Бөлісу құралы:


Управление разрешениями пользователей на создание групп Microsoft 365

По умолчанию все пользователи могут создавать группы Microsoft 365. Это рекомендуемый подход, так как он позволяет пользователям начать совместную работу без помощи ИТ-специалистов.

Если вашей организации требуется ограничить число пользователей, которые могут создавать группы, можно ограничить создание групп Microsoft 365 членами определенной группы или группы безопасности Microsoft 365.

Если вас беспокоит создание пользователями команд или групп, которые не соответствуют вашим бизнес-стандартам, рассмотрите возможность потребовать от пользователей пройти учебный курс, а затем добавить их в группу разрешенных пользователей.

Ограничение числа пользователей, которые могут создавать группу, влияет на все службы, которые используют группы для доступа, в том числе:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Планировщик
  • Power BI (классическая модель)
  • Проект для Интернета / Дорожная карта

Действия, описанные в этой статье, не помешают членам определенных ролей создавать группы. Глобальные администраторы Microsoft 365 могут создавать группы с помощью Центра администрирования Microsoft 365, Планировщика, Exchange и SharePoint, но не в других расположениях, таких как Teams. Другие роли могут создавать группы Microsoft 365 с помощью ограниченных средств, перечисленных ниже.

  • Администратор Exchange: Центр администрирования Exchange, Идентификатор Microsoft Entra
  • Поддержка партнеров уровня 1: Центр администрирования Microsoft 365, Центр администрирования Exchange, Идентификатор Microsoft Entra
  • Поддержка партнеров уровня 2: Центр администрирования Microsoft 365, Центр администрирования Exchange, Идентификатор Microsoft Entra
  • Записи каталогов: Идентификатор Microsoft Entra
  • Администратор групп: Идентификатор Microsoft Entra
  • Администратор SharePoint: Центр администрирования SharePoint, Идентификатор Microsoft Entra
  • Администратор службы Teams: Центр администрирования Teams, Идентификатор Microsoft Entra
  • Администратор пользователей: Центр администрирования Microsoft 365, Идентификатор Microsoft Entra

Если вы являетесь членом одной из этих ролей, вы можете создать группы Microsoft 365 для ограниченных пользователей, а затем назначить пользователя владельцем группы.

Требования к лицензированию

Чтобы управлять тем, кто создает группы, следующие пользователи должны получить лицензии Microsoft Entra ID P1 или P2 или Microsoft Entra Basic EDU:

  • Администратор, который настраивает эти параметры создания группы
  • Участники группы, которым разрешено создавать группы

Примечание.

Дополнительные сведения о назначении лицензий Azure см. в статье Назначение или удаление лицензий в Центре администрирования Microsoft Entra .

Следующим пользователям не нужны назначенные лицензии Microsoft Entra ID P1 или P2 или Microsoft Entra Basic EDU:

  • Пользователи, которые являются членами групп Microsoft 365 и не имеют возможности создавать другие группы.

Шаг 1. Создание группы для пользователей, которым необходимо создать группы Microsoft 365

Только одна группа в вашей организации может быть использована для управления тем, кто может создавать группы Microsoft 365. Но вы можете вложить другие группы в качестве членов этой группы.

Администраторы в перечисленных выше ролях не должны быть членами этой группы: они сохраняют возможность создавать группы.

  1. В Центре администрирования перейдите на страницу Группы.

  2. Щелкните Добавить группу.

  3. Выберите нужный тип группы. Запомните имя группы. Он потребуется позже.

  4. Завершите настройку группы, добавив людей или другие группы, которые должны иметь возможность создавать группы в качестве участников (не владельцев).

Подробные инструкции см. в статье Создание, изменение и удаление группы безопасности в Центре администрирования Microsoft 365.

Шаг 2. Запуск команд PowerShell

Вы будете использовать бета-модульMicrosoft Graph PowerShell, чтобы изменить параметр гостевого доступа на уровне группы:

  • Если вы уже установили бета-версию, выполните команду Update-Module Microsoft.Graph.Beta , чтобы убедиться, что это последняя версия этого модуля.

Скопируйте приведенный ниже сценарий в текстовый редактор, например Блокнот или интегрированную среду сценариев Windows PowerShell.

Замените <GroupName> именем созданной группы. Например:

$GroupName = "Group Creators"

Сохраните файл как GroupCreators.ps1.

В окне PowerShell перейдите в расположение, в котором вы сохранили файл (введите "CD <FileLocation>").

Запустите скрипт, введя следующее:

.\GroupCreators.ps1

и войдите с помощью учетной записи администратора при появлении запроса.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

В последней строке скрипта будут отображаться обновленные параметры:

Снимок экрана: выходные данные скрипта PowerShell.

Если в будущем вы хотите изменить используемую группу, можно повторно запустить сценарий с именем новой группы.

Если вы хотите отключить ограничение на создание группы и разрешить всем пользователям создавать группы, задайте для $GroupName значение "", а $AllowGroupCreation " $true" и повторно запустите скрипт.

Шаг 3. Проверка

Внесение изменений в силу может занять тридцать минут или более. Вы можете проверить новые параметры, выполнив следующие действия.

  1. Войдите в Microsoft 365 с учетной записью пользователя, у которого не должна быть возможность создавать группы. То есть они не являются членом созданной группы или администратором.

  2. Выберите плитку Планировщик .

  3. В Планировщике выберите Создать план в области навигации слева, чтобы создать план.

  4. Должно появиться сообщение о том, что создание плана и группы отключено.

Повторите ту же процедуру с участником группы.

Примечание.

Если члены группы не могут создавать группы, убедитесь, что они не заблокированы с помощью политики почтовых ящиков OWA.

Рекомендации по планированию системы управления совместной работой

Создание плана управления совместной работой

Начало работы с Office 365 PowerShell

Настройка самостоятельного управления группами в Идентификаторе Microsoft Entra

Set-ExecutionPolicy.

Командлеты Microsoft Entra для настройки параметров группы