【邮分享】管理O365群组的创建权限

本站去年的一篇热文介绍了Office 365的群组功能(【原创】当欧洲杯遭遇美洲杯遭遇NBA总决赛),它有点像企业内部的微信群,也支持移动端的访问和文件传输。

那既然是企业内部的微信群,权限控制自然是必不可少的,不然某个老总很可能被淹没在各种群消息的轰炸中,同时还在被纳入更多的群组中。这个从源头抓起,我们必须要定义哪些人可以创建O365群组

当然,也不是人人都能定义上述权限的,操作者必须是以下角色组的成员:

  • Office 365全局管理员

  • 邮箱管理员
  • 合作伙伴的一线支持
  • 合作伙伴的二线支持
  • 目录撰写人(Directory Writer)

        操作步骤如下:

  1. 以管理员身份打开 Windows PowerShell:

    1. 在搜索栏中,键入 Windows PowerShell
    2. 右键单击 Windows PowerShell,然后选择“以管理员身份运行”。

    3. Windows PowerShell 窗口会弹出打开。提示 C:\Windows\system32 意味着以管理员身份打开它。

  2. 要卸载早期版本的 AzureADPreview,请运行以下命令:
    Uninstall-Module AzureADPreview
  3. 要安装最新版本的 AzureADPreview,请运行以下命令(修改群组权限必须安装此组件):
    Install-Module AzureADPreview
  4. 在Office 365 管理中心,创建安全组类型的组。

  5. 添加人员或其他安全组

  6. 在刚才的Powershell窗口中运行此命令:

    Connect-AzureAD

    在打开的“登录到帐户”屏幕中,输入凭据以连接到服务,然后单击“登录”。

  7. 通过使用以下命令找到你在第4步中创建的安全组:
    Get-MsolGroup -SearchString "安全组名"

    例如,我已命名的 AllowedtoCreateGroups 安全组,那就运行:

    Get-MsolGroup -SearchString "AllowedtoCreateGroups"

    这将显示AllowedtoCreateGroups 安全组的属性。

    这个命令AllowedtoCreateGroups 组的ObjectID属性值是afc88…不需要记下这组ID,但是后面的步骤里你需要能准确识别出来。

  8. 运行此命令:
    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  9. 运行此命令:
    $Setting = $Template.CreateDirectorySetting()
  10. 运行此命令:
    New-AzureADDirectorySetting -DirectorySetting $Setting

    成功完成后,该 cmdlet 返回新设置对象的 ID。

  11. 运行此命令:
    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  12. 运行此命令:
    $Setting["EnableGroupCreation"] = $False
  13. 使用以下语法:
    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "安全组名").objectid

    比如安全组名叫AllowedToCreateGroups,则命令如下:

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  14. 运行此命令:
    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  15. 若要验证您的安全组可以创建组,并且您的组织中的其他所有人都不能运行此命令:
    (Get-AzureADDirectorySetting).Values

    结果应如下所示 (即第七步中的ObjectID):

完成之后,任何不属于AllowedtoCreateGroup组的成员将不能创建Office 365群组 。

李 章毅
Exchange MVP

李 章毅

找张正经又不装逼的照片挺难的。。。
李 章毅
Exchange MVP

李 章毅 的最新文章 (查看所有)

发布于: 浏览:176 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。