管理哪些人可以创建Office 365组

博客地址：http://blog.csdn.net/FoxDave

由于对用户来说，创建Office 365组是相当容易的，所以我们不会被淹没在代替其他人创建组的请求当中。然而基于我们的业务需求，我们可能会想要控制哪些人才可以创建组。

本文主要阐述如何在使用用户组的所有Office 365服务中禁用创建组的能力：

Outlook
SharePoint
Yammer
Microsoft Teams: 管理员和普通用户都不能创建团队。
StaffHub: 管理员和经理都不能创建团队。
Planner: 用户不能在Planner的web应用程序和移动应用程序创建新的计划。
PowerBI

最好的方式是创建一个安全组，然后只有这个安全组中的人才可以在那些应用中创建Office 365组和团队。本文会介绍这一系列的步骤。

控制哪些人可以创建Office 365组，我们使用Windows PowerShell去做。关于PowerShell的相关内容不再赘述了。

第一步：为需要创建Office 365组的用户创建安全组

在组织中只有一个安全组可以用来控制谁能创建Office 365组。但是，我们可以通过嵌套其他安全组到该组的方式来变通实现通过多个安全组控制。例如我们可以将“允许组创建”这个安全组指定为控制权限的安全组，然后将“Microsoft Planner Users”和“Exchange Online User”作为该组的成员。

在Office 365管理中心，创建一个安全组类型的组，记住组的名称，之后我们还要用到。
添加用户或其他的安全组到该组。

第二步：执行PowerShell命令

以管理员身份运行Windows PowerShell。
运行命令Import-Module AzureADPreview和Connect-AzureAD，在弹出的登录框中输入我们的Office 365管理员账户密码并点击登录。
首先用命令Get-AzureADGroup -SearchString "<Name of your security group>"获取我们在第一步中创建的安全组，由此我们可以得到获取的安全组的ObjectID属性，之后要用到它。
执行命令$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
执行命令$Setting = $Template.CreateDirectorySetting()
执行命令New-AzureADDirectorySetting -DirectorySetting $Setting。如果碰到了如下图的错误，直接跳到下一步。
执行命令$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
执行命令$Setting["EnableGroupCreation"] = $False
执行命令$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid。注意对安全组的名称进行替换。
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
验证我们的安全组能创建组，安全组外的其他人不能创建组，执行命令(Get-AzureADDirectorySetting).Values。显示的结果为下图的形式：

第三步：验证是否正常工作

用一个不在安全组的用户登录Office 365。
选择Planner。
在Planner中点击新建计划。
这时应该会收到一个信息提示该用户不能创建计划。

移除指定用户才能创建组的限制

如果想要取消以上我们所做的限制，执行命令$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"} Remove-AzureADDirectorySetting –Id $SettingId.Id。