Verwalten von Personen, die Office 365-Gruppen erstellen könnenManage who can create Office 365 Groups

Weil es für Benutzer so einfach ist, Office 365-Gruppen selbst zu erstellen, werden Sie vermutlich nicht mit Bitten überflutet, diese Gruppen im Auftrag anderer Personen zu erstellen.Because it's so easy for users to create Office 365 Groups, you aren't inundated with requests to create them on behalf of other people. Je nach Ihrem Unternehmen möchten Sie jedoch steuern, welche Personen die Möglichkeit zum Erstellen von Gruppen haben sollen.Depending on your business, however, you might want to control who has the ability to create groups.

In diesem Artikel wird erläutert, wie Sie die Möglichkeit zum Erstellen von Gruppen in allen Office 365-Diensten, die Gruppen verwenden, deaktivieren können:This article explains how to disable the ability to create groups in all Office 365 services that use groups:

  • OutlookOutlook

  • SharePointSharePoint

  • YammerYammer

  • Microsoft TeamsMicrosoft Teams

  • Microsoft StreamMicrosoft Stream

  • StaffHubStaffHub

  • PlannerPlanner

  • PowerBIPowerBI

  • RoadmapRoadmap

Sie können die Erstellung von Office 365-Gruppen auf die Mitglieder einer bestimmten Sicherheitsgruppe beschränken.You can restrict Office 365 Group creation to the members of a particular security group. Um dies zu konfigurieren, verwenden Sie Windows PowerShell.To configure this, you use Windows PowerShell. Dieser Artikel führt Sie durch die erforderlichen Schritte.This article walks you through the needed steps.

Durch die in diesem Artikel beschriebenen Schritte wird nicht verhindert, dass Mitglieder mit bestimmten Rollen Gruppen erstellen können.The steps in this article won't prevent members of certain roles from creating Groups. Globale Office 365-Administratoren können über beliebige Instrumente Gruppen erstellen, z. B. über das Microsoft 365 Admin Center, Planner, Microsoft Teams, Exchange und SharePoint Online.Office 365 Global admins can create Groups via any means, such as the Microsoft 365 admin center, Planner, Teams, Exchange, and SharePoint Online. Benutzer mit anderen Rollen können Gruppen über begrenzte Instrumente erstellen, die nachstehend aufgelistet sind.Other roles can create Groups via limited means, listed below.

  • Exchange-Administrator: Exchange Admin Center, Azure ADExchange Administrator: Exchange Admin center, Azure AD

  • Partnersupport der Ebene 1: Microsoft 365 Admin Center, Exchange Admin Center, Azure ADPartner Tier 1 Support: Microsoft 365 Admin center, Exchange Admin center, Azure AD

  • Partnersupport der Ebene 2: Microsoft 365 Admin Center, Exchange Admin Center, Azure ADPartner Tier 2 Support: Microsoft 365 Admin center, Exchange Admin center, Azure AD

  • Verzeichnisautoren: Azure ADDirectory Writers: Azure AD

  • SharePoint-Administrator: SharePoint Admin Center, Azure ADSharePoint Administrator: SharePoint Admin center, Azure AD

  • Microsoft Teams-Dienstadministrator: Microsoft Teams Admin Center, Azure ADTeams Service Administrator: Teams Admin center, Azure AD

  • Benutzerverwaltungsadministrator: Microsoft 365 Admin Center, Yammer, Azure ADUser Management Administrator: Microsoft 365 Admin center, Yammer, Azure AD

Wenn Sie Mitglied einer dieser Rollen sind, können Sie Office 365-Gruppen für Benutzer mit eingeschränktem Zugriff erstellen und anschließend den Benutzer als Besitzer der Gruppe zuweisen.If you're a member of one of these roles, you can create Office 365 Groups for restricted users, and then assign the user as the owner of the group. Benutzer mit dieser Rolle können in Yammer verbundene Gruppen erstellen, und zwar unabhängig von PowerShell-Einstellungen, die eine Erstellung verhindern sollten.Users that have this role are able to create connected groups in Yammer, regardless of any PowerShell settings that might prevent creation.

LizenzierungsanforderungenLicensing requirements

Um verwalten zu können, wer Gruppen erstellt, benötigen die folgenden Personen ihnen zugewiesene Azure AD Premium-Lizenzen oder Azure AD Basic EDU-Lizenzen:To manage who creates Groups, the following people need Azure AD Premium licenses or Azure AD Basic EDU licenses assigned to them:

  • Der Administrator, der die Einstellungen für die Gruppenerstellung konfiguriertThe admin who configures these group creation settings
  • Die Mitglieder der Sicherheitsgruppe, die Gruppen erstellen dürfenThe members of the security group who are allowed to create Groups

Die folgenden Personen benötigen keine ihnen zugewiesene Azure AD Premium-Lizenzen oder Azure AD Basic EDU-Lizenzen:The following people don't need Azure AD Premium or Azure AD Basic EDU licenses assigned to them:

  • Personen, die Mitglieder von Office 365-Gruppen sind und keine Möglichkeit haben, andere Gruppen zu erstellen.People who are members of Office 365 groups and who don't have the ability to create other groups.

