Verwalten von Personen, die Office 365-Gruppen erstellen könnenManage who can create Office 365 Groups

Weil es für Benutzer so einfach ist, Office 365-Gruppen selbst zu erstellen, werden Sie vermutlich nicht mit Bitten überflutet, diese Gruppen im Auftrag anderer Personen zu erstellen.Because it's so easy for users to create Office 365 Groups, you aren't inundated with requests to create them on behalf of other people. Je nach Ihrem Unternehmen möchten Sie jedoch steuern, welche Personen die Möglichkeit zum Erstellen von Gruppen haben sollen.Depending on your business, however, you might want to control who has the ability to create groups.

In diesem Artikel wird erläutert, wie Sie die Möglichkeit zum Erstellen von Gruppen in allen Office 365-Diensten, die Gruppen verwenden, deaktivieren können:This article explains how to disable the ability to create groups in all Office 365 services that use groups:

  • OutlookOutlook

  • SharePointSharePoint

  • YammerYammer

  • Microsoft TeamsMicrosoft Teams

  • Microsoft StreamMicrosoft Stream

  • StaffHubStaffHub

  • PlannerPlanner

  • PowerBIPowerBI

  • RoadmapRoadmap

Sie können Office 365 Gruppenerstellung auf die Mitglieder einer bestimmten Sicherheitsgruppe beschränken.You can restrict Office 365 Group creation to the members of a particular security group. Um dies zu konfigurieren, verwenden Sie Windows PowerShell.To configure this, you use Windows PowerShell. In diesem Artikel werden die erforderlichen Schritte erläutert.This article walks you through the needed steps.

Die Schritte in diesem Artikel verhindern nicht, dass Mitglieder bestimmter Rollengruppen erstellen.The steps in this article won't prevent members of certain roles from creating Groups. Office 365 globale Administratoren können Gruppen über beliebige Mittel erstellen, beispielsweise das Microsoft 365 Admin Center, den Planer, Teams, Exchange und SharePoint Online.Office 365 Global admins can create Groups via any means, such as the Microsoft 365 admin center, Planner, Teams, Exchange, and SharePoint Online. Andere Rollen können Gruppen mit begrenzten Mitteln erstellen, die unten aufgeführt sind.Other roles can create Groups via limited means, listed below.

  • Exchange-Administrator: Exchange Admin Center, Azure ADExchange Administrator: Exchange Admin center, Azure AD

  • Support für Partner Tier 1: Microsoft 365 Admin Center, Exchange Admin Center, Azure ADPartner Tier 1 Support: Microsoft 365 Admin center, Exchange Admin center, Azure AD

  • Support für Partner Tier 2: Microsoft 365 Admin Center, Exchange Admin Center, Azure ADPartner Tier 2 Support: Microsoft 365 Admin center, Exchange Admin center, Azure AD

  • Verzeichnis Autoren: Azure ADDirectory Writers: Azure AD

  • SharePoint-Administrator: SharePoint Admin Center, Azure ADSharePoint Administrator: SharePoint Admin center, Azure AD

  • Teams-Dienst Administrator: Teams Admin Center, Azure ADTeams Service Administrator: Teams Admin center, Azure AD

  • Benutzer Verwaltungs Administrator: Microsoft 365 Admin Center, jammern, Azure ADUser Management Administrator: Microsoft 365 Admin center, Yammer, Azure AD

Wenn Sie Mitglied einer dieser Rollen sind, können Sie Office 365-Gruppen für Benutzer mit eingeschränktem Zugriff erstellen und anschließend den Benutzer als Besitzer der Gruppe zuweisen.If you're a member of one of these roles, you can create Office 365 Groups for restricted users, and then assign the user as the owner of the group. Benutzer mit dieser Rolle können verbundene Gruppen in jammern erstellen, unabhängig von den PowerShell-Einstellungen, die die Erstellung möglicherweise verhindern.Users that have this role are able to create connected groups in Yammer, regardless of any PowerShell settings that might prevent creation.

LizenzierungsanforderungenLicensing requirements

Um zu verwalten, wer Gruppen erstellt, benötigen die folgenden Personen Azure AD Premium-Lizenzen oder Azure AD grundlegende edu-Lizenzen, die Ihnen zugewiesen sind:To manage who creates Groups, the following people need Azure AD Premium licenses or Azure AD Basic EDU licenses assigned to them:

  • Der Administrator, der diese Gruppen Erstellungseinstellungen konfiguriertThe admin who configures these group creation settings
  • Die Mitglieder der Sicherheitsgruppe, die Gruppen erstellen dürfenThe members of the security group who are allowed to create Groups

Die folgenden Personen benötigen keine Azure AD Premium-oder Azure AD Basic edu-Lizenzen, die Ihnen zugewiesen sind:The following people don't need Azure AD Premium or Azure AD Basic EDU licenses assigned to them:

  • Personen, die Mitglied Office 365 Gruppen sind und nicht in der Lage sind, andere Gruppen zu erstellen.People who are members of Office 365 groups and who don't have the ability to create other groups.

