Verwalten von Personen, die Microsoft 365-Gruppen erstellen können

Standardmäßig können alle Benutzer Microsoft 365-Gruppen erstellen. Dies ist der empfohlene Ansatz, weil er es den Benutzern ermöglicht, ohne Unterstützung durch die IT mit der Zusammenarbeit zu beginnen.

Wenn Sie in Ihrem Unternehmen einschränken müssen, wer Gruppen erstellen kann, können Sie Microsoft 365-Gruppen Erstellung auf die Mitglieder einer bestimmten Microsoft 365-Gruppe oder Sicherheitsgruppe beschränken.

Wenn Sie Bedenken haben, dass Benutzer Teams oder Gruppen erstellen, die Ihren Geschäftsstandards nicht entsprechen, sollten Sie erwägen, dass Benutzer einen Schulungskurs absolvieren und sie dann der Gruppe zugelassener Benutzer hinzufügen.

Wenn Sie einschränken, wer eine Gruppe erstellen kann, wirkt sich dies auf alle Dienste aus, die für den Zugriff auf Gruppen angewiesen sind, einschließlich:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (klassisch)
  • Project für das Web / Roadmap

Durch die in diesem Artikel beschriebenen Schritte wird nicht verhindert, dass Mitglieder mit bestimmten Rollen Gruppen erstellen können. Globale Microsoft 365-Administratoren können Gruppen über die Microsoft 365 Admin Center, Planner, Exchange und SharePoint erstellen, aber nicht über andere Speicherorte wie Teams. Andere Rollen können Microsoft 365-Gruppen mit eingeschränkten Mitteln erstellen, wie unten aufgeführt.

  • Exchange-Administrator: Exchange Admin Center, Azure AD
  • Partner tier 1 Support: Microsoft 365 Admin Center, Exchange Admin Center, Azure AD
  • Partner Tier 2-Support: Microsoft 365 Admin Center, Exchange Admin Center, Azure AD
  • Verzeichnisautoren: Azure AD
  • SharePoint-Administrator: SharePoint Admin Center, Azure AD
  • Teams-Dienstadministrator: Teams Admin Center, Azure AD
  • Benutzeradministrator: Microsoft 365 Admin Center, Azure AD

Wenn Sie Mitglied einer dieser Rollen sind, können Sie Microsoft 365-Gruppen für Benutzer mit eingeschränktem Zugriff erstellen und anschließend den Benutzer als Besitzer der Gruppe zuweisen.

Lizenzierungsanforderungen

Um verwalten zu können, wer Gruppen erstellt, benötigen die folgenden Personen ihnen zugewiesene Azure AD Premium-Lizenzen oder Azure AD Basic EDU-Lizenzen:

  • Der Administrator, der die Einstellungen für die Gruppenerstellung konfiguriert
  • Die Mitglieder der Gruppe, die Gruppen erstellen dürfen

Hinweis

Weitere Details zum Zuweisen von Azure-Lizenzen finden Sie unter Zuweisen oder Entfernen von Lizenzen im Azure Active Directory-Portal.

Die folgenden Personen benötigen keine ihnen zugewiesene Azure AD Premium-Lizenzen oder Azure AD Basic EDU-Lizenzen:

  • Personen, die Mitglieder von Microsoft 365-Gruppen sind und keine Möglichkeit haben, andere Gruppen zu erstellen.

Schritt 1: Erstellen einer Gruppe für Benutzer, die Microsoft 365-Gruppen erstellen müssen

Es kann nur eine Gruppe in Ihrer Organisation verwendet werden, um zu steuern, wer Microsoft 365-Gruppen erstellen kann. Sie können jedoch andere Gruppen als Mitglieder dieser Gruppe schachteln.

Administratoren mit den oben aufgeführten Rollen müssen nicht Mitglieder dieser Gruppe sein: Sie behalten ihre Fähigkeit, Gruppen zu erstellen.

  1. Wechseln Sie im Admin Center zur Seite Gruppen.

  2. Klicken Sie auf Gruppe hinzufügen.

  3. Wählen Sie den gewünschten Gruppentyp aus. Vergessen Sie nicht den Namen der Gruppe! Sie benötigen ihn später noch.

  4. Schließen Sie die Einrichtung der Gruppe ab, und fügen Sie Personen oder andere Gruppen hinzu, die Sie als Mitglieder (nicht als Besitzer) erstellen möchten.

