通过

管理可创建 Microsoft 365 组的人员

  • 项目

默认情况下,所有用户都可以创建Microsoft 365 个组。 这是建议的方法,因为它允许用户开始协作,而无需 IT 人员协助。

如果业务要求限制谁可以创建组,则可以将Microsoft 365 组创建限制为特定Microsoft 365 组或安全组的成员。

如果你担心用户创建不符合业务标准的团队或组,请考虑要求用户完成培训课程,然后将他们添加到允许的用户组。

限制可以创建组的人员时,会影响依赖于组进行访问的所有服务,包括:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (经典)
  • Web 项目/路线图

本文中的步骤不会阻止某些角色的成员创建组。 Microsoft 365 个全局管理员可以通过 Microsoft 365 管理中心、Planner、Exchange 和 SharePoint 创建组,但不能通过 Teams 等其他位置创建组。 其他角色可以通过有限方式创建Microsoft 365 组,如下所示。

  • Exchange 管理员:Exchange 管理中心,Microsoft Entra ID
  • 合作伙伴第 1 层支持:Microsoft 365 管理中心、Exchange 管理中心Microsoft Entra ID
  • 合作伙伴第 2 层支持:Microsoft 365 管理中心、Exchange 管理中心Microsoft Entra ID
  • 目录编写器:Microsoft Entra ID
  • 组管理员:Microsoft Entra ID
  • SharePoint 管理员:SharePoint 管理中心,Microsoft Entra ID
  • Teams 服务管理员:Teams 管理中心,Microsoft Entra ID
  • 用户管理员:Microsoft 365 管理中心,Microsoft Entra ID

如果你是其中一个角色的成员,可以为受限用户创建Microsoft 365 组,然后将该用户分配为组的所有者。

许可要求

若要管理创建组的人员,以下人员需要Microsoft Entra ID P1 或 P2 许可证,或者Microsoft分配给他们的 Entra 基本 EDU 许可证:

  • 配置这些组创建设置的管理员
  • 允许创建组的组成员

注意

有关如何分配 Azure 许可证的更多详细信息 ,请参阅在 Microsoft Entra 管理中心分配或删除 许可证。

以下人员不需要Microsoft Entra ID P1、P2 或Microsoft分配给他们的 Entra Basic EDU 许可证:

  • Microsoft 365 个组的成员,并且无法创建其他组的人员。

步骤 1:为需要创建Microsoft 365 个组的用户创建组

组织中只能使用一个组来控制谁能够创建Microsoft 365 个组。 但是,可以将其他组嵌套为此组的成员。

上面列出的角色中的管理员不需要是此组的成员:他们保留创建组的能力。

  1. 在管理中心,转到 “组”页

  2. 单击“ 添加组”。

  3. 选择所需的组类型。 请记住该组的名称! 稍后需要用到该名称。

  4. 完成组设置,添加希望能够创建组的人员或其他组作为成员 (而不是所有者) 。

有关详细说明,请参阅 在 Microsoft 365 管理中心中创建、编辑或删除安全组

步骤 2:运行 PowerShell 命令

你将使用 Microsoft Graph PowerShellBeta 模块更改组级来宾访问设置:

  • 如果已安装 Beta 版本,请运行 Update-Module Microsoft.Graph.Beta 以确保它是此模块的最新版本。

将以下脚本复制到文本编辑器(如记事本或 Windows PowerShell ISE) 中。

GroupName> 替换为<创建的组的名称。 例如:

$GroupName = "Group Creators"

将文件另存为 GroupCreators.ps1。

在 PowerShell 窗口中,导航到保存文件的位置, (键入“CD <FileLocation>”) 。

通过键入以下内容运行脚本:

.\GroupCreators.ps1

并在出现提示时 使用管理员帐户登录

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

脚本的最后一行将显示更新的设置:

PowerShell 脚本输出的屏幕截图。

如果将来要更改使用的组,可以使用新组的名称重新运行脚本。

如果要关闭组创建限制并再次允许所有用户创建组,请将$GroupName设置为“”,并将$AllowGroupCreation设置为“$true”,然后重新运行脚本。

步骤 3:验证有效性

更改可能需要 30 分钟或更长的时间才能生效。 可以通过执行以下操作来验证新设置:

  1. 使用不应创建组的用户的用户帐户登录到 Microsoft 365。 也就是说,他们不是你创建的组的成员或管理员。

  2. 选择 Planner 磁贴。

  3. 在 Planner 中,在左侧导航中选择“ 新建计划 ”以创建计划。

  4. 应会收到一条消息,指出计划和组创建已禁用。

使用组的成员再次尝试相同的过程。

注意

如果组的成员无法创建组,请检查他们是否未通过其 OWA 邮箱策略被阻止。

协作治理规划建议

创建协作治理计划

Office 365 PowerShell 入门

在 entra ID Microsoft中设置自助服务组管理

Set-ExecutionPolicy

Microsoft Entra cmdlet 用于配置组设置