Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По умолчанию все пользователи могут создавать группы Microsoft 365. Это рекомендуемый подход, так как он позволяет пользователям начать совместную работу без помощи ИТ-специалистов.
Если вашей организации требуется ограничить пользователей, которые могут создавать группы, можно ограничить Группы Microsoft 365 создание членами определенной группы Microsoft 365 или группы безопасности.
Если вас беспокоит создание пользователями команд или групп, которые не соответствуют вашим бизнес-стандартам, рассмотрите возможность потребовать от пользователей пройти учебный курс, а затем добавить их в группу разрешенных пользователей.
Ограничение числа пользователей, которые могут создавать группу, влияет на все службы, которые используют группы для доступа, в том числе:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Планировщик
- Power BI (классическая модель)
- Project в Интернете / Дорожная карта
Действия, описанные в этой статье, не могут помешать членам определенных ролей создавать группы. Глобальные администраторы Microsoft 365 могут создавать группы с помощью Центр администрирования Microsoft 365, Планировщик, Exchange и SharePoint, но не в других расположениях, таких как Teams. Другие роли могут создавать Группы Microsoft 365 ограниченными средствами, как показано в следующей таблице:
| Role | Расположения, в которых можно создавать группы |
|---|---|
| Администратор Exchange | Центр администрирования Exchange Microsoft Entra ID |
| Поддержка партнеров уровня 1 | Центр администрирования Microsoft 365 Центр администрирования Exchange Microsoft Entra ID |
| Поддержка партнеров уровня 2 | Центр администрирования Microsoft 365 Центр администрирования Exchange Microsoft Entra ID |
| Запись каталогов | Microsoft Entra ID |
| Администратор групп | Microsoft Entra ID |
| Администратор SharePoint | Центр администрирования SharePoint Microsoft Entra ID |
| Администратор службы Teams | Центр администрирования Teams Microsoft Entra ID |
| Администратор пользователей | Центр администрирования Microsoft 365 Microsoft Entra ID |
Если вы являетесь членом одной из этих ролей, вы можете создать Группы Microsoft 365 для ограниченных пользователей, а затем назначить пользователя владельцем группы.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль. Дополнительные сведения см. в разделе Сведения о ролях администратора в Центр администрирования Microsoft 365.
Требования к лицензированию
Чтобы управлять тем, кто создает группы, следующие пользователи должны Microsoft Entra лицензии с идентификатором P1 или P2 или Microsoft Entra назначенные им лицензии на базовое образование (EDU):
- Администратор, который настраивает эти параметры создания групп.
- Участники группы, которым разрешено создавать группы.
Примечание.
Дополнительные сведения о назначении Entra ID лицензий см. в статье Назначение или удаление лицензий в Центре администрирования Microsoft Entra.
Следующим пользователям не требуется Microsoft Entra идентификатором P1 или P2 или Microsoft Entra назначенные им базовые лицензии EDU:
- Люди, которые являются членами групп Microsoft 365 и не имеют возможности создавать другие группы.
Шаг 1. Создание группы для пользователей, которым необходимо создать группы Microsoft 365
Только одна группа в вашей организации может быть использована для управления тем, кто может создавать Группы Microsoft 365. Но вы можете вложить другие группы в качестве членов этой группы.
Администраторы в перечисленных ранее ролях не должны быть членами этой группы; они сохраняют способность создавать группы.
В Центр администрирования Microsoft 365 перейдите на страницу Группы.
Выберите Добавить группу.
Выберите нужный тип группы. Запомните имя группы. Он вам понадобится позже.
Завершите настройку группы, добавив людей или другие группы, которые должны иметь возможность создавать группы в качестве участников (не владельцев).
Подробные инструкции см. в статье Создание, изменение и удаление группы безопасности в Центр администрирования Microsoft 365.
Шаг 2. Запуск команд PowerShell
Используйте бета-модульMicrosoft Graph PowerShell, чтобы изменить параметр гостевого доступа на уровне группы:
- Если вы уже установили бета-версию, выполните команду
Update-Module Microsoft.Graph.Beta, чтобы убедиться, что это последняя версия этого модуля.
Скопируйте следующий скрипт в текстовый редактор, например Блокнот или Windows PowerShell ISE.
Замените <GroupName> именем созданной группы. Например:
$GroupName = "Group Creators"
Сохраните файл как GroupCreators.ps1.
В окне PowerShell перейдите в расположение, в котором вы сохранили файл (введите "CD <FileLocation>").
Запустите скрипт, введя следующее:
.\GroupCreators.ps1
Затем войдите с помощью учетной записи администратора при появлении запроса.
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = $true
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup -all | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
В последней строке скрипта отображаются обновленные параметры:
Если в будущем вы хотите изменить используемую группу, можно повторно запустить сценарий с именем новой группы.
Если вы хотите отключить ограничение на создание группы и снова разрешить всем пользователям создавать группы, задайте для "" и $GroupName выберите "$true" и $AllowGroupCreation повторно запустите скрипт.
Шаг 3. Проверка
В силу изменений может потребоваться не более 30 минут. Чтобы проверить новые параметры, выполните следующие действия.
Войдите в Microsoft 365 с учетной записью пользователя, который не должен иметь возможность создавать группы. То есть они не являются членом созданной группы или администратором.
Выберите плитку Планировщик.
В Планировщик выберите Создать план в области навигации слева, чтобы создать план.
Должно появиться сообщение о том, что создание плана и группы отключено.
Повторите ту же процедуру с участником группы.
Примечание.
Если члены группы не могут создавать группы, проверка, что они не заблокированы с помощью политики почтовых ящиков OWA.
Статьи по теме
- Рекомендации по планированию системы управления совместной работой
- Создание плана управления совместной работой
- Начало работы с Office 365 PowerShell
- Настройка самостоятельного управления группами в идентификаторе Microsoft Entra
- Set-ExecutionPolicy.
- Microsoft Entra командлеты для настройки параметров группы