阻止用户在 Microsoft 365 (Teams/Outlook) 中创建新组

默认情况下，Azure 租户中的任何用户都可以创建 Microsoft 365 组。当用户创建新的 Microsoft 365 组时，会自动创建其他资源：Teams 组、Exchange Online 中的共享邮箱和日历、SharePoint Online 中的网站和文档库、Yammer 组等。

本文介绍了阻止普通（非管理员）用户在 Microsoft 365（Teams/Outlook 等）中创建新组的方法。您需要做的第一件事是限制在 AzureAD 中创建统一组的权限。请注意，目前无法仅阻止用户创建 Teams 组。禁止创建新组将适用于所有 Microsoft 365 服务，包括 SharePoint、Exchange、OneNote、Yammer、Planner、PowerBI 等。

在此屏幕截图中，您可以看到用户可以从 Teams 界面创建新组（团队）或加入现有组。

在这种情况下，我们将阻止普通用户创建新的 Microsoft 365 组。完成后，我们将使用

GroupCreationAllowedGroupId

参数仅允许管理员创建新组。

在计算机上安装 AzureADPreview 和 AzureAD PowerShell 模块（

Set-AzureADDirectorySetting

我们需要的 cmdlet 目前仅在 AzureADPreview 中可用）。

Install-Module AzureAD
Install-module AzureADPreview -AllowClobber -Force

有一个单独的 PowerShell 模块用于管理 MS Teams。

连接到您的 Azure 租户：

AzureADPreview\Connect-AzureAD

现在让我们创建一组可以创建统一组的 Azure 管理员组：

New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true  -Description "Members can create new Unified Groups (including Teams)"

并将 Teams 管理员帐户添加到组中：

$Group = "TeamsAdmins"
$User = "[email protected]"
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

让我们看看当前创建 Teams 组的权限：

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

这里，

EnableGroupCreation = true

和

GroupCreationAllowedGroupID = not set

，这意味着用户可以创建 Teams (Microsoft 365) 组。

如果 Get-AzureADDirectorySetting cmdlet 返回空数组 (

Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null

），您首先需要按照指南 https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlet 中所述配置设置（步骤 1 到 6）：

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting

现在，我们只允许在 Microsoft 365 中为 TeamsAdmins 组创建新组：

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

并检查组创建权限是否已更改：

(Get-AzureADDirectorySetting).Values

如果要将配置重置为默认值并允许所有用户创建 Microsoft 365 组，请运行以下命令：

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

现在以普通（非管理员）用户身份运行 Teams，以检查创建新 Teams 组的选项是否不再可用。用户现在只能连接到现有的 Teams 组。

为了允许用户在 Microsoft 365（包括 Teams）中创建组，您需要将用户帐户添加到 TeamsAdmins 组。