Gerenciar quem pode criar grupos do Microsoft 365
Por predefinição, todos os utilizadores podem criar grupos do Microsoft 365. Esta é a abordagem recomendada porque permite que os utilizadores comecem a colaborar sem precisarem de assistência das TI.
Se a sua empresa exigir que restrinja quem pode criar grupos, pode restringir a criação de Grupos do Microsoft 365 aos membros de um grupo ou grupo de segurança específico do Microsoft 365.
Se estiver preocupado com a criação de equipas ou grupos por parte dos utilizadores que não cumpram as normas empresariais, considere exigir que os utilizadores concluam um curso de formação e, em seguida, adicione-os ao grupo de utilizadores permitidos.
Quando limita quem pode criar um grupo, afeta todos os serviços que dependem de grupos para acesso, incluindo:
- Outlook
- Microsoft Office SharePoint Online
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (clássico)
- Project para a Web/Mapa de Objetivos
Os passos neste artigo não impedirão os membros de determinadas funções de criar Grupos. Os administradores globais do Microsoft 365 podem criar grupos através do centro de administração do Microsoft 365, planner, Exchange e SharePoint, mas não de outras localizações, como o Teams. Outras funções podem criar Grupos do Microsoft 365 através de meios limitados, listados abaixo.
- Administrador do Exchange: Exchange admin center, Microsoft Entra ID
- Suporte do Escalão de Parceiro 1: Centro de administração do Microsoft 365, Centro de administração do Exchange, Microsoft Entra ID
- Suporte do Escalão de Parceiro 2: Centro de administração do Microsoft 365, Centro de administração do Exchange, Microsoft Entra ID
- Escritores de Diretórios: Microsoft Entra ID
- Administrador de Grupos: Microsoft Entra ID
- Administrador do SharePoint: Centro de administração do SharePoint, Microsoft Entra ID
- Administrador de Serviços do Teams: Centro de administração do Teams, ID do Microsoft Entra
- Administrador de Utilizadores: Centro de administração do Microsoft 365, Microsoft Entra ID
Se for membro de uma destas funções, pode criar Grupos do Microsoft 365 para utilizadores restritos e, em seguida, atribuir o utilizador como proprietário do grupo.
Requisitos de licenciamento
Para gerir quem cria grupos, as seguintes pessoas precisam de licenças do Microsoft Entra ID P1 ou P2 ou licenças microsoft Entra Basic EDU atribuídas:
- O administrador que configura estas definições de criação de grupos
- Os membros do grupo que têm permissão para criar grupos
Observação
Veja Atribuir ou remover licenças no centro de administração do Microsoft Entra para obter mais detalhes sobre como atribuir licenças do Azure.
As seguintes pessoas não precisam das licenças Microsoft Entra ID P1 ou P2 ou Microsoft Entra Basic EDU atribuídas:
- Pessoas que são membros de grupos do Microsoft 365 e que não têm a capacidade de criar outros grupos.
Passo 1: criar um grupo para os utilizadores que precisam de criar grupos do Microsoft 365
Apenas um grupo na sua organização pode ser utilizado para controlar quem é capaz de criar Grupos do Microsoft 365. No entanto, pode aninhar outros grupos como membros deste grupo.
Os administradores nas funções listadas acima não precisam de ser membros deste grupo: mantêm a capacidade de criar grupos.
No centro de administração, aceda à página Grupos.
Clique em Adicionar um Grupo.
Selecione o tipo de grupo que pretende. Lembre-se do nome do grupo! Você precisará disso posteriormente.
Conclua a configuração do grupo, adicionando pessoas ou outros grupos que pretende que possam criar grupos como membros (não proprietários).
Para obter instruções detalhadas, consulte Criar, editar ou eliminar um grupo de segurança no centro de administração do Microsoft 365.
Etapa 2: Executar comandos do PowerShell
Irá utilizar o módulo Beta do PowerShell do Microsoft Graph para alterar a definição de acesso de convidado ao nível do grupo:
- Se já tiver instalado a versão Beta, execute
Update-Module Microsoft.Graph.Beta
para se certificar de que é a versão mais recente deste módulo.
Copie o script abaixo para um editor de texto, como o Bloco de Notas ou o ISE do Windows PowerShell.
Substitua <GroupName> pelo nome do grupo que criou. Por exemplo:
$GroupName = "Group Creators"
Guarde o ficheiro como GroupCreators.ps1.
Na janela do PowerShell, navegue para a localização onde guardou o ficheiro (escreva "CD <FileLocation>").
Execute o script ao escrever:
.\GroupCreators.ps1
e inicie sessão com a sua conta de administrador quando lhe for pedido.
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values
A última linha do script apresentará as definições atualizadas:
Se, no futuro, quiser alterar o grupo utilizado, pode voltar a executar o script com o nome do novo grupo.
Se quiser desativar a restrição de criação de grupos e permitir novamente que todos os utilizadores criem grupos, defina $GroupName como "" e $AllowGroupCreation como "$true" e volte a executar o script.
Etapa 3: Verifique se funciona
As alterações podem demorar trinta minutos ou mais a entrar em vigor. Pode verificar as novas definições ao fazer o seguinte:
Inicie sessão no Microsoft 365 com uma conta de utilizador de alguém que NÃO deve ter a capacidade de criar grupos. Ou seja, não são membros do grupo que criou ou de um administrador.
Selecione o mosaico Planner .
No Planner, selecione Novo Plano no painel de navegação esquerdo para criar um plano.
Deverá receber uma mensagem a indicar que o plano e a criação de grupos estão desativados.
Tente o mesmo procedimento novamente com um membro do grupo.
Observação
Se os membros do grupo não conseguirem criar grupos, verifique se não estão a ser bloqueados através da política de caixa de correio do OWA.
Tópicos relacionados
Recomendações de planeamento da governação de colaboração
Criar o seu plano de governação de colaboração
Introdução ao Office 365 PowerShell
Configurar a gestão personalizada de grupos no Microsoft Entra ID
Cmdlets do Microsoft Entra para configurar as definições de grupo