Beheren wie Microsoft 365-groepen kunnen maken

  • Artikel

Standaard kunnen alle gebruikers Microsoft 365-groepen maken. Dit is de aanbevolen aanpak, omdat gebruikers hiermee kunnen beginnen met samenwerken zonder dat ze hulp van IT nodig hebben.

Als uw bedrijf vereist dat u beperkt wie groepen kan maken, kunt u Microsoft 365 Groepen maken beperken tot de leden van een bepaalde Microsoft 365-groep of beveiligingsgroep.

Als u zich zorgen maakt over gebruikers die teams of groepen maken die niet voldoen aan uw bedrijfsstandaarden, kunt u overwegen om gebruikers te verplichten een trainingscursus te volgen en ze vervolgens toe te voegen aan de groep toegestane gebruikers.

Wanneer u beperkt wie een groep kan maken, is dit van invloed op alle services die afhankelijk zijn van groepen voor toegang, waaronder:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (klassiek)
  • Project voor het web / Roadmap

De stappen in dit artikel verhinderen niet dat leden van bepaalde rollen Groepen kunnen maken. Globale Microsoft 365-beheerders kunnen groepen maken via de Microsoft 365-beheercentrum, Planner, Exchange en SharePoint, maar niet via andere locaties, zoals Teams. Andere rollen kunnen Microsoft 365 Groepen maken via beperkte middelen, zoals hieronder wordt vermeld.

  • Exchange-beheerder: Exchange-beheercentrum, Azure AD
  • Ondersteuning voor partnerlaag 1: Microsoft 365-beheercentrum, Exchange-beheercentrum, Azure AD
  • Ondersteuning voor partnerlaag 2: Microsoft 365-beheercentrum, Exchange-beheercentrum, Azure AD
  • Adreslijstschrijvers: Azure AD
  • Groepsbeheerder: Azure AD
  • SharePoint-beheerder: SharePoint-beheercentrum, Azure AD
  • Teams-servicebeheerder: Teams-beheercentrum, Azure AD
  • Gebruikersbeheerder: Microsoft 365-beheercentrum, Azure AD

Als u lid bent van een van deze rollen, kunt u Microsoft 365 Groepen maken voor beperkte gebruikers en de gebruiker vervolgens toewijzen als de eigenaar van de groep.

Licentievereisten

Als u wilt beheren wie groepen maakt, hebben de volgende personen Azure AD Premium-licenties of Azure AD Basic EDU-licenties nodig die aan hen zijn toegewezen:

  • De beheerder die deze instellingen voor het maken van groepen configureert
  • De leden van de groep die groepen mogen maken

Opmerking

Zie Licenties toewijzen of verwijderen in de Azure Active Directory-portal voor meer informatie over het toewijzen van Azure-licenties.

De volgende personen hebben geen Premium Azure AD- of Azure AD Basic EDU-licenties nodig die aan hen zijn toegewezen:

  • Mensen die lid zijn van Microsoft 365-groepen en die niet de mogelijkheid hebben om andere groepen te maken.

Stap 1: Een groep maken voor gebruikers die Microsoft 365-groepen moeten maken

Er kan slechts één groep in uw organisatie worden gebruikt om te bepalen wie Microsoft 365 Groepen kan maken. Maar u kunt andere groepen nesten als leden van deze groep.

Beheerders met de bovenstaande rollen hoeven geen lid te zijn van deze groep: ze behouden hun mogelijkheid om groepen te maken.

  1. Ga in het beheercentrum naar de pagina Groepen.

  2. Klik op Een groep toevoegen.

  3. Kies het gewenste groepstype. Onthoud de naam van de groep goed. Deze hebt u later nodig.

  4. Voltooi het instellen van de groep door personen of andere groepen toe te voegen die u als leden (geen eigenaren) groepen wilt kunnen maken.

Zie Een beveiligingsgroep maken, bewerken of verwijderen in de Microsoft 365-beheercentrum voor gedetailleerde instructies.

Stap 2: PowerShell-opdrachten uitvoeren

U moet de preview-versie van Azure Active Directory PowerShell for Graph (AzureAD) ( modulenaam AzureADPreview) gebruiken om de instelling voor gasttoegang op groepsniveau te wijzigen:

  • Als u nog geen versie van de Azure AD PowerShell-module hebt geïnstalleerd, raadpleegt u De Azure AD module installeren en volgt u de instructies voor het installeren van de openbare preview-versie.

  • Als u de versie 2.0 algemene beschikbaarheid van de Azure AD PowerShell-module (AzureAD) hebt geïnstalleerd, moet u deze verwijderen door deze uit te voeren Uninstall-Module AzureAD in uw PowerShell-sessie en vervolgens de preview-versie installeren door uit te voeren Install-Module AzureADPreview.

  • Als u de preview-versie al hebt geïnstalleerd, voert u uit Update-Module AzureADPreview om ervoor te zorgen dat deze de nieuwste versie van deze module is.

Kopieer het onderstaande script naar een teksteditor, zoals Kladblok of de Windows PowerShell ISE.

Vervang <GroupName> door de naam van de groep die u hebt gemaakt. Bijvoorbeeld:

$GroupName = "Group Creators"

Sla het bestand op als GroupCreators.ps1.

Navigeer in het PowerShell-venster naar de locatie waar u het bestand hebt opgeslagen (typ 'CD <FileLocation'>).

Voer het script uit door te typen:

.\GroupCreators.ps1

en meld u aan met uw beheerdersaccount wanneer u hierom wordt gevraagd.

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Op de laatste regel van het script worden de bijgewerkte instellingen weergegeven:

Schermopname van powershell-scriptuitvoer.

Als u in de toekomst wilt wijzigen welke groep wordt gebruikt, kunt u het script opnieuw uitvoeren met de naam van de nieuwe groep.

Als u de beperking voor het maken van groepen wilt uitschakelen en alle gebruikers opnieuw wilt toestaan groepen te maken, stelt u $GroupName in op '' en $AllowGroupCreation op 'Waar' en voert u het script opnieuw uit.

Stap 3: controleren of het werkt

Het kan dertig minuten of langer duren voordat wijzigingen van kracht worden. U kunt de nieuwe instellingen als volgt controleren:

  1. Meld u aan bij Microsoft 365 met een gebruikersaccount van iemand die NIET de mogelijkheid mag hebben om groepen te maken. Dat wil dus dat ze geen lid zijn van de groep die u hebt gemaakt of geen beheerder.

  2. Selecteer de tegel Planner .

  3. Selecteer in Planner de optie Nieuw plan in de linkernavigatiebalk om een plan te maken.

  4. U krijgt een bericht dat het maken van plannen en groepen is uitgeschakeld.

Probeer dezelfde procedure opnieuw met een lid van de groep.

Opmerking

Als leden van de groep geen groepen kunnen maken, controleert u of ze niet worden geblokkeerd via hun OWA-postvakbeleid.

Aanbevelingen voor het plannen van samenwerkingsgovernance

Uw governanceplan voor samenwerking maken

Getting started with Office 365 PowerShell

Selfservicegroepsbeheer instellen in Azure Active Directory

Set-ExecutionPolicy

Azure Active Directory-cmdlets voor het configureren van groepsinstellingen