Schritt 1: Erstellen einer Sicherheitsgruppe für Benutzer, die Office 365-Gruppen erstellen müssenStep 1: Create a security group for users who need to create Office 365 Groups

Nur eine Sicherheitsgruppe in Ihrer Organisation kann verwendet werden, um zu steuern, wer Gruppen erstellen kann.Only one security group in your organization can be used to control who is able to create Groups. Sie können jedoch andere Sicherheitsgruppen als Mitglieder dieser Gruppe schachteln.But, you can nest other security groups as members of this group. Beispiel: Die Gruppe namens "Gruppenerstellung zulassen" ist die designierte Sicherheitsgruppe, und die Gruppen namens "Microsoft Planner-Benutzer" und "Exchange Online-Benutzer" sind Mitglieder dieser Gruppe.For example, the group named Allow Group Creation is the designated security group, and the groups named Microsoft Planner Users and Exchange Online Users are members of that group.

Administratoren in den oben aufgeführten Rollen müssen nicht Mitglieder dieser Gruppe sein: Sie behalten ihre Fähigkeit, Gruppen zu erstellen.Admins in the roles listed above do not need to be members of this group: they retain thier ability to create groups.

Wichtig

Achten Sie darauf, mit einer Sicherheitsgruppe einzuschränken, wer Gruppen erstellen kann.Be sure to use a security group to restrict who can create groups. Dann können Mitglieder nämlich keine Gruppe auf SharePoint erstellen, weil dort auf eine Sicherheitsgruppe überprüft wird.If you try to use an Office 365 Group, members won't be able to create a group from SharePoint because it checks for a security group.

  1. Wechseln Sie im Admin Center zur Seite Gruppen > Gruppen.In the admin center, go to the Groups > Groups page.

  2. Wählen Sie Sicherheit als Gruppentyp aus.Choose Security as the group type. Vergessen Sie nicht den Namen der Gruppe!Remember the name of the group! Sie benötigen ihn später noch.You'll need it later.

  3. Schließen Sie die Einrichtung der Sicherheitsgruppe ab, und fügen Sie Personen oder andere Sicherheitsgruppen hinzu, die in Ihrer Organisation Gruppen erstellen können sollen.Finish setting up the security group, adding people or other security groups who you want to be able to create Groups in your org.

Ausführliche Anweisungen finden Sie unter erstellen, bearbeiten oder Löschen einer Sicherheitsgruppe im Microsoft 365 Admin Center.For detailed instructions, see Create, edit, or delete a security group in the Microsoft 365 admin center.

Schritt 2: Installieren der Vorschauversion von Azure Active Directory PowerShell für GraphStep 2: Install the preview version of the Azure Active Directory PowerShell for Graph

Für diese Verfahren ist die Vorschauversion von Azure Active Directory PowerShell für Graph erforderlich.These procedures require the preview version of the Azure Active Directory PowerShell for Graph. Die GA-Version kann nicht verwendet werden.The GA version will not work.

Wichtig

Sie können nicht gleichzeitig die Versionen Preview und GA auf demselben Computer installieren.You cannot install both the preview and GA versions on the same computer at the same time. Sie können das Modul unter Windows 10, Windows Server 2016, installieren.You can install the module on Windows 10, Windows Server 2016.

Als bewährte Methode empfehlen wir, immer die neueste Version zu verwenden: Deinstallieren Sie die alte AzureADPreview- bzw. AzureAD-Version, und holen Sie sich die aktuellste Version.As a best practice, we recommend always staying current: uninstall the old AzureADPreview or old AzureAD version and get the latest one.

  1. Geben Sie in der Suchleiste Windows PowerShell ein.In your search bar, type Windows PowerShell.

  2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.Right-click on Windows PowerShell and select Run as Administrator.

    Öffnen Sie PowerShell mit "Als Administrator ausführen".

