Freigeben über

Verwalten von Personen, die Microsoft 365-Gruppen erstellen können

  • Artikel

Standardmäßig können alle Benutzer Microsoft 365-Gruppen erstellen. Dies ist der empfohlene Ansatz, weil er es den Benutzern ermöglicht, ohne Unterstützung durch die IT mit der Zusammenarbeit zu beginnen.

Wenn Ihr Unternehmen erfordert, dass Sie einschränken, wer Gruppen erstellen kann, können Sie Microsoft 365-Gruppen Erstellung auf die Mitglieder einer bestimmten Microsoft 365-Gruppe oder Sicherheitsgruppe beschränken.

Wenn Sie bedenken, dass Benutzer Teams oder Gruppen erstellen, die Ihren Geschäftsstandards nicht entsprechen, sollten Sie erwägen, dass Benutzer einen Schulungskurs absolvieren und sie dann der Gruppe der zulässigen Benutzer hinzufügen.

Wenn Sie einschränken, wer eine Gruppe erstellen kann, wirkt sich dies auf alle Dienste aus, die für den Zugriff auf Gruppen angewiesen sind, einschließlich:

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (klassisch)
  • Project für das Web / Roadmap

Die Schritte in diesem Artikel können nicht verhindern, dass Mitglieder bestimmter Rollen Gruppen erstellen. Globale Microsoft 365-Administratoren können Gruppen über die Microsoft 365 Admin Center, Planner, Exchange und SharePoint erstellen, aber nicht über andere Speicherorte wie Teams. Andere Rollen können Microsoft 365-Gruppen mit eingeschränkten Mitteln erstellen:

  • Exchange-Administrator: Exchange Admin Center, Microsoft Entra ID
  • Partner tier 1 Support: Microsoft 365 Admin Center, Exchange Admin Center, Microsoft Entra ID
  • Partner tier 2 Support: Microsoft 365 Admin Center, Exchange Admin Center, Microsoft Entra ID
  • Verzeichnisautoren: Microsoft Entra ID
  • Gruppenadministrator: Microsoft Entra ID
  • SharePoint-Administrator: SharePoint Admin Center, Microsoft Entra ID
  • Teams-Dienstadministrator: Teams Admin Center, Microsoft Entra ID
  • Benutzeradministrator: Microsoft 365 Admin Center, Microsoft Entra ID

Wenn Sie Mitglied einer dieser Rollen sind, können Sie Microsoft 365-Gruppen für Benutzer mit eingeschränktem Zugriff erstellen und anschließend den Benutzer als Besitzer der Gruppe zuweisen.

Lizenzierungsanforderungen

Um zu verwalten, wer Gruppen erstellt, benötigen die folgenden Personen Microsoft Entra ID P1- oder P2-Lizenzen oder Microsoft Entra ihnen zugewiesenen EDU-Lizenzen (Basic Education):

  • Der Administrator, der diese Gruppenerstellungseinstellungen konfiguriert.
  • Die Mitglieder der Gruppe, die Gruppen erstellen dürfen.

Hinweis

Weitere Informationen zum Zuweisen von Entra ID-Lizenzen finden Sie unter Zuweisen oder Entfernen von Lizenzen im Microsoft Entra Admin Center.

Die folgenden Personen benötigen keine Microsoft Entra ID P1 oder P2 oder Microsoft Entra Basic EDU-Lizenzen, die ihnen zugewiesen sind:

  • Personen, die Mitglieder von Microsoft 365-Gruppen sind und keine Möglichkeit haben, andere Gruppen zu erstellen.

Schritt 1: Erstellen einer Gruppe für Benutzer, die Microsoft 365-Gruppen erstellen müssen

Nur eine Gruppe in Ihrem organization kann verwendet werden, um zu steuern, wer Microsoft 365-Gruppen erstellen kann. Sie können jedoch andere Gruppen als Mitglieder dieser Gruppe schachteln.

Administratoren in den zuvor aufgeführten Rollen müssen keine Mitglieder dieser Gruppe sein. sie behalten ihre Fähigkeit, Gruppen zu erstellen.

  1. Wechseln Sie im Microsoft 365 Admin Center zur Seite Gruppen.
  2. Wählen Sie Gruppe hinzufügen aus.
  3. Wählen Sie den gewünschten Gruppentyp aus. Merken Sie sich den Namen der Gruppe. Sie benötigen sie später.
  4. Schließen Sie die Einrichtung der Gruppe ab, und fügen Sie Personen oder andere Gruppen hinzu, die Gruppen als Mitglieder (keine Besitzer) erstellen können sollen.

Ausführliche Anleitungen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe im Microsoft 365 Admin Center.

Schritt 2: Ausführen von PowerShell-Befehlen

Verwenden Sie das Microsoft Graph PowerShellBeta-Modul , um die Gastzugriffseinstellung auf Gruppenebene zu ändern:

  • Wenn Sie die Betaversion bereits installiert haben, führen Sie aus Update-Module Microsoft.Graph.Beta , um sicherzustellen, dass es sich um die neueste Version dieses Moduls handelt.

Kopieren Sie das folgende Skript in einen Text-Editor, z. B. Editor oder die Windows PowerShell ISE.

Ersetzen Sie <GroupName> durch den Namen der Gruppe, die Sie erstellt haben. Zum Beispiel:

$GroupName = "Group Creators"

Speichern Sie die Datei als "GroupCreators.ps1".

Navigieren Sie im PowerShell-Fenster zu dem Speicherort, an dem Sie die Datei gespeichert haben (geben Sie "CD <FileLocation>" ein).

Führen Sie das Skript aus, indem Sie Folgendes eingeben:

.\GroupCreators.ps1

Melden Sie sich dann mit Ihrem Administratorkonto an, wenn Sie dazu aufgefordert werden.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = $true
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

In der letzten Zeile des Skripts werden die aktualisierten Einstellungen angezeigt:

Screenshot der PowerShell-Skriptausgabe.

Wenn Sie später die verwendete Gruppe ändern möchten, können Sie das Skript mit dem Namen der neuen Gruppe erneut ausführen.

Wenn Sie die Einschränkung für die Gruppenerstellung deaktivieren und allen Benutzern das Erstellen von Gruppen erneut erlauben möchten, legen Sie auf "" und $AllowGroupCreation auf "$true" fest$GroupName, und führen Sie das Skript erneut aus.

Schritt 3: Überprüfen der ordnungsgemäßen Funktion

Es kann 30 Minuten oder mehr dauern, bis Änderungen wirksam werden. Sie können die neuen Einstellungen überprüfen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich bei Microsoft 365 mit einem Benutzerkonto einer Person an, die nicht die Möglichkeit haben sollte, Gruppen zu erstellen. Das heißt, sie sind kein Mitglied der gruppe, die Sie erstellt haben, oder ein Administrator.
  2. Wählen Sie die Kachel Planner aus.
  3. Wählen Sie in Planner in der linken Navigationsleiste Neuer Plan aus, um einen Plan zu erstellen.
  4. Jetzt sollte eine Nachricht angezeigt werden, die besagt, dass die Erstellung von Plänen und Gruppen deaktiviert ist.

Wiederholen Sie den Vorgang mit einem Mitglied der Gruppe.

Hinweis

Sollte es Mitgliedern der Gruppe nicht möglich sein, Gruppen zu erstellen, überprüfen Sie, ob Sie nicht durch ihre OWA-Postfachrichtlinie daran gehindert werden.