Schritt 1: Erstellen einer Sicherheitsgruppe für Benutzer, die Office 365-Gruppen erstellen müssenStep 1: Create a security group for users who need to create Office 365 Groups

Zum Steuern des Personenkreises, der Gruppen erstellen kann, kann in Ihrer Organisation nur eine Sicherheitsgruppe verwendet werden.Only one security group in your organization can be used to control who is able to create Groups. Sie können jedoch andere Sicherheitsgruppen als Mitglieder dieser Gruppe schachteln.But, you can nest other security groups as members of this group. Beispiel: Die Gruppe namens "Gruppenerstellung zulassen" ist die designierte Sicherheitsgruppe, und die Gruppen namens "Microsoft Planner-Benutzer" und "Exchange Online-Benutzer" sind Mitglieder dieser Gruppe.For example, the group named Allow Group Creation is the designated security group, and the groups named Microsoft Planner Users and Exchange Online Users are members of that group.

Administratoren mit den oben aufgeführten Rollen müssen nicht Mitglieder dieser Gruppe sein: Sie behalten ihre Fähigkeit, Gruppen zu erstellen.Admins in the roles listed above do not need to be members of this group: they retain their ability to create groups.

Wichtig

Achten Sie darauf, mithilfe einer Sicherheitsgruppe einzuschränken, wer Gruppen erstellen kann.Be sure to use a security group to restrict who can create groups. Dann können Mitglieder nämlich keine Gruppe auf SharePoint erstellen, weil dort auf eine Sicherheitsgruppe überprüft wird.If you try to use an Office 365 Group, members won't be able to create a group from SharePoint because it checks for a security group.

  1. Wechseln Sie im Admin Center zur Seite Gruppen > Gruppen.In the admin center, go to the Groups > Groups page.

  2. Klicken Sie auf Gruppe hinzufügen.Click on Add a Group.

  3. Wählen Sie als Gruppentyp die Option Sicherheit aus.Choose Security as the group type. Vergessen Sie nicht den Namen der Gruppe!Remember the name of the group! Sie benötigen ihn später noch.You'll need it later.

  4. Schließen Sie die Einrichtung der Sicherheitsgruppe ab, indem Sie Personen oder andere Sicherheitsgruppen hinzufügen, denen Sie in Ihrer Organisation das Erstellen von Gruppen erlauben möchten.Finish setting up the security group, adding people or other security groups who you want to be able to create Groups in your org.

Ausführliche Anleitungen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe im Microsoft 365 Admin Center.For detailed instructions, see Create, edit, or delete a security group in the Microsoft 365 admin center.

Schritt 2: Installieren der Vorschauversion von Azure Active Directory PowerShell für GraphStep 2: Install the preview version of the Azure Active Directory PowerShell for Graph

Diese Verfahren erfordern die Vorschauversion von Azure Active Directory PowerShell für Graph.These procedures require the preview version of the Azure Active Directory PowerShell for Graph. Die GA-Version funktioniert dann nicht.The GA version will not work.

Wichtig

Sie können die Preview- und die GA-Version nicht gleichzeitig auf demselben Computer installieren.You cannot install both the preview and GA versions on the same computer at the same time. Sie können das Modul unter Windows 10, Windows Server 2016 installieren.You can install the module on Windows 10, Windows Server 2016.

Als bewährte Methode empfehlen wir, immer die neueste Version zu verwenden: Deinstallieren Sie die alte AzureADPreview- bzw. AzureAD-Version, und holen Sie sich die aktuellste Version.As a best practice, we recommend always staying current: uninstall the old AzureADPreview or old AzureAD version and get the latest one.

  1. Geben Sie in der Suchleiste "Windows PowerShell" ein.In your search bar, type Windows PowerShell.

  2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.Right-click on Windows PowerShell and select Run as Administrator.

    Öffnen Sie PowerShell mit „Als Administrator ausführen“.

