Partager via

Gérer les personnes autorisées à créer des groupes Microsoft 365

  • Article

Par défaut, tous les utilisateurs peuvent créer des groupes Microsoft 365. Il s’agit de l’approche recommandée, car elle permet aux utilisateurs de commencer à collaborer sans avoir besoin d’aide du service informatique.

Si votre entreprise exige que vous restreignez les personnes autorisées à créer des groupes, vous pouvez limiter Groupes Microsoft 365 création aux membres d’un groupe ou d’un groupe de sécurité Microsoft 365 particulier.

Si vous êtes préoccupé par la création d’équipes ou de groupes qui ne respectent pas vos normes métier, envisagez d’exiger des utilisateurs qu’ils suivent un cours de formation, puis de les ajouter au groupe d’utilisateurs autorisés.

Lorsque vous limitez les personnes autorisées à créer un groupe, cela affecte tous les services qui s’appuient sur des groupes pour l’accès, notamment :

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planificateur
  • Power BI (classique)
  • Project pour le web / Feuille de route

Les étapes décrites dans cet article ne peuvent pas empêcher les membres de certains rôles de créer des groupes. Les administrateurs généraux Microsoft 365 peuvent créer des groupes via les Centre d’administration Microsoft 365, Planificateur, Exchange et SharePoint, mais pas d’autres emplacements tels que Teams. D’autres rôles peuvent créer Groupes Microsoft 365 par le biais de moyens limités :

  • Administrateur Exchange : Centre d’administration Exchange, Microsoft Entra ID
  • Support partenaire de niveau 1 : Centre d’administration Microsoft 365, Centre d’administration Exchange, Microsoft Entra ID
  • Support partenaire de niveau 2 : Centre d’administration Microsoft 365, Centre d’administration Exchange, Microsoft Entra ID
  • Enregistreurs d’annuaires : Microsoft Entra ID
  • Administrateur de groupes : Microsoft Entra ID
  • Administrateur SharePoint : Centre d’administration SharePoint, Microsoft Entra ID
  • Administrateur de service Teams : Centre d’administration Teams, Microsoft Entra ID
  • Administrateur utilisateur : Centre d’administration Microsoft 365, Microsoft Entra ID

Si vous êtes membre de l’un de ces rôles, vous pouvez créer Groupes Microsoft 365 pour les utilisateurs restreints, puis affecter l’utilisateur en tant que propriétaire du groupe.

Conditions d'octroi de licence

Pour gérer les personnes qui créent des groupes, les personnes suivantes doivent Microsoft Entra ID licences P1 ou P2 ou Microsoft Entra licences Éducation de base (EDU) qui leur sont attribuées :

  • Administrateur qui configure ces paramètres de création de groupe.
  • Membres du groupe autorisés à créer des groupes.

Remarque

Pour plus d’informations sur l’attribution de licences Entra, consultez Attribuer ou supprimer des licences dans le centre d’administration Microsoft Entra.

Les personnes suivantes n’ont pas besoin de Microsoft Entra ID licences P1 ou P2 ou Microsoft Entra Basic EDU qui leur sont attribuées :

  • Personnes qui sont membres de groupes Microsoft 365 et qui n’ont pas la possibilité de créer d’autres groupes.

Étape 1 : Créer un groupe pour les utilisateurs qui doivent créer des groupes Microsoft 365

Un seul groupe de votre organization peut être utilisé pour contrôler qui est en mesure de créer Groupes Microsoft 365. Toutefois, vous pouvez imbriquer d’autres groupes en tant que membres de ce groupe.

Les administrateurs dans les rôles répertoriés précédemment n’ont pas besoin d’être membres de ce groupe ; ils conservent leur capacité à créer des groupes.

  1. Dans la Centre d’administration Microsoft 365, accédez à la page Groupes.
  2. Sélectionnez Ajouter un groupe.
  3. Choisissez le type de groupe souhaité. N’oubliez pas le nom du groupe. Vous en aurez besoin plus tard.
  4. Terminez la configuration du groupe, en ajoutant des personnes ou d’autres groupes pour lesquels vous souhaitez pouvoir créer des groupes en tant que membres (et non en tant que propriétaires).

Pour obtenir des instructions détaillées, consultez Créer, modifier ou supprimer un groupe de sécurité dans le Centre d’administration Microsoft 365.

Étape 2 : exécuter les commandes PowerShell

Utilisez le module Microsoft Graph PowerShellBeta pour modifier le paramètre d’accès invité au niveau du groupe :

  • Si vous avez déjà installé la version bêta, exécutez Update-Module Microsoft.Graph.Beta pour vérifier qu’il s’agit de la dernière version de ce module.

Copiez le script suivant dans un éditeur de texte, tel que le Bloc-notes, ou le Windows PowerShell ISE.

Remplacez GroupName> par< le nom du groupe que vous avez créé. Par exemple :

$GroupName = "Group Creators"

Enregistrez le fichier en tant que GroupCreators.ps1.

Dans la fenêtre PowerShell, accédez à l’emplacement où vous avez enregistré le fichier (tapez « CD <FileLocation> »).

Exécutez le script en tapant :

.\GroupCreators.ps1

Ensuite, connectez-vous avec votre compte administrateur lorsque vous y êtes invité.

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

La dernière ligne du script affiche les paramètres mis à jour :

Capture d’écran de la sortie du script PowerShell.

Si, à l’avenir, vous souhaitez modifier le groupe utilisé, vous pouvez réexécuter le script avec le nom du nouveau groupe.

Si vous souhaitez désactiver la restriction de création de groupe et autoriser à nouveau tous les utilisateurs à créer des groupes, définissez $GroupName"" sur et sur $AllowGroupCreation"$true" et réexécutez le script.

Étape 3 : vérifier le bon fonctionnement

L’application des modifications peut prendre 30 minutes ou plus. Vous pouvez vérifier les nouveaux paramètres en effectuant les étapes suivantes :

  1. Connectez-vous à Microsoft 365 avec le compte d’utilisateur d’une personne qui ne doit pas avoir la possibilité de créer des groupes. Autrement dit, ils ne sont pas membres du groupe que vous avez créé ni administrateur.
  2. Sélectionnez la vignette Planificateur.
  3. Dans Planificateur, sélectionnez Nouveau plan dans le volet de navigation de gauche pour créer un plan.
  4. Vous devez recevoir un message indiquant que la création du plan et du groupe est désactivée.

Réessayez la même procédure avec un membre du groupe.

Remarque

Si les membres du groupe ne sont pas en mesure de créer des groupes, case activée qu’ils ne sont pas bloqués via leur stratégie de boîte aux lettres OWA.