共用方式為


管理能建立 Microsoft 365 群組的使用者

根據預設,所有使用者都可以建立Microsoft 365 個群組。 這是建議的方法,因為它可讓用戶開始共同作業,而不需要IT的協助。

如果您的企業要求您限制誰可以建立群組,您可以將Microsoft 365 群組建立限制為特定Microsoft 365 群組或安全組的成員。

如果您擔心使用者建立的小組或群組不符合您的商務標準,請考慮要求使用者完成訓練課程,然後將他們新增至允許的使用者群組。

當您限制可建立群組的人員時,它會影響依賴群組進行存取的所有服務,包括:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (傳統)
  • Project for the web / Roadmap

本文中的步驟不會防止特定角色的成員建立群組。 Microsoft 365 全域系統管理員可以透過 Microsoft 365 系統管理中心、Planner、Exchange 和 SharePoint 建立群組,但無法建立其他位置,例如 Teams。 其他角色可以透過有限方式建立Microsoft 365 群組,如下所示。

  • Exchange 系統管理員:Exchange 系統管理中心、Microsoft Entra ID
  • 合作夥伴第 1 層支援:Microsoft 365 系統管理中心、Exchange 系統管理中心、Microsoft Entra ID
  • 合作夥伴第 2 層支援:Microsoft 365 系統管理中心、Exchange 系統管理中心、Microsoft Entra ID
  • 目錄寫入器:Microsoft Entra ID
  • 群組系統管理員:Microsoft Entra ID
  • SharePoint 系統管理員:SharePoint 系統管理中心、Microsoft Entra ID
  • Teams 服務管理員:Teams 系統管理中心、Microsoft Entra ID
  • 用戶系統管理員:Microsoft 365 系統管理中心,Microsoft Entra ID

如果您是其中一個角色的成員,您可以為受限制的使用者建立Microsoft 365 群組,然後將使用者指派為群組的擁有者。

授權需求

若要管理建立群組的人員,下列人員需要Microsoft Entra ID P1 或 P2 授權,或Microsoft指派給他們的 Entra Basic EDU 授權:

  • 設定這些群組建立設定的系統管理員
  • 允許建立群組的群組成員

注意事項

如需如何指派 Azure 授權的詳細資訊,請參閱 在 Microsoft Entra 系統管理中心指派或移除 授權。

下列人員不需要指派Microsoft Entra ID P1 或 P2 或 Microsoft Entra Basic EDU 授權:

  • 屬於Microsoft 365 群組成員,且無法建立其他群組的人員。

步驟 1:為需要建立Microsoft 365 群組的使用者建立群組

組織中只有一個群組可用來控制誰能夠建立Microsoft 365 群組。 但是,您可以將其他群組巢狀化為此群組的成員。

上述角色中的系統管理員不需要是此群組的成員:他們會保留其建立群組的能力。

  1. 在系統管理中心,移至 [ 群組] 頁面

  2. 按兩下 [ 新增群組]

  3. 選擇您想要的群組類型。 請記下群組名稱! 以便後續步驟使用。

  4. 完成群組的設定,新增您想要建立群組的人員或其他群組,作為成員 (而非擁有者) 。

如需詳細指示,請參閱在 Microsoft 365 系統管理中心建立、編輯或刪除安全組

步驟 2:執行 PowerShell 命令

您將使用 Microsoft Graph PowerShellBeta 模組來變更群組層級來賓存取設定:

  • 如果您已經安裝 Beta 版本,請執行 Update-Module Microsoft.Graph.Beta 以確定它是此模組的最新版本。

將下列腳本複製到文本編輯器中,例如記事本或 Windows PowerShell ISE

以您建立的組名取代 <GroupName> 。 例如:

$GroupName = "Group Creators"

將檔案儲存為 GroupCreators.ps1。

在 PowerShell 視窗中,流覽至您儲存盤案的位置 (輸入 “CD <FileLocation>”) 。

輸入下列命令來執行文稿:

.\GroupCreators.ps1

並在出現提示時 使用您的系統管理員帳戶 登入。

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

文稿的最後一行會顯示更新的設定:

PowerShell 腳本輸出的螢幕快照。

如果您未來想要變更使用的群組,您可以使用新群組的名稱重新執行腳本。

如果您想要關閉群組建立限制,並再次允許所有使用者建立群組,請將$GroupName設定為 “”,並$AllowGroupCreation為 “$true”,然後重新執行腳本。

步驟 3:驗證命令能正常運作

變更可能需要 30 分鐘以上才會生效。 您可以執行下列動作來驗證新的設定:

  1. 使用不應該能夠建立群組的用戶帳戶登入 Microsoft 365。 也就是說,他們不是您所建立群組的成員或系統管理員。

  2. 選取 [Planner ] 圖格。

  3. 在 Planner 中,選取左側導覽中的 [ 新增方案 ] 以建立方案。

  4. 您應該會收到一則訊息,指出計劃和群組建立已停用。

請與群組的成員再次嘗試相同的程式。

注意事項

如果群組的成員無法建立群組,請確認其未透過 其 OWA 信箱原則遭到封鎖。

共同作業治理規劃建議

建立共同作業治理計劃

開始使用 Office 365 PowerShell

在 Microsoft Entra ID 中設定自助群組管理

Set-ExecutionPolicy

Microsoft Entra Cmdlet 來設定群組設定