Ausführliche Anleitungen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe im Microsoft 365 Admin Center.

Schritt 2: Ausführen von PowerShell-Befehlen

Sie müssen die Vorschau-Version von Azure Active Directory PowerShell für Graph (AzureAD) verwenden (Modulname AzureADPreview), um die Einstellung für den Gastzugriff auf Gruppenebene zu ändern:

  • Wenn Sie zuvor noch keine Version des Azure AD PowerShell-Moduls installiert haben, lesen Sie Installieren des Azure AD-Moduls, und folgen Sie den Anweisungen zum Installieren der öffentlichen Vorschauversion.

  • Wenn Sie die allgemein verfügbare Version 2.0 des Azure AD PowerShell-Moduls (AzureAD) installiert haben, müssen Sie sie deinstallieren, indem Sie Uninstall-Module AzureAD in ihrer PowerShell-Sitzung ausführen, und dann mit Install-Module AzureADPreview die Vorschauversion installieren.

  • Wenn Sie die Vorschauversion bereits installiert haben, führen Sie Update-Module AzureADPreview aus, um sicherzustellen, dass es sich um die neueste Version dieses Moduls handelt.

Kopieren Sie das folgende Skript in einen Text-Editor wie Editor oder Windows PowerShell ISE.

Ersetzen Sie <GroupName> durch den Namen der Gruppe, die Sie erstellt haben. Zum Beispiel:

$GroupName = "Group Creators"

Speichern Sie die Datei als "GroupCreators.ps1".

Gehen Sie im PowerShell-Fenster zu dem Speicherort, an dem Sie die Datei gespeichert haben (geben Sie "CD <FileLocation>" ein).

Führen Sie das Skript aus, indem Sie Folgendes eingeben:

.\GroupCreators.ps1

und melden sich bei der entsprechenden Aufforderung mit Ihrem Administratorkonto an.

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Die letzte Zeile des Skripts enthält die aktualisierten Einstellungen:

Screenshot der PowerShell-Skriptausgabe.

Wenn Sie später die verwendete Gruppe ändern möchten, können Sie das Skript mit dem Namen der neuen Gruppe erneut ausführen.

Wenn Sie die Einschränkung für die Gruppenerstellung deaktivieren und wieder allen Benutzern das Erstellen von Gruppen gestatten möchten, legen Sie $GroupName auf "" und $AllowGroupCreation auf "True" fest, und führen Sie das Skript erneut aus.

Schritt 3: Überprüfen der ordnungsgemäßen Funktion

Es kann dreißig Minuten oder länger dauern, bis Änderungen wirksam werden. Sie können die neuen Einstellungen auf folgende Weise prüfen:

  1. Melden Sie sich bei Microsoft 365 mit dem Benutzerkonto einer Person an, der es NICHT möglich sein sollte, Gruppen zu erstellen. Also einer Person, die nicht Mitglied der von Ihnen erstellten Gruppe oder ein Administrator ist.

  2. Wählen Sie die Kachel Planner aus.

  3. Wählen Sie in Planner in der linken Navigationsleiste Neuer Plan aus, um einen Plan zu erstellen.

  4. Jetzt sollte eine Nachricht angezeigt werden, die besagt, dass die Erstellung von Plänen und Gruppen deaktiviert ist.

Wiederholen Sie den Vorgang mit einem Mitglied der Gruppe.

Hinweis

Sollte es Mitgliedern der Gruppe nicht möglich sein, Gruppen zu erstellen, überprüfen Sie, ob Sie nicht durch ihre OWA-Postfachrichtlinie daran gehindert werden.

Empfehlungen für die Planung der Zusammenarbeitsgovernance

Erstellen eines Plans für die Zusammenarbeitsgovernance

Erste Schritte mit Office 365 PowerShell

Einrichten der Self-Service-Gruppenverwaltung in Azure Active Directory

Set-ExecutionPolicy

Azure Active Directory-Cmdlets für die Konfiguration von Gruppeneinstellungen