如何使用 PowerShell 禁用 Office 365 组创建？

---

要求：使用 PowerShell 禁用 Office 365 组创建。

如何在 Office 365 中禁用组创建？

Office 365 组是一个共享工作区，可让您选择一组希望与一组资源（例如共享 Outlook 收件箱、共享日历、SharePoint 文档库、Yammer Group、Planner、PowerBI、OneNote 等）进行协作的人员。许多组织都同意最终用户创建组和相关工件，有些组织可能更喜欢让管理员控制组的创建和管理，作为治理策略的一部分。

默认情况下，最终用户可以在 Office 365 环境中创建组。过程很简单！创建安全组并将组名称传递给 PowerShell。以下是我们禁用 365 组创建的方法：

先决条件：您需要安装 AzureADPreview PowerShell 模块。此外，创建一个 Active Directory 安全组（包含应该能够创建组的用户列表），以便我们可以限制该组内的 Microsoft 365 组创建权限。

步骤 1：安装 Azure AD 预览版 PowerShell 模块：

我们需要最新的 AzureADPreview PowerShell 模块。您可以通过以下方式获取所有已安装的 PowerShell 模块的列表：

Get-module -ListAvailable

要安装 Azure AD Preview PowerShell 模块，请以管理员身份打开 Windows PowerShell 控制台并输入：

Install-Module AzureADPreview

请注意，如果您安装了 AzureAD 模块，则必须先将其卸载，然后再安装 AzureADPreview 模块。

步骤 2：创建 Active Directory 安全组

我们需要此安全组来将 Office 365 组创建限制为特定组内的成员。

1. 登录 Microsoft 管理中心 https://admin.microsoft.com

2. 组 >> 添加组 >> 选择“安全”>> 为您的组提供一个名称，例如“Office 365 Group Creators”

   

3. 将您希望能够在 Office 365 租户中创建组的成员添加到此安全组。

步骤 3：使用 PowerShell 在 Office 365 中禁用组创建

好的，准备好上述步骤后，我们应该运行此 PowerShell 脚本来禁用除安全组成员之外的所有用户的 Office 365 组创建。将 $GroupName 参数设置为您创建并运行的组！系统将提示您登录 - 以全局管理员身份登录。

#Parameter for AD Security Group
$GroupName = "Office 365 Group Creators"

#Connect to Azure AD
Connect-AzureAD

#Get the ID of Allowed AD Group
$GroupID = (Get-AzureADGroup -SearchString $GroupName).ObjectId

#Get the Office 365 Group Creation Settings ID
$GroupCreationSettingsID = (Get-AzureADDirectorySetting | Where-object {$_.Displayname -Eq "Group.Unified"}).Id

#Create Group Creation Settings, If it doesn't exist
If(!$GroupCreationSettingsID)
{
    #Create Settings from Template
    $Template = Get-AzureADDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
    $DirectorySettings = $Template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $DirectorySettings
    $GroupCreationSettingsID = (Get-AzureADDirectorySetting | Where-object {$_.Displayname -Eq "Group.Unified"}).Id
}

#Apply Settings
$GroupCreationSettings = Get-AzureADDirectorySetting -Id $GroupCreationSettingsID
$GroupCreationSettings["EnableGroupCreation"] = "False"
$GroupCreationSettings["GroupCreationAllowedGroupId"] = $GroupID

#Commit Settings
Set-AzureADDirectorySetting -Id $GroupCreationSettingsID -DirectorySetting $GroupCreationSettings

#Verify Settings
(Get-AzureADDirectorySetting -Id $GroupCreationSettingsID).Values

这将禁用每个人创建新 Office 365 组的默认能力。请注意，这些步骤不会阻止特定管理员角色的成员创建 Office 365 组。举例来说：全局管理员、Exchange 管理员、SharePoint 管理员、Teams 服务管理员和用户管理管理员可以创建 Office 365 组，而不管相应管理中心和其他位置的上述设置如何。

验证组创建设置更改

这些变化可能需要一些时间才能体现出来。您可以从任何应用程序验证新设置。在这里，我将使用 Microsoft Teams。

1. 以不属于我们配置的 AD 组的最终用户身份登录 Microsoft Teams >> 单击底部的“加入或创建团队”链接。

2. 您只会获得“加入团队”图块。创建团队图块应隐藏。 （但是，您将可以根据您的访问权限从现有 Office 365 组创建新团队！）

   

同样，如果您尝试通过 Outlook 创建群组，您会收到“抱歉，创建群组的功能已被管理您电子邮件的人员关闭”

我如何恢复这些更改？

好吧，只需更改上面脚本中的这两行并运行一次即可！

$GroupCreationSettings["EnableGroupCreation"] = "True"
$GroupCreationSettings["GroupCreationAllowedGroupId"] = ""

有关禁用 Office 365 组创建的 Microsoft 文档：https://docs.microsoft.com/en-us/microsoft-365/admin/create-groups/manage-creation-of-groups

结论

总之，对于需要对其协作和沟通渠道保持严格控制的组织来说，禁用创建 Office 365 组的功能可能是一种有用的措施。通过防止创建新组，IT 团队可以更好地管理组织中的组数量并确保它们得到有效使用，并有助于减少混乱并提高安全性。然而，考虑潜在的缺点也很重要，例如限制员工的协作和灵活性。最终，是否禁用组创建将取决于组织的具体需求和目标。