管理可创建 Microsoft 365 组的人员
默认情况下,所有用户都可以创建 Microsoft 365 组。 这是建议的方法,因为它允许用户开始协作,而无需 IT 人员协助。
如果你的业务要求限制谁可以创建组,则可以将Microsoft 365 组创建限制为特定 Microsoft 365 组或安全组的成员。
如果你担心用户创建不符合业务标准的团队或组,请考虑要求用户完成培训课程,然后将他们添加到允许的用户组。
限制可以创建组的人员时,会影响依赖于组进行访问的所有服务,包括:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (经典)
- Project 网页版/路线图
本文中的步骤不会阻止某些角色的成员创建组。 Microsoft 365 全局管理员可以通过 Microsoft 365 管理中心、Planner、Exchange 和 SharePoint 创建组,但不能通过 Teams 等其他位置创建组。 其他角色可以通过有限的方式创建Microsoft 365 组,如下所示。
- Exchange 管理员:Exchange 管理中心、Microsoft Entra ID
- 合作伙伴第 1 层支持:Microsoft 365 管理中心、Exchange 管理中心Microsoft Entra ID
- 合作伙伴第 2 层支持:Microsoft 365 管理中心、Exchange 管理中心Microsoft Entra ID
- 目录编写器:Microsoft Entra ID
- 组管理员:Microsoft Entra ID
- SharePoint 管理员:SharePoint 管理中心,Microsoft Entra ID
- Teams 服务管理员:Teams 管理中心、Microsoft Entra ID
- 用户管理员:Microsoft 365 管理中心、Microsoft Entra ID
如果你是其中一个角色的成员,则可以为受限用户创建Microsoft 365 组,然后将该用户分配为组的所有者。
许可要求
若要管理创建组的人员,以下人员需要Microsoft Entra ID P1 或 P2 许可证,或者Microsoft Entra分配给他们的基本 EDU 许可证:
- 配置这些组创建设置的管理员
- 允许创建组的组成员
注意
有关如何分配 Azure 许可证的更多详细信息,请参阅Microsoft Entra 管理中心中的分配或删除许可证。
以下人员不需要Microsoft Entra ID P1、P2 或Microsoft Entra分配给他们的基本 EDU 许可证:
- 人员谁是 Microsoft 365 组的成员,谁没有能力创建其他组。
步骤 1:为需要创建 Microsoft 365 组的用户创建组
组织中只能使用一个组来控制谁能够创建Microsoft 365 组。 但是,可以将其他组嵌套为此组的成员。
上面列出的角色中的管理员不需要是此组的成员:他们保留创建组的能力。
在管理中心,转到 “组”页。
单击“ 添加组”。
选择所需的组类型。 请记住该组的名称! 稍后需要用到该名称。
完成组设置,添加希望能够创建组的人员或其他组作为成员 (而不是所有者) 。
有关详细说明,请参阅在Microsoft 365 管理中心中创建、编辑或删除安全组。
步骤 2:运行 PowerShell 命令
你将使用 Microsoft Graph PowerShellBeta 模块更改组级来宾访问设置:
- 如果已安装 Beta 版本,请运行
Update-Module Microsoft.Graph.Beta以确保它是此模块的最新版本。
将以下脚本复制到文本编辑器(如记事本)或WINDOWS POWERSHELL ISE 中。
将 GroupName> 替换为<创建的组的名称。 例如:
$GroupName = "Group Creators"
将文件另存为 GroupCreators.ps1。
在 PowerShell 窗口中,导航到保存文件的位置, (键入“CD <FileLocation>”) 。
通过键入以下内容运行脚本:
.\GroupCreators.ps1
并在出现提示时 使用管理员帐户登录 。
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
脚本的最后一行将显示更新的设置:
如果将来要更改使用的组,可以使用新组的名称重新运行脚本。
如果要关闭组创建限制并再次允许所有用户创建组,请将$GroupName设置为“”,并将$AllowGroupCreation设置为“$true”,然后重新运行脚本。
步骤 3:验证有效性
更改可能需要 30 分钟或更长的时间才能生效。 可以通过执行以下操作来验证新设置:
使用不应创建组的用户的用户帐户登录到 Microsoft 365。 也就是说,他们不是你创建的组的成员或管理员。
选择 Planner 磁贴。
在 Planner 中,在左侧导航中选择“ 新建计划 ”以创建计划。
应会收到一条消息,指出计划和组创建已禁用。
使用组的成员再次尝试相同的过程。
注意
如果组的成员无法创建组,检查不会通过其 OWA 邮箱策略阻止组。
相关主题
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