根據預設,所有使用者都可以建立 Microsoft 365 群組。 這是建議的方法,因為它允許用戶開始協作,而無需 IT 的幫助。
如果您的企業要求您限制誰可以建立群組,您可以將 Microsoft 365 群組建立限制為特定 Microsoft 365 群組或安全性群組的成員。
如果您擔心使用者建立不符合您業務標準的團隊或群組,請考慮要求使用者完成訓練課程,然後將他們新增至允許的使用者群組。
當您限制誰可以建立群組時,它會影響依賴群組存取的所有服務,包括:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (傳統)
- Project 網頁版 / 藍圖
本文中的步驟無法阻止特定角色的成員建立群組。 Microsoft 365 全域系統管理員可以透過 Microsoft 365 系統管理中心、Planner、Exchange 和 SharePoint 建立群組,但不能透過其他位置 (例如 Teams) 建立群組。 其他角色可以透過有限的方式建立 Microsoft 365 群組,如下表摘要說明:
| 角色 | 他們可以建立群組的位置 |
|---|---|
| Exchange 系統管理員 | Exchange 系統管理中心 Microsoft Entra ID |
| 合作夥伴第 1 層支援 | Microsoft 365 系統管理中心 Exchange 系統管理中心 Microsoft Entra ID |
| 合作夥伴第 2 層支援 | Microsoft 365 系統管理中心 Exchange 系統管理中心 Microsoft Entra ID |
| 目錄作者 | Microsoft Entra ID |
| 群組管理員 | Microsoft Entra ID |
| Sharepoint 系統管理員 | SharePoint 系統管理中心 Microsoft Entra ID |
| Teams 服務管理員 | Teams 系統管理中心 Microsoft Entra ID |
| 使用者管理員 | Microsoft 365 系統管理中心 Microsoft Entra ID |
如果您是其中一個角色的成員,您可以為受限制的使用者建立 Microsoft 365 群組,然後將使用者指派為群組的擁有者。
重要事項
Microsoft 建議您使用權限最少的角色。 使用較低許可的帳戶有助於提高組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。 若要深入瞭解,請參閱 關於 Microsoft 365 系統管理中心中的系統管理員角色。
授權需求
若要管理建立群組的人員,下列人員需要Microsoft Entra識別碼 P1 或 P2 授權,或指派給他們的 Basic Education (EDU) 授權Microsoft Entra:
- 設定這些群組建立設定的管理員。
- 允許建立群組的群組成員。
注意事項
如需如何指派 Entra ID 授權的詳細資訊,請參閱 在 Microsoft Entra 系統管理中心指派或移除授權。
下列人員不需要指派給他們的 Microsoft Entra ID P1 或 P2 或 Microsoft Entra 基本 EDU 授權:
- 屬於 Microsoft 365 群組成員且無法建立其他群組的人員。
步驟 1:為需要建立 Microsoft 365 群組的使用者建立群組
組織中只有一個群組可用來控制誰能夠建立 Microsoft 365 群組。 但是,您可以將其他群組巢狀為此群組的成員。
先前列出的角色中的系統管理員不需要是此群組的成員;他們保留創建群組的能力。
在 Microsoft 365 系統管理中心中,移至 [群組] 頁面。
選取 新增群組。
選擇您想要的群組類型。 記住群組的名稱。 你以後需要它。
完成群組設定,新增您希望能夠建立群組為成員 () 擁有者的人員或其他群組。
如需詳細指示,請參閱 在 Microsoft 365 系統管理中心建立、編輯或刪除安全性群組。
步驟 2:執行 PowerShell 命令
使用 Microsoft Graph PowerShellBeta 模組來變更群組層級來賓存取設定:
- 如果您已經安裝了 Beta 版本,請執行
Update-Module Microsoft.Graph.Beta以確保它是此模組的最新版本。
將下列指令碼複製到文字編輯器中,例如記事本或 Windows PowerShell ISE。
將 GroupName> 取代<為您建立的群組名稱。 例如:
$GroupName = "Group Creators"
將檔案儲存為 GroupCreators.ps1。
在 PowerShell 視窗中,導覽至儲存檔案的位置 (鍵入「CD <FileLocation>」) 。
輸入下列內容來執行指令碼:
.\GroupCreators.ps1
然後,在出現提示時使用 您的管理員帳戶登入 。
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = $true
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup -all | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
指令碼的最後一行會顯示更新的設定:
如果將來您想要變更使用的群組,您可以使用新群組的名稱重新執行指令碼。
如果您想要關閉群組建立限制,並再次允許所有使用者建立群組,請設定 $GroupName 和 ""$AllowGroupCreation 至 "$true" ,然後重新執行指令碼。
步驟 3:驗證命令能正常運作
變更可能需要 30 分鐘或更長時間才能生效。 您可以完成下列步驟來驗證新設定:
使用不應該有能力建立群組的人員的使用者帳戶登入 Microsoft 365。 也就是說,他們不是您建立的群組的成員或管理員。
選取 [Planner] 磚。
在 Planner 中,選取左側導覽中的 [新增方案] 以建立方案。
您應該會收到一則訊息,指出計劃和群組建立已停用。
對群組成員再次嘗試相同的程序。
注意事項
如果群組的成員無法建立群組,請檢查他們是否未透過其 OWA 信箱原則遭到封鎖。