Administrar quién puede crear grupos de Microsoft 365

De forma predeterminada, todos los usuarios pueden crear Microsoft 365 grupos. Este es el enfoque recomendado porque permite a los usuarios empezar a colaborar sin necesidad de asistencia de TI.

Si su empresa requiere restringir quién puede crear grupos, puede restringir la creación de grupos de Microsoft 365 a los miembros de un grupo de Microsoft 365 grupo o grupo de seguridad determinados.

Si le preocupa que los usuarios creen equipos o grupos que no cumplan con los estándares empresariales, considere la posibilidad de requerir a los usuarios que completen un curso de formación y, a continuación, agregarlos al grupo de usuarios permitidos.

Cuando se limita quién puede crear un grupo, afecta a todos los servicios que dependen de grupos para el acceso, incluidos:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (clásico)
  • Project web /Roadmap

Los pasos de este artículo no impedirán que los miembros de determinados roles creen grupos. Office 365 los administradores globales pueden crear grupos a través de Centro de administración de Microsoft 365, Planner, Exchange y SharePoint Online. Otros roles pueden crear grupos a través de medios limitados, que se enumeran a continuación.

  • Exchange administrador: Exchange de administración, Azure AD
  • Soporte técnico de nivel 1 de partner: Administración de Microsoft 365 centro de administración, Exchange de administración, Azure AD
  • Soporte técnico de nivel 2 de partners: Administración de Microsoft 365 centro de administración, centro Exchange administración, Azure AD
  • Escritores de directorios: Azure AD
  • SharePoint administrador: SharePoint de administración, Azure AD
  • Teams de servicio: Teams centro de administración, Azure AD
  • Administrador de usuarios: Administración de Microsoft 365 centro, Azure AD

Si es miembro de uno de estos roles, puede crear grupos de Microsoft 365 para usuarios restringidos y, a continuación, asignar al usuario como propietario del grupo.

Requisitos de licencias

Para administrar quién crea grupos, las siguientes personas necesitan Azure AD Premium licencias o Azure AD licencias EDU básicas asignadas a ellos:

  • El administrador que configura estas opciones de creación de grupos
  • Los miembros del grupo a los que se les permite crear grupos

Nota

Consulte Asignar o quitar licencias en el portal de Azure Active Directory para obtener más información sobre cómo asignar licencias de Azure.

Las siguientes personas no necesitan Azure AD Premium o Azure AD licencias EDU básicas asignadas:

  • Personas que son miembros de Microsoft 365 y que no tienen la capacidad de crear otros grupos.

Paso 1: Crear un grupo para los usuarios que necesitan crear Microsoft 365 grupos

Solo se puede usar un grupo de la organización para controlar quién puede crear grupos. Sin embargo, puede anidar otros grupos como miembros de este grupo.

Los administradores de los roles enumerados anteriormente no necesitan ser miembros de este grupo: conservan su capacidad para crear grupos.

  1. En el Centro de administración, vaya a la página Grupos.

  2. Haga clic en Agregar un grupo.

  3. Elija el tipo de grupo que desee. Recuerde que el nombre del grupo. Lo necesitará más adelante.

  4. Termina de configurar el grupo, agregando personas u otros grupos que quieras que puedan crear grupos en tu organización.

Para obtener instrucciones detalladas, vea Create, edit, or delete a security group in the Centro de administración de Microsoft 365.

Paso 2: Ejecutar los comandos de PowerShell

Debe usar la versión preliminar de Azure Active Directory PowerShell para Graph (AzureAD) (nombre de módulo AzureADPreview) para cambiar la configuración de acceso de invitado de nivel de grupo:

  • Si todavía no ha instalado ninguna de las versiones de los módulos de PowerShell de Azure AD, consulte Instalar el módulo de Azure AD y siga las instrucciones para instalar la versión preliminar pública.

  • Si tiene instalada la versión 2.0 de disponibilidad general para el módulo de PowerShell de Azure AD (AzureAD), deberá desinstalarla ejecutando Uninstall-Module AzureAD en su sesión de PowerShell y, a continuación, instalar la versión preliminar ejecutando Install-Module AzureADPreview.

  • Si ya ha instalado la versión preliminar, ejecute Install-Module AzureADPreview para asegurarse de que es la última versión de este módulo.

Copie el script siguiente en un editor de texto, como Bloc de notas, o el Windows PowerShell ISE.

Reemplace <GroupName> por el nombre del grupo que creó. Por ejemplo:

$GroupName = "Group Creators"

Guarde el archivo como GroupCreators.ps1.

En la ventana de PowerShell, vaya a la ubicación donde guardó el archivo (escriba <FileLocation> "CD").

Ejecute el script escribiendo:

.\GroupCreators.ps1

e inicie sesión con su cuenta de administrador cuando se le pida.

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

La última línea del script mostrará la configuración actualizada:

Captura de pantalla del resultado del script de PowerShell.

Si en el futuro desea cambiar el grupo que se usa, puede volver a ejecutar el script con el nombre del nuevo grupo.

Si desea desactivar la restricción de creación de grupos y volver a permitir que todos los usuarios creen grupos, establezca $GroupName en "" y $AllowGroupCreation en "True" y vuelva a ejecutar el script.

Paso 3: Comprobar que funciona correctamente

Los cambios pueden tardar treinta minutos o más en tener efecto. Para comprobar la nueva configuración, haga lo siguiente:

  1. Inicie sesión en Microsoft 365 con una cuenta de usuario de alguien que NO debería tener la capacidad de crear grupos. Es decir, no son miembros del grupo que ha creado ni de un administrador.

  2. Seleccione el icono Planner.

  3. En Planner, seleccione Nuevo plan en la navegación izquierda para crear un plan.

  4. Debe obtener un mensaje que indica que el plan y la creación de grupos están deshabilitados.

Vuelva a intentar el mismo procedimiento con un miembro del grupo.

Nota

Si los miembros del grupo no pueden crear grupos, compruebe que no se están bloqueando a través de su directiva de buzón de OWA.

Recomendaciones de planeación de gobierno de colaboración

Crear el plan de gobierno de colaboración

Introducción a PowerShell de Office 365

Configurar la administración de grupos de autoservicio en Azure Active Directory

Set-ExecutionPolicy

Cmdlets de Azure Active Directory para configurar configuraciones de grupo