritta in questo articolo non impedisce ai membri di determinati ruoli di creare gruppi. Gli amministratori globali di Microsoft 365 possono creare gruppi tramite interfaccia di amministrazione di Microsoft 365, Planner, Exchange e SharePoint, ma non altre posizioni, ad esempio Teams. Altri ruoli possono creare Gruppi di Microsoft 365 con mezzi limitati, elencati di seguito.
- Amministratore di Exchange: interfaccia di amministrazione di Exchange, Microsoft Entra ID
- Supporto del livello 1 per i partner: interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, Microsoft Entra ID
- Supporto per il livello partner 2: interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, Microsoft Entra ID
- Writer di directory: Microsoft Entra ID
- Amministratore gruppi: Microsoft Entra ID
- Amministratore di SharePoint: interfaccia di amministrazione di SharePoint, Microsoft Entra ID
- Amministratore del servizio Teams: interfaccia di amministrazione di Teams, Microsoft Entra ID
- Amministratore utente: interfaccia di amministrazione di Microsoft 365, Microsoft Entra ID
Se si è membri di uno di questi ruoli, è possibile creare Gruppi di Microsoft 365 per gli utenti con restrizioni e quindi assegnare l'utente come proprietario del gruppo.
Requisiti di licenza
Per gestire chi crea gruppi, le persone seguenti devono Microsoft Entra ID licenze P1 o P2 o Microsoft Entra licenze EDU di base assegnate:
- L'amministratore che configura queste impostazioni di creazione del gruppo
- Membri del gruppo autorizzati a creare gruppi
Nota
Per altre informazioni su come assegnare licenze di Azure, vedere Assegnare o rimuovere licenze nel Interfaccia di amministrazione di Microsoft Entra.
Le persone seguenti non hanno bisogno di Microsoft Entra ID licenze P1 o P2 o Microsoft Entra basic EDU assegnate:
- Persone membri dei gruppi di Microsoft 365 e che non hanno la possibilità di creare altri gruppi.
Passaggio 1: Creare un gruppo per gli utenti che devono creare gruppi di Microsoft 365
È possibile usare un solo gruppo nell'organizzazione per controllare chi è in grado di creare Gruppi di Microsoft 365. È tuttavia possibile annidare altri gruppi come membri di questo gruppo.
Gli amministratori nei ruoli elencati in precedenza non devono essere membri di questo gruppo: mantengono la capacità di creare gruppi.
Nell'interfaccia di amministrazione passare alla pagina Gruppi.
Fare clic su Aggiungi un gruppo.
Scegliere il tipo di gruppo desiderato. Ricordare il nome del gruppo. Questo nome sarà necessario in un secondo momento.
Completare la configurazione del gruppo, aggiungendo persone o altri gruppi che si desidera creare come membri (non proprietari).
Per istruzioni dettagliate, vedere Creare, modificare o eliminare un gruppo di sicurezza nel interfaccia di amministrazione di Microsoft 365.
Passaggio 2: Eseguire i comandi di PowerShell
Si userà il modulo Microsoft Graph PowerShellBeta per modificare l'impostazione di accesso guest a livello di gruppo:
- Se è già stata installata la versione beta, eseguire
Update-Module Microsoft.Graph.Betaper assicurarsi che sia la versione più recente di questo modulo.
Copiare lo script seguente in un editor di testo, ad esempio Blocco note, o in Windows PowerShell ISE.
Sostituire <GroupName> con il nome del gruppo creato. Ad esempio:
$GroupName = "Group Creators"
Salvare il file come GroupCreators.ps1.
Nella finestra di PowerShell passare al percorso in cui è stato salvato il file (digitare "CD <FileLocation>").
Eseguire lo script digitando:
.\GroupCreators.ps1
e accedere con l'account amministratore quando richiesto.
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
Nell'ultima riga dello script verranno visualizzate le impostazioni aggiornate:
Se in futuro si vuole modificare il gruppo usato, è possibile eseguire nuovamente lo script con il nome del nuovo gruppo.
Se si vuole disattivare la restrizione di creazione del gruppo e consentire nuovamente a tutti gli utenti di creare gruppi, impostare $GroupName su "" e $AllowGroupCreation su "$true" ed eseguire nuovamente lo script.
Passaggio 3: Verificare il funzionamento del comando
L'applicazione delle modifiche può richiedere almeno trenta minuti. È possibile verificare le nuove impostazioni eseguendo le operazioni seguenti:
Accedere a Microsoft 365 con un account utente di un utente che NON deve avere la possibilità di creare gruppi. Ovvero, non sono un membro del gruppo creato o un amministratore.
Selezionare il riquadro Planner .
In Planner selezionare Nuovo piano nel riquadro di spostamento a sinistra per creare un piano.
Dovrebbe essere visualizzato un messaggio che informa che la creazione del piano e del gruppo è disabilitata.
Provare di nuovo la stessa procedura con un membro del gruppo.
Nota
Se i membri del gruppo non sono in grado di creare gruppi, verificare che non vengano bloccati tramite i criteri cassetta postale OWA.
Argomenti correlati
Raccomandazioni per la pianificazione della governance della collaborazione
Creare il piano di governance della collaborazione
Guida introduttiva a PowerShell di Office 365
Configurare la gestione dei gruppi self-service in Microsoft Entra ID
Microsoft Entra cmdlet per la configurazione delle impostazioni del gruppo
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per