管理能建立 Microsoft 365 群組的使用者

根據預設,所有使用者都可以建立 Microsoft 365 群組。 這是建議的方法,因為它可讓使用者在不需要協助的情況下開始合作。

如果您的公司需要限制誰可以建立群組,您可以將 Microsoft 365 群組建立限制在特定 Microsoft 365 群組或安全性群組的成員。

如果您擔心使用者建立的小組或群組不符合您的商務標準,請考慮要求使用者完成訓練課程,然後將其新增至允許的使用者群組。

當您限制誰可以建立群組時,它會影響依賴群組進行存取的所有服務,包括:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (古典)
  • web/藍圖的 Project

本文中的步驟不會防止某些角色的成員建立群組。 Office 365 全域系統管理員可以透過 Microsoft 365 系統管理中心、Planner、Exchange 及 SharePoint 線上建立群組。 其他角色可以透過有限的方式建立群組,如下所列。

  • Exchange 管理員: Exchange admin center,Azure AD
  • 合作夥伴第1層支援: Microsoft 365 系統管理中心、Exchange 系統管理中心 Azure AD
  • 合作夥伴第2層支援: Microsoft 365 系統管理中心、Exchange 系統管理中心 Azure AD
  • 目錄作者: Azure AD
  • SharePoint 管理員: SharePoint admin center,Azure AD
  • Teams 服務管理員: Teams 系統管理中心,Azure AD
  • 使用者管理員: Microsoft 365 系統管理中心、Azure AD

如果您是其中一個角色的成員,您可以為受限制的使用者建立 Microsoft 365 群組,然後將該使用者指派為群組的擁有者。

授權需求

若要管理群組的建立者,下列人員需要指派給他們的 Azure AD Premium 授權:

  • 設定這些群組建立設定的系統管理員
  • 允許建立群組的群組成員

注意

如需如何指派 Azure 授權的詳細資訊,請參閱指派或移除 Azure Active Directory 入口網站中的授權

下列人員不需要獲指派 Azure AD Premium 授權:

  • 屬於 Microsoft 365 群組成員的人員,以及沒有建立其他群組的能力。

步驟1:為需要建立 Microsoft 365 群組的使用者建立群組

您組織中只有一個群組可以用來控制誰可以建立群組。 不過,您可以將其他群組嵌套為此群組的成員。

以上所列角色中的系統管理員不需要是此群組的成員:他們保留其建立群組的能力。

  1. 在系統管理中心中,移至 [群組] 頁面

  2. 按一下 [ 新增群組]。

  3. 選擇您想要的群組類型。 請記下群組名稱! 以便後續步驟使用。

  4. 完成設定群組,新增您想要在您的組織中建立群組的人員或其他群組。

如需詳細指示,請參閱建立、編輯或刪除安全性群組的 Microsoft 365 系統管理中心

步驟 2:執行 PowerShell 命令

您必須使用 Azure Active Directory 的預覽版本 PowerShell Graph (AzureAD) (模組名稱 AzureADPreview) ,以變更群組層級來賓存取設定:

  • 如果您之前尚未安裝任何版本的 Azure AD PowerShell 模組,請參閱安裝 Azure AD 模組,並遵循指示來安裝公開預覽版本。

  • 如果您已安裝 Azure AD PowerShell 模組(AzureAD) 的通用版本 2.0,您必須先在 PowerShell 工作階段中執行 Uninstall-Module AzureAD 將其解除安裝,然後執行 Install-Module AzureADPreview 來安裝預覽版本。

  • 如果您已安裝預覽版本,請執行 Install-Module AzureADPreview 以確定這是本模組的最新版本。

將下列腳本複製到文字編輯器,例如記事本或Windows PowerShell ISE

<GroupName> 以您建立的群組名稱取代。 例如:

$GroupName = "Group Creators"

將檔案儲存為 GroupCreators.ps1。

在 [PowerShell] 視窗中,流覽至您儲存檔案的位置, (輸入 "CD <FileLocation> " ) 。

輸入下列命令以執行腳本:

.\GroupCreators.ps1

系統提示時,請 使用系統管理員帳戶登入

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

腳本的最後一行會顯示更新的設定:

PowerShell 腳本輸出的螢幕擷取畫面。

如果您想要變更所使用的群組,您可以使用新群組的名稱重新執行腳本。

如果您想關閉群組建立限制,並再次允許所有使用者建立群組,請將 $GroupName 設定為 "",並 $AllowGroupCreation 為 "True",然後重新執行腳本。

步驟 3:驗證命令能正常運作

變更可能需要30分鐘以上的時間才會生效。 您可以執行下列動作來驗證新的設定:

  1. 使用不具備建立群組功能之人員的使用者帳戶登入 Microsoft 365。 也就是說,它們不是您所建立之群組的成員,或是管理員的成員。

  2. 選取 [ Planner ] 磚。

  3. 在 Planner 中,選取左側導覽中的 [ 新增方案 ],以建立計畫。

  4. 您應該會收到一則停用計畫和群組建立的訊息。

請使用群組的成員重新嘗試相同的程式。

注意

[!注意] 如果群組的成員無法建立群組,請檢查未透過 OWA 信箱原則封鎖這些群組。

共同作業管理規劃建議

建立共同作業管理計畫

開始使用 Office 365 PowerShell

在 Azure Active Directory 中設定自助群組管理

Set-ExecutionPolicy

用於設定群組設定的 Azure Active Directory Cmdlet