  3. Überprüfen Sie das installierte Modul:Check installed module:

    Get-InstalledModule -Name "AzureAD*"
    
  4. Führen Sie zum Deinstallieren einer früheren Version von AzureADPreview oder AzureAD diesen Befehl aus:To uninstall a previous version of AzureADPreview or AzureAD, run this command:

    Uninstall-Module AzureADPreview
    

    oderor

    Uninstall-Module AzureAD
    
  5. To install the latest version of AzureADPreview, run this command:To install the latest version of AzureADPreview, run this command:

    Install-Module AzureADPreview
    

    At the message about an untrusted repository, type Y. It will take a minute or so for the new module to install. At the message about an untrusted repository, type Y. It will take a minute or so for the new module to install.

Lassen Sie das PowerShell-Fenster für Schritt 3, unten geöffnet.Leave the PowerShell window open for Step 3, below.

Schritt 3: Ausführen von PowerShell-BefehlenStep 3: Run PowerShell commands

Kopieren Sie das Skript unten in einen Text-Editor wie Notepad oder die Windows PowerShell ISE.Copy the script below into a text editor, such as Notepad, or the Windows PowerShell ISE.

Ersetzen * <Sie> SecurityGroupName* durch den Namen der Sicherheitsgruppe, die Sie erstellt haben.Replace <SecurityGroupName> with the name of the security group that you created. Beispiel:For example:

$GroupName = "Group Creators"

Speichern Sie die Datei als GroupCreators. ps1.Save the file as GroupCreators.ps1.

Navigieren Sie im PowerShell-Fenster zu dem Speicherort, an dem Sie die Datei gespeichert haben ( geben Sie "CD" ein).In the PowerShell window, navigate to the location where you saved the file (type "CD ").

Führen Sie das Skript aus, indem Sie Folgendes eingeben:Run the script by typing:

.\GroupCreators.ps1

und melden Sie sich mit Ihrem Administratorkonto an, wenn Sie dazu aufgefordert werden.and sign in with your administrator account when prompted.

$GroupName = "<SecurityGroupName>"
$AllowGroupCreation = "False"

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
      $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
    $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

In der letzten Skript Reihe werden die aktualisierten Einstellungen angezeigt:The last line of the script will display the updated settings:

This is what your settings will look like when you're done.

Wenn Sie in Zukunft die verwendete Sicherheitsgruppe ändern möchten, können Sie das Skript mit dem Namen der neuen Sicherheitsgruppe erneut ausführen.If in the future you want to change which security group is used, you can rerun the script with the name of the new security group.

Wenn Sie die Einschränkung für die Gruppenerstellung deaktivieren und allen Benutzern erneut das Erstellen von Gruppen gestatten $GroupName möchten, legen Sie $AllowGroupCreation auf "" und auf "true" fest, und führen Sie das Skript erneut aus.If you want to turn off the group creation restriction and again allow all users to create groups, set $GroupName to "" and $AllowGroupCreation to "True" and rerun the script.

Schritt 4: Überprüfen der FunktionsweiseStep 4: Verify that it works

  1. Melden Sie sich bei Office 365 mit dem Benutzerkonto einer Person an, die NICHT die Möglichkeit zum Erstellen von Gruppen haben soll.Sign in to Office 365 with a user account of someone who should NOT have the ability to create groups. Dies bedeutet, dass es sich nicht um ein Mitglied der von Ihnen erstellten Sicherheitsgruppe oder eines Administrators handelt.That is, they are not a member of the security group you created or an administrator.

  2. Wählen Sie die Kachel Planer aus.Select the Planner tile.

  3. Wählen Sie in Planer im linken Navigationsbereich den neuen Plan aus, um einen Plan zu erstellen.In Planner, select New Plan in the left navigation to create a plan.

  4. Sie sollten eine Meldung erhalten, dass die Planung und Gruppenerstellung deaktiviert ist.You should get a message that plan and group creation is disabled.

Versuchen Sie erneut, dasselbe Verfahren mit einem Mitglied der Sicherheitsgruppe auszuführen.Try the same procedure again with a member of the security group.

Hinweis

Wenn Mitglieder der Sicherheitsgruppe keine Gruppen erstellen können, stellen Sie sicher, dass Sie nicht durch ihre OWA-Postfachrichtlinieblockiert werden.If members of the security group aren't able to create groups, check that they aren't being blocked through their OWA mailbox policy.

Erste Schritte mit Office 365 PowerShellGetting started with Office 365 PowerShell

Einrichten der Self-Service-Gruppenverwaltung in Azure Active DirectorySet up self-service group management in Azure Active Directory

Set-ExecutionPolicySet-ExecutionPolicy

Azure Active Directory-Cmdlets für die Konfiguration von GruppeneinstellungenAzure Active Directory cmdlets for configuring group settings