管理能建立 Microsoft 365 群組的使用者
根據預設,所有使用者都可以建立Microsoft 365 個群組。 這是建議的方法,因為它可讓用戶開始共同作業,而不需要IT的協助。
如果您的企業要求您限制誰可以建立群組,您可以將Microsoft 365 群組建立限制為特定Microsoft 365 群組或安全組的成員。
如果您擔心使用者建立的小組或群組不符合您的商務標準,請考慮要求使用者完成訓練課程,然後將他們新增至允許的使用者群組。
當您限制可建立群組的人員時,它會影響依賴群組進行存取的所有服務,包括:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (傳統)
- Project for the web / Roadmap
本文中的步驟不會防止特定角色的成員建立群組。 Microsoft 365 全域系統管理員可以透過 Microsoft 365 系統管理中心、Planner、Exchange 和 SharePoint 建立群組,但無法建立其他位置,例如 Teams。 其他角色可以透過有限方式建立Microsoft 365 群組,如下所示。
- Exchange 系統管理員:Exchange 系統管理中心、Microsoft Entra ID
- 合作夥伴第 1 層支援:Microsoft 365 系統管理中心、Exchange 系統管理中心、Microsoft Entra ID
- 合作夥伴第 2 層支援:Microsoft 365 系統管理中心、Exchange 系統管理中心、Microsoft Entra ID
- 目錄寫入器:Microsoft Entra ID
- 群組系統管理員:Microsoft Entra ID
- SharePoint 系統管理員:SharePoint 系統管理中心、Microsoft Entra ID
- Teams 服務管理員:Teams 系統管理中心、Microsoft Entra ID
- 用戶系統管理員:Microsoft 365 系統管理中心,Microsoft Entra ID
如果您是其中一個角色的成員,您可以為受限制的使用者建立Microsoft 365 群組,然後將使用者指派為群組的擁有者。
授權需求
若要管理建立群組的人員,下列人員需要Microsoft Entra ID P1 或 P2 授權,或Microsoft指派給他們的 Entra Basic EDU 授權:
- 設定這些群組建立設定的系統管理員
- 允許建立群組的群組成員
注意事項
如需如何指派 Azure 授權的詳細資訊,請參閱 在 Microsoft Entra 系統管理中心指派或移除 授權。
下列人員不需要指派Microsoft Entra ID P1 或 P2 或 Microsoft Entra Basic EDU 授權:
- 屬於Microsoft 365 群組成員,且無法建立其他群組的人員。
步驟 1:為需要建立Microsoft 365 群組的使用者建立群組
組織中只有一個群組可用來控制誰能夠建立Microsoft 365 群組。 但是,您可以將其他群組巢狀化為此群組的成員。
上述角色中的系統管理員不需要是此群組的成員:他們會保留其建立群組的能力。
在系統管理中心,移至 [ 群組] 頁面。
按兩下 [ 新增群組]。
選擇您想要的群組類型。 請記下群組名稱! 以便後續步驟使用。
完成群組的設定,新增您想要建立群組的人員或其他群組,作為成員 (而非擁有者) 。
如需詳細指示,請參閱在 Microsoft 365 系統管理中心建立、編輯或刪除安全組。
步驟 2:執行 PowerShell 命令
您將使用 Microsoft Graph PowerShellBeta 模組來變更群組層級來賓存取設定:
- 如果您已經安裝 Beta 版本,請執行
Update-Module Microsoft.Graph.Beta以確定它是此模組的最新版本。
將下列腳本複製到文本編輯器中,例如記事本或 Windows PowerShell ISE。
以您建立的組名取代 <GroupName> 。 例如:
$GroupName = "Group Creators"
將檔案儲存為 GroupCreators.ps1。
在 PowerShell 視窗中,流覽至您儲存盤案的位置 (輸入 “CD <FileLocation>”) 。
輸入下列命令來執行文稿:
.\GroupCreators.ps1
並在出現提示時 使用您的系統管理員帳戶 登入。
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
文稿的最後一行會顯示更新的設定:
如果您未來想要變更使用的群組,您可以使用新群組的名稱重新執行腳本。
如果您想要關閉群組建立限制,並再次允許所有使用者建立群組,請將$GroupName設定為 “”,並$AllowGroupCreation為 “$true”,然後重新執行腳本。
步驟 3:驗證命令能正常運作
變更可能需要 30 分鐘以上才會生效。 您可以執行下列動作來驗證新的設定:
使用不應該能夠建立群組的用戶帳戶登入 Microsoft 365。 也就是說,他們不是您所建立群組的成員或系統管理員。
選取 [Planner ] 圖格。
在 Planner 中,選取左側導覽中的 [ 新增方案 ] 以建立方案。
您應該會收到一則訊息,指出計劃和群組建立已停用。
請與群組的成員再次嘗試相同的程式。
注意事項
如果群組的成員無法建立群組,請確認其未透過 其 OWA 信箱原則遭到封鎖。