Gerenciar quem pode criar grupos do Microsoft 365
Por padrão, todos os usuários podem criar grupos do Microsoft 365. Essa é a abordagem recomendada porque permite que os usuários comecem a colaborar sem precisar de assistência de TI.
Se sua empresa exigir que você restrinja quem pode criar grupos, você pode restringir Grupos do Microsoft 365 criação aos membros de um grupo ou grupo de segurança do Microsoft 365 específico.
Se você está preocupado com os usuários que criam equipes ou grupos que não estão em conformidade com seus padrões de negócios, considere exigir que os usuários concluam um curso de treinamento e, em seguida, adicioná-los ao grupo de usuários permitidos.
Quando você limita quem pode criar um grupo, ele afeta todos os serviços que dependem de grupos para acesso, incluindo:
- Outlook
- Microsoft Office SharePoint Online
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (clássico)
- Project para a Web /Roteiro
As etapas deste artigo não impedirão que membros de determinadas funções criem Grupos. Os administradores globais do Microsoft 365 podem criar grupos por meio do Centro de administração do Microsoft 365, Planner, Exchange e SharePoint, mas não em outros locais, como o Teams. Outras funções podem criar Grupos do Microsoft 365 por meio limitado, listados abaixo.
- Administrador do Exchange: Centro de administração do Exchange, Microsoft Entra ID
- Suporte à Camada 1 do Parceiro: Centro de administração do Microsoft 365, Centro de administração do Exchange, Microsoft Entra ID
- Suporte ao Partner Tier 2: Centro de administração do Microsoft 365, centro de administração do Exchange, Microsoft Entra ID
- Escritores de Diretório: Microsoft Entra ID
- Administrador de grupos: Microsoft Entra ID
- Administrador do SharePoint: centro de administração do SharePoint, Microsoft Entra ID
- Administrador de Serviços do Teams: Centro de administração do Teams, Microsoft Entra ID
- Administrador de Usuário: Centro de administração do Microsoft 365, Microsoft Entra ID
Se você for membro de uma dessas funções, poderá criar Grupos do Microsoft 365 para usuários restritos e atribuir o usuário como o proprietário do grupo.
Requisitos de licenciamento
Para gerenciar quem cria grupos, as seguintes pessoas precisam Microsoft Entra ID licenças P1 ou P2 ou Microsoft Entra licenças básicas de EDU atribuídas a elas:
- O administrador que configura essas configurações de criação de grupo
- Os membros do grupo que têm permissão para criar grupos
Observação
Consulte Atribuir ou remover licenças no centro de administração do Microsoft Entra para obter mais detalhes sobre como atribuir licenças do Azure.
As seguintes pessoas não precisam Microsoft Entra ID licenças P1 ou P2 ou Microsoft Entra EDU básicas atribuídas a elas:
- Pessoas que são membros de grupos do Microsoft 365 e que não têm a capacidade de criar outros grupos.
Etapa 1: criar um grupo para usuários que precisam criar grupos do Microsoft 365
Apenas um grupo em sua organização pode ser usado para controlar quem é capaz de criar Grupos do Microsoft 365. Mas, você pode aninhar outros grupos como membros desse grupo.
Os administradores das funções listadas acima não precisam ser membros desse grupo: eles mantêm sua capacidade de criar grupos.
No centro de administração, acesse a página Grupos.
Clique em Adicionar um Grupo.
Escolha o tipo de grupo desejado. Lembre-se do nome do grupo! Você precisará disso posteriormente.
Conclua a configuração do grupo, adicionando pessoas ou outros grupos que você deseja poder criar grupos como membros (não proprietários).
Para obter instruções detalhadas, consulte Criar, editar ou excluir um grupo de segurança no Centro de administração do Microsoft 365.
Etapa 2: Executar comandos do PowerShell
Você usará o módulo Beta do Microsoft Graph PowerShell para alterar a configuração de acesso de convidado no nível do grupo:
- Se você já tiver instalado a versão Beta, execute
Update-Module Microsoft.Graph.Betapara verificar se é a versão mais recente deste módulo.
Copie o script abaixo em um editor de texto, como Bloco de Notas ou o ISE Windows PowerShell.
Substitua <GroupName> pelo nome do grupo que você criou. Por exemplo:
$GroupName = "Group Creators"
Salve o arquivo como GroupCreators.ps1.
Na janela do PowerShell, navegue até o local em que você salvou o arquivo (digite "CD <FileLocation>").
Execute o script digitando:
.\GroupCreators.ps1
e entre com sua conta de administrador quando solicitado.
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
A última linha do script exibirá as configurações atualizadas:
Se no futuro você quiser alterar qual grupo é usado, poderá executar novamente o script com o nome do novo grupo.
Se você quiser desativar a restrição de criação de grupo e novamente permitir que todos os usuários criem grupos, defina $GroupName como "" e $AllowGroupCreation para "$true" e execute novamente o script.
Etapa 3: Verifique se funciona
As alterações podem levar trinta minutos ou mais para entrar em vigor. Você pode verificar as novas configurações fazendo o seguinte:
Entre no Microsoft 365 com uma conta de usuário de alguém que NÃO deve ter a capacidade de criar grupos. Ou seja, eles não são um membro do grupo que você criou ou um administrador.
Selecione o bloco Planner .
No Planner, selecione Novo Plano na navegação à esquerda para criar um plano.
Você deve receber uma mensagem de que o plano e a criação de grupo estão desabilitados.
Tente o mesmo procedimento novamente com um membro do grupo.
Observação
Se os membros do grupo não forem capazes de criar grupos, marcar que eles não estão sendo bloqueados por meio de sua política de caixa de correio OWA.
Tópicos relacionados
Recomendações de planejamento de governança de colaboração
Criar seu plano de governança de colaboração
Introdução ao Office 365 PowerShell
Configurar o gerenciamento de grupo de autoatendimento no Microsoft Entra ID
Microsoft Entra cmdlets para configurar configurações de grupo
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de