Gestire chi può creare gruppi in Microsoft 365

Per impostazione predefinita, tutti gli utenti possono creare gruppi di Microsoft 365. Questo è l'approccio consigliato perché consente agli utenti di iniziare a collaborare senza richiedere assistenza da parte dell'IT.

Se l'azienda richiede di limitare gli utenti che possono creare gruppi, è possibile limitare Gruppi di Microsoft 365 creazione ai membri di un determinato gruppo o gruppo di sicurezza di Microsoft 365.

Se si è preoccupati per gli utenti che creano team o gruppi non conformi agli standard aziendali, è consigliabile richiedere agli utenti di completare un corso di formazione e quindi aggiungerli al gruppo di utenti consentiti.

Quando si limita chi può creare un gruppo, influisce su tutti i servizi che si basano sui gruppi per l'accesso, tra cui:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (versione classica)
  • Progetto per il Web/Roadmap

La procedura descritta in questo articolo non impedisce ai membri di determinati ruoli di creare gruppi. Gli amministratori globali di Microsoft 365 possono creare gruppi tramite interfaccia di amministrazione di Microsoft 365, Planner, Exchange e SharePoint, ma non altre posizioni, ad esempio Teams. Altri ruoli possono creare Gruppi di Microsoft 365 con mezzi limitati, elencati di seguito.

  • Amministratore di Exchange: Interfaccia di amministrazione di Exchange, Azure AD
  • Supporto del livello 1 per i partner: interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, Azure AD
  • Supporto per il livello partner 2: interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, Azure AD
  • Writer di directory: Azure AD
  • Amministratore di SharePoint: interfaccia di amministrazione di SharePoint, Azure AD
  • Amministratore del servizio Teams: Interfaccia di amministrazione di Teams, Azure AD
  • Amministratore utente: interfaccia di amministrazione di Microsoft 365, Azure AD

Se si è membri di uno di questi ruoli, è possibile creare Gruppi di Microsoft 365 per gli utenti con restrizioni e quindi assegnare l'utente come proprietario del gruppo.

Requisiti di licenza

Per gestire chi crea gruppi, le persone seguenti hanno bisogno di licenze Azure AD Premium o licenze EDU di Azure AD Basic assegnate:

  • L'amministratore che configura queste impostazioni di creazione del gruppo
  • Membri del gruppo autorizzati a creare gruppi

Le persone seguenti non hanno bisogno di licenze EDU di Azure AD Premium o Azure AD Basic assegnate:

  • Persone membri dei gruppi di Microsoft 365 e che non hanno la possibilità di creare altri gruppi.

Passaggio 1: Creare un gruppo per gli utenti che devono creare gruppi di Microsoft 365

È possibile usare un solo gruppo nell'organizzazione per controllare chi è in grado di creare Gruppi di Microsoft 365. È tuttavia possibile annidare altri gruppi come membri di questo gruppo.

Gli amministratori nei ruoli elencati in precedenza non devono essere membri di questo gruppo: mantengono la capacità di creare gruppi.

  1. Nell'interfaccia di amministrazione passare alla pagina Gruppi.

  2. Fare clic su Aggiungi un gruppo.

  3. Scegliere il tipo di gruppo desiderato. Ricordare il nome del gruppo. Questo nome sarà necessario in un secondo momento.

  4. Completare la configurazione del gruppo, aggiungendo persone o altri gruppi che si desidera creare come membri (non proprietari).

Per istruzioni dettagliate, vedere Creare, modificare o eliminare un gruppo di sicurezza nel interfaccia di amministrazione di Microsoft 365.

Passaggio 2: Eseguire i comandi di PowerShell

È necessario usare la versione di anteprima di Azure Active Directory PowerShell for Graph (AzureAD) ( nome modulo AzureADPreview) per modificare l'impostazione di accesso guest a livello di gruppo:

  • Se non è ancora stata installata una versione del modulo PowerShell di Azure AD, vedere installare il modulo Azure AD e seguire le istruzioni per installare la versione di anteprima pubblica.

  • Se è installata la versione 2.0 disponibile a livello generale del modulo PowerShell di Azure AD (AzureAD), è necessario disinstallarlo eseguendo Uninstall-Module AzureAD nella sessione di PowerShell e quindi installare la versione di anteprima eseguendo Install-Module AzureADPreview.

  • Se è già stata installata la versione Preview, eseguire Update-Module AzureADPreview per verificare che sia la versione più recente di questo modulo.

Copiare lo script seguente in un editor di testo, ad esempio Blocco note, o in Windows PowerShell ISE.

Sostituire <GroupName> con il nome del gruppo creato. Ad esempio:

$GroupName = "Group Creators"

Salvare il file come GroupCreators.ps1.

Nella finestra di PowerShell passare al percorso in cui è stato salvato il file (digitare "CD <FileLocation>").

Eseguire lo script digitando:

.\GroupCreators.ps1

e accedere con l'account amministratore quando richiesto.

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Nell'ultima riga dello script verranno visualizzate le impostazioni aggiornate:

Screenshot dell'output dello script di PowerShell.

Se in futuro si vuole modificare il gruppo usato, è possibile eseguire nuovamente lo script con il nome del nuovo gruppo.

Se si vuole disattivare la restrizione di creazione del gruppo e consentire nuovamente a tutti gli utenti di creare gruppi, impostare $GroupName su "" e $AllowGroupCreation su "True" ed eseguire nuovamente lo script.

Passaggio 3: Verificare il funzionamento del comando

L'applicazione delle modifiche può richiedere almeno trenta minuti. È possibile verificare le nuove impostazioni eseguendo le operazioni seguenti:

  1. Accedere a Microsoft 365 con un account utente di un utente che NON deve avere la possibilità di creare gruppi. Ovvero, non sono un membro del gruppo creato o un amministratore.

  2. Selezionare il riquadro Planner .

  3. In Planner selezionare Nuovo piano nel riquadro di spostamento a sinistra per creare un piano.

  4. Dovrebbe essere visualizzato un messaggio che informa che la creazione del piano e del gruppo è disabilitata.

Provare di nuovo la stessa procedura con un membro del gruppo.

Nota

Se i membri del gruppo non sono in grado di creare gruppi, verificare che non vengano bloccati tramite i criteri cassetta postale OWA.

Raccomandazioni per la pianificazione della governance della collaborazione

Creare il piano di governance della collaborazione

Guida introduttiva a PowerShell di Office 365

Configurare la gestione dei gruppi self-service in Azure Active Directory

Set-ExecutionPolicy

Cmdlet di Azure Active Directory per la configurazione delle impostazioni di gruppo