Verwalten von Personen, die Microsoft 365-Gruppen erstellen können

Standardmäßig können alle Benutzer Microsoft 365-Gruppen erstellen. Dies ist der empfohlene Ansatz, weil er es den Benutzern ermöglicht, ohne Unterstützung durch die IT mit der Zusammenarbeit zu beginnen.

Wenn Ihr Unternehmen erfordert, dass Sie einschränken, wer Gruppen erstellen kann, können Sie Microsoft 365 Gruppenerstellung auf die Mitglieder einer bestimmten Microsoft 365 Gruppe oder Sicherheitsgruppe beschränken.

Wenn Sie sich Sorgen machen, dass Benutzer Teams oder Gruppen erstellen, die nicht Ihren Geschäftsstandards entsprechen, sollten Sie erwägen, dass Benutzer einen Schulungskurs abschließen und sie dann der Gruppe der zulässigen Benutzer hinzufügen.

Wenn Sie einschränken, wer eine Gruppe erstellen kann, wirkt sich dies auf alle Dienste aus, die für den Zugriff auf Gruppen angewiesen sind, einschließlich:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (klassisch)
  • Project für das Web / Roadmap

Durch die in diesem Artikel beschriebenen Schritte wird nicht verhindert, dass Mitglieder mit bestimmten Rollen Gruppen erstellen können. Office 365 globale Administratoren können Gruppen über die Microsoft 365 Admin Center, Planner, Exchange und SharePoint Online erstellen. Benutzer mit anderen Rollen können Gruppen über begrenzte Instrumente erstellen, die nachstehend aufgelistet sind.

  • Exchange Administrator: Exchange Admin Center, Azure AD
  • Support der Partnerebene 1: Microsoft 365 Admin Center, Exchange Admin Center, Azure AD
  • Support der Partnerebene 2: Microsoft 365 Admin Center, Exchange Admin Center, Azure AD
  • Verzeichnisautoren: Azure AD
  • SharePoint Administrator: SharePoint Admin Center, Azure AD
  • Teams-Dienstadministrator: Teams Admin Center, Azure AD
  • Benutzeradministrator: Microsoft 365 Admin Center, Azure AD

Wenn Sie Mitglied einer dieser Rollen sind, können Sie Microsoft 365-Gruppen für Benutzer mit eingeschränktem Zugriff erstellen und anschließend den Benutzer als Besitzer der Gruppe zuweisen.

Lizenzierungsanforderungen

Um zu verwalten, wer Gruppen erstellt, benötigen die folgenden Personen Azure AD Premium Zugewiesene Lizenzen:

  • Der Administrator, der die Einstellungen für die Gruppenerstellung konfiguriert
  • Die Mitglieder der Gruppe, die Gruppen erstellen dürfen

Hinweis

Weitere Details zum Zuweisen von Azure-Lizenzen finden Sie unter Zuweisen oder Entfernen von Lizenzen im Azure Active Directory-Portal.

Die folgenden Personen benötigen keine ihnen zugewiesenen Azure AD Premium Lizenzen:

  • Personen, die Mitglieder von Microsoft 365-Gruppen sind und keine Möglichkeit haben, andere Gruppen zu erstellen.

Schritt 1: Erstellen einer Gruppe für Benutzer, die Microsoft 365-Gruppen erstellen müssen

Zum Steuern des Personenkreises, der Gruppen erstellen kann, kann in Ihrer Organisation nur eine Gruppe verwendet werden. Sie können jedoch andere Gruppen als Mitglieder dieser Gruppe schachteln.

Administratoren mit den oben aufgeführten Rollen müssen nicht Mitglieder dieser Gruppe sein: Sie behalten ihre Fähigkeit, Gruppen zu erstellen.

  1. Wechseln Sie im Admin Center zur Seite Gruppen.

  2. Klicken Sie auf Gruppe hinzufügen.

  3. Wählen Sie den gewünschten Gruppentyp aus. Vergessen Sie nicht den Namen der Gruppe! Sie benötigen ihn später noch.

  4. Schließen Sie die Einrichtung der Gruppe ab, indem Sie Personen oder andere Gruppen hinzufügen, denen Sie in Ihrer Organisation das Erstellen von Gruppen erlauben möchten.

