管理能建立 Microsoft 365 群組的使用者

根據預設,所有使用者都可以建立Microsoft 365群組。 這是建議的方法,因為它可讓使用者開始共同作業,而不需要 IT 的協助。

如果您的企業要求您限制誰可以建立群組,您可以將Microsoft 365 群組建立限制為特定Microsoft 365群組或安全性群組的成員。

如果您擔心使用者建立的小組或群組不符合您的商務標準,請考慮要求使用者完成訓練課程,然後將他們新增至允許的使用者群組。

當您限制可建立群組的人員時,它會影響依賴群組進行存取的所有服務,包括:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (傳統)
  • web/藍圖的Project

本文中的步驟不會防止特定角色的成員建立群組。 Microsoft 365全域系統管理員可以透過 Microsoft 365 系統管理中心、Planner、Exchange 和 SharePoint 建立群組,但無法建立其他位置,例如 Teams。 其他角色可以透過有限的方式建立Microsoft 365 群組,如下所示。

  • Exchange系統管理員:Exchange系統管理中心、Azure AD
  • 合作夥伴第 1 層支援:Microsoft 365 系統管理中心、Exchange 系統管理中心、Azure AD
  • 合作夥伴第 2 層支援:Microsoft 365 系統管理中心、Exchange 系統管理中心、Azure AD
  • 目錄寫入器:Azure AD
  • SharePoint系統管理員:SharePoint系統管理中心、Azure AD
  • Teams服務管理員:Teams系統管理中心、Azure AD
  • 使用者系統管理員:Microsoft 365 系統管理中心、Azure AD

如果您是其中一個角色的成員,您可以為受限制的使用者建立Microsoft 365 群組,然後將使用者指派為群組的擁有者。

授權需求

若要管理建立群組的人員,下列人員需要Azure AD Premium授權或Azure AD指派給他們的基本 EDU 授權:

  • 設定這些群組建立設定的系統管理員
  • 允許建立群組的群組成員

注意

如需如何指派 Azure 授權的詳細資訊,請參閱在 Azure Active Directory 入口網站中指派或移除授權。

下列人員不需要Azure AD Premium或Azure AD指派給他們的基本 EDU 授權:

  • 屬於Microsoft 365群組成員,且無法建立其他群組的人員。

步驟 1:為需要建立Microsoft 365群組的使用者建立群組

組織中只有一個群組可用來控制誰能夠建立Microsoft 365 群組。 但是,您可以將其他群組巢狀化為此群組的成員。

上述角色中的系統管理員不需要是此群組的成員:他們會保留其建立群組的能力。

  1. 在系統管理中心,移至 [群組] 頁面

  2. 按一下 [ 新增群組]

  3. 選擇您想要的群組類型。 請記下群組名稱! 以便後續步驟使用。

  4. 完成群組的設定,新增您想要建立群組的人員或其他群組, (不是擁有者) 。

如需詳細指示,請參閱在Microsoft 365 系統管理中心中建立、編輯或刪除安全性群組

步驟 2:執行 PowerShell 命令

您必須使用 Azure Active Directory PowerShell 的預覽版本,Graph (AzureAD) (模組名稱 AzureADPreview) 來變更群組層級來賓存取設定:

  • 如果您之前尚未安裝任何版本的 Azure AD PowerShell 模組,請參閱安裝 Azure AD 模組,並遵循指示來安裝公開預覽版本。

  • 如果您已安裝 Azure AD PowerShell 模組(AzureAD) 的通用版本 2.0,您必須先在 PowerShell 工作階段中執行 Uninstall-Module AzureAD 將其解除安裝,然後執行 Install-Module AzureADPreview 來安裝預覽版本。

  • 如果您已安裝預覽版本,請執行 Install-Module AzureADPreview 以確定這是本模組的最新版本。

將下列腳本複製到文字編輯器中,例如記事本或Windows PowerShell ISE

將 取代 <GroupName> 為您所建立的組名。 例如:

$GroupName = "Group Creators"

將檔案儲存為GroupCreators.ps1。

在 PowerShell 視窗中,流覽至您儲存檔案的位置 (輸入「CD <FileLocation> 」) 。

輸入下列命令來執行腳本:

.\GroupCreators.ps1

並在出現提示時 使用您的系統管理員帳戶 登入。

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

腳本的最後一行會顯示更新的設定:

PowerShell 腳本輸出的螢幕擷取畫面。

如果您未來想要變更使用的群組,您可以使用新群組的名稱重新執行腳本。

如果您想要關閉群組建立限制,並再次允許所有使用者建立群組,請將$GroupName設定為 「」,$AllowGroupCreation為 「True」,然後重新執行腳本。

步驟 3:驗證命令能正常運作

變更可能需要 30 分鐘以上才會生效。 您可以執行下列動作來驗證新的設定:

  1. 使用不應該能夠建立群組的使用者帳戶登入Microsoft 365。 也就是說,他們不是您所建立群組的成員或系統管理員。

  2. 選取 [Planner ] 圖格。

  3. 在 Planner 中,選取左側導覽中的 [ 新增方案 ] 以建立方案。

  4. 您應該會收到一則訊息,指出計畫和群組建立已停用。

請與群組的成員再次嘗試相同的程式。

注意

如果群組的成員無法建立群組,請確認其未透過 其 OWA 信箱原則遭到封鎖。

共同作業治理規劃建議

建立共同作業治理計畫

開始使用 Office 365 PowerShell

在 Azure Active Directory 中設定自助群組管理

Set-ExecutionPolicy

Azure Active Directory設定群組設定的 Cmdlet