  3. Überprüfen Sie das installierte Modul:Check installed module:

    Get-InstalledModule -Name "AzureAD*"
    
  4. Führen Sie zum Deinstallieren einer früheren Version von AzureADPreview oder AzureAD diesen Befehl aus:To uninstall a previous version of AzureADPreview or AzureAD, run this command:

    Uninstall-Module AzureADPreview
    

    oderor

    Uninstall-Module AzureAD
    
  5. Führen Sie zum Installieren der aktuellsten Version von AzureADPreview diesen Befehl aus:To install the latest version of AzureADPreview, run this command:

    Install-Module AzureADPreview
    

    Geben Sie in der Nachricht über ein nicht vertrauenswürdiges Repository J ein. Die Installation des neuen Moduls dauert etwa eine Minute.At the message about an untrusted repository, type Y. It will take a minute or so for the new module to install.

Lassen Sie das PowerShell-Fenster für Schritt 3 (nachstehend) geöffnet.Leave the PowerShell window open for Step 3, below.

Schritt 3: Ausführen von PowerShell-BefehlenStep 3: Run PowerShell commands

Kopieren Sie das folgende Skript in einen Text-Editor wie Editor oder Windows PowerShell ISE.Copy the script below into a text editor, such as Notepad, or the Windows PowerShell ISE.

Ersetzen Sie <SecurityGroupName> durch den Namen der Sicherheitsgruppe, die Sie erstellt haben.Replace <SecurityGroupName> with the name of the security group that you created. Zum Beispiel:For example:

$GroupName = "Group Creators"

Speichern Sie die Datei als "GroupCreators.ps1".Save the file as GroupCreators.ps1.

Gehen Sie im PowerShell-Fenster zu dem Speicherort, an dem Sie die Datei gespeichert haben (geben Sie "CD " ein).In the PowerShell window, navigate to the location where you saved the file (type "CD ").

Führen Sie das Skript aus, indem Sie Folgendes eingeben:Run the script by typing:

.\GroupCreators.ps1

und melden sich bei der entsprechenden Aufforderung mit Ihrem Administratorkonto an.and sign in with your administrator account when prompted.

$GroupName = "<SecurityGroupName>"
$AllowGroupCreation = "False"

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
      $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
    $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
 else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Die letzte Zeile des Skripts enthält die aktualisierten Einstellungen:The last line of the script will display the updated settings:

So sehen Ihre Einstellungen aus, wenn Sie fertig sind.

Wenn Sie später die verwendete Sicherheitsgruppe ändern möchten, können Sie das Skript mit dem Namen der neuen Sicherheitsgruppe erneut ausführen.If in the future you want to change which security group is used, you can rerun the script with the name of the new security group.

Wenn Sie die Einschränkung für die Gruppenerstellung deaktivieren und wieder allen Benutzern das Erstellen von Gruppen gestatten möchten, legen Sie $GroupName auf "" und $AllowGroupCreation auf "True" fest, und führen Sie das Skript erneut aus.If you want to turn off the group creation restriction and again allow all users to create groups, set $GroupName to "" and $AllowGroupCreation to "True" and rerun the script.

Schritt 4: Überprüfen, ob alles ordnungsgemäß funktioniertStep 4: Verify that it works

  1. Melden Sie sich bei Office 365 mit dem Benutzerkonto einer Person an, der es NICHT möglich sein sollte, Gruppen zu erstellen.Sign in to Office 365 with a user account of someone who should NOT have the ability to create groups. Also einer Person, die nicht Mitglied der von Ihnen erstellten Sicherheitsgruppe oder ein Administrator ist.That is, they are not a member of the security group you created or an administrator.

  2. Wählen Sie die Kachel Planner aus.Select the Planner tile.

  3. Wählen Sie in Planner in der linken Navigationsleiste Neuer Plan aus, um einen Plan zu erstellen.In Planner, select New Plan in the left navigation to create a plan.

  4. Jetzt sollte eine Nachricht angezeigt werden, die besagt, dass die Erstellung von Plänen und Gruppen deaktiviert ist.You should get a message that plan and group creation is disabled.

Wiederholen Sie den Vorgang mit einem Mitglied der Sicherheitsgruppe.Try the same procedure again with a member of the security group.

Hinweis

Sollte es Mitgliedern der Sicherheitsgruppe nicht möglich sein, Gruppen zu erstellen, überprüfen Sie, ob Sie nicht durch ihre OWA-Postfachrichtlinie daran gehindert werden.If members of the security group aren't able to create groups, check that they aren't being blocked through their OWA mailbox policy.

Erste Schritte mit Office 365 PowerShellGetting started with Office 365 PowerShell

Einrichten der Self-Service-Gruppenverwaltung in Azure Active DirectorySet up self-service group management in Azure Active Directory

Set-ExecutionPolicySet-ExecutionPolicy

Azure Active Directory-Cmdlets für die Konfiguration von GruppeneinstellungenAzure Active Directory cmdlets for configuring group settings