Ausführliche Anleitungen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe im Microsoft 365 Admin Center.

Schritt 2: Ausführen von PowerShell-Befehlen

Sie müssen die Vorschau-Version von Azure Active Directory PowerShell für Graph (AzureAD) verwenden (Modulname AzureADPreview), um die Einstellung für den Gastzugriff auf Gruppenebene zu ändern:

  • Wenn Sie zuvor noch keine Version des Azure AD PowerShell-Moduls installiert haben, lesen Sie Installieren des Azure AD-Moduls, und folgen Sie den Anweisungen zum Installieren der öffentlichen Vorschauversion.

  • Wenn Sie die allgemein verfügbare Version 2.0 des Azure AD PowerShell-Moduls (AzureAD) installiert haben, müssen Sie sie deinstallieren, indem Sie Uninstall-Module AzureAD in ihrer PowerShell-Sitzung ausführen, und dann mit Install-Module AzureADPreview die Vorschauversion installieren.

  • Wenn Sie die Vorschauversion bereits installiert haben, führen Sie Install-Module AzureADPreview aus, um sicherzustellen, dass es sich um die neueste Version dieses Moduls handelt.

Kopieren Sie das folgende Skript in einen Text-Editor wie Editor oder Windows PowerShell ISE.

Ersetzen Sie <GroupName> durch den Namen der Gruppe, die Sie erstellt haben. Zum Beispiel:

$GroupName = "Group Creators"

Speichern Sie die Datei als "GroupCreators.ps1".

Gehen Sie im PowerShell-Fenster zu dem Speicherort, an dem Sie die Datei gespeichert haben (geben Sie "CD <FileLocation>" ein).

Führen Sie das Skript aus, indem Sie Folgendes eingeben:

.\GroupCreators.ps1

und melden sich bei der entsprechenden Aufforderung mit Ihrem Administratorkonto an.

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Die letzte Zeile des Skripts enthält die aktualisierten Einstellungen:

Screenshot der PowerShell-Skriptausgabe.

Wenn Sie später die verwendete Gruppe ändern möchten, können Sie das Skript mit dem Namen der neuen Gruppe erneut ausführen.

Wenn Sie die Einschränkung für die Gruppenerstellung deaktivieren und wieder allen Benutzern das Erstellen von Gruppen gestatten möchten, legen Sie $GroupName auf "" und $AllowGroupCreation auf "True" fest, und führen Sie das Skript erneut aus.

Schritt 3: Überprüfen der ordnungsgemäßen Funktion

Es kann dreißig Minuten oder länger dauern, bis Änderungen wirksam werden. Sie können die neuen Einstellungen auf folgende Weise prüfen:

  1. Melden Sie sich bei Microsoft 365 mit dem Benutzerkonto einer Person an, der es NICHT möglich sein sollte, Gruppen zu erstellen. Also einer Person, die nicht Mitglied der von Ihnen erstellten Gruppe oder ein Administrator ist.

  2. Wählen Sie die Kachel Planner aus.

  3. Wählen Sie in Planner in der linken Navigationsleiste Neuer Plan aus, um einen Plan zu erstellen.

  4. Jetzt sollte eine Nachricht angezeigt werden, die besagt, dass die Erstellung von Plänen und Gruppen deaktiviert ist.

Wiederholen Sie den Vorgang mit einem Mitglied der Gruppe.

Hinweis

Sollte es Mitgliedern der Gruppe nicht möglich sein, Gruppen zu erstellen, überprüfen Sie, ob Sie nicht durch ihre OWA-Postfachrichtlinie daran gehindert werden.

Empfehlungen für die Planung der Zusammenarbeitsgovernance

Erstellen eines Plans für die Zusammenarbeitsgovernance

Erste Schritte mit Office 365 PowerShell

Einrichten der Self-Service-Gruppenverwaltung in Azure Active Directory

Set-ExecutionPolicy

Azure Active Directory-Cmdlets für die Konfiguration von Gruppeneinstellungen