Ciberseguridad

Cómo restringir la creación de grupos en Microsoft 365 a usuarios autorizados

Tiempo de lectura: 3 minutos

Microsoft 365 y Teams permiten la creación ágil de espacios colaborativos mediante grupos. Sin embargo, si esta capacidad no se gestiona adecuadamente, puede generar riesgos para la seguridad y desafíos de gobernanza. En este artículo explicamos cómo limitar la creación de grupos de Microsoft 365 a un conjunto específico de usuarios autorizados.

Riesgos de permitir la creación libre de grupos en Microsoft 365

Shadow IT: Creación de entornos fuera del control del área de TI.
Fragmentación de la información: Proliferación de grupos redundantes o mal definidos.
Sobrecarga administrativa: Dificultades para monitorear el cumplimiento de políticas y normativas.
Fugas de información: Accesos mal configurados que exponen datos sensibles.
Pérdida de gobernanza: Descontrol en la nomenclatura, retención y cumplimiento regulatorio.

Requisitos previos para restringir la creación de grupos

Para implementar esta configuración, es necesario:

Permisos de administrador en Microsoft Entra ID, con roles como Administrador global, de grupos, de seguridad, entre otros.
Conocimientos básicos de PowerShell.
Identificación previa de los usuarios autorizados.
Licencias: Microsoft Entra ID P1/P2 o Basic Education (EDU).

Recomendación de configuración: control centralizado

Mejor práctica: Restringir la creación de grupos en toda la organización y otorgar este privilegio solo a quienes lo requieran para su función.

Pasos para restringir la creación de grupos

Accede al portal de administración de Microsoft Entra ID.
Dirígete a: Identidad > Grupos > Configuