默认情况下,所有用户都可以创建Microsoft 365 个组。 这是建议的方法,因为它允许用户开始协作,而无需 IT 人员协助。
如果业务要求限制可以创建组的人员,则可以将Microsoft 365 组创建限制为特定Microsoft 365 组或安全组的成员。
如果你担心用户创建不符合业务标准的团队或组,请考虑要求用户完成培训课程,然后将他们添加到允许的用户组。
限制可以创建组的人员时,会影响依赖于组进行访问的所有服务,包括:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (经典)
- Project 网页版/路线图
本文中的步骤无法阻止某些角色的成员创建组。 Microsoft 365 个全局管理员可以通过Microsoft 365 管理中心、Planner、Exchange 和 SharePoint 创建组,但不能通过 Teams 等其他位置创建组。 其他角色可以通过有限的方式创建Microsoft 365 组,如下表所示:
| Role | 他们可以在其中创建组的位置 |
|---|---|
| Exchange 管理员 | Exchange 管理中心 Microsoft Entra ID |
| 合作伙伴第 1 层支持 | Microsoft 365 管理中心 Exchange 管理中心 Microsoft Entra ID |
| 合作伙伴第 2 层支持 | Microsoft 365 管理中心 Exchange 管理中心 Microsoft Entra ID |
| 目录作者 | Microsoft Entra ID |
| 组管理员 | Microsoft Entra ID |
| SharePoint 管理员 | SharePoint 管理中心 Microsoft Entra ID |
| Teams 服务管理员 | Teams 管理中心 Microsoft Entra ID |
| 用户管理员 | Microsoft 365 管理中心 Microsoft Entra ID |
如果你是其中一个角色的成员,则可以为受限用户创建Microsoft 365 组,然后将该用户分配为组的所有者。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。 若要了解详细信息,请参阅关于Microsoft 365 管理中心中的管理员角色。
许可要求
若要管理创建组的人员,以下人员需要Microsoft Entra ID P1 或 P2 许可证或Microsoft Entra分配给他们的基础教育 (EDU) 许可证:
- 配置这些组创建设置的管理员。
- 允许创建组的组成员。
以下人员不需要Microsoft Entra ID P1、P2 或Microsoft Entra分配给他们的基本 EDU 许可证:
- 人员谁是Microsoft 365 个组的成员,谁没有能力创建其他组。
步骤 1:为需要创建Microsoft 365 个组的用户创建组
组织中只能使用一个组来控制谁能够创建Microsoft 365 组。 但是,可以将其他组嵌套为此组的成员。
前面列出的角色中的管理员不需要是此组的成员;他们保留创建组的能力。
在Microsoft 365 管理中心中,转到“组”页。
选择“ 添加组”。
选择所需的组类型。 记住组的名称。 稍后需要它。
完成组设置,添加希望能够创建组的人员或其他组作为成员 (而不是所有者) 。
有关详细说明,请参阅在Microsoft 365 管理中心中创建、编辑或删除安全组。
步骤 2:运行 PowerShell 命令
使用 Microsoft Graph PowerShellBeta 模块更改组级来宾访问设置:
- 如果已安装 Beta 版本,请运行
Update-Module Microsoft.Graph.Beta以确保它是此模块的最新版本。
将以下脚本复制到文本编辑器(如记事本)或WINDOWS POWERSHELL ISE 中。
将 GroupName> 替换为<创建的组的名称。 例如:
$GroupName = "Group Creators"
将文件另存为 GroupCreators.ps1。
在 PowerShell 窗口中,导航到保存文件的位置, (键入“CD <FileLocation>”) 。
通过键入以下内容运行脚本:
.\GroupCreators.ps1
然后,在出现提示时 使用管理员帐户登录 。
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = $true
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup -all | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
脚本的最后一行显示更新的设置:
如果将来要更改使用的组,可以使用新组的名称重新运行脚本。
如果要关闭组创建限制并再次允许所有用户创建组,请将 设置为 $GroupName"" 和 $AllowGroupCreation 并 "$true" 重新运行脚本。
步骤 3:验证有效性
更改可能需要 30 分钟或更长的时间才能生效。 可以通过完成以下步骤来验证新设置:
使用不应创建组的用户的用户帐户登录到 Microsoft 365。 也就是说,他们不是你创建的组的成员或管理员。
选择“Planner”磁贴。
在“Planner”中,在左侧导航栏中选择“新建计划”以创建计划。
应会收到一条消息,指出计划和组创建已禁用。
使用组的成员再次尝试相同的过程。
注意
如果组的成员无法创建组,检查不会通过其 OWA 邮箱策略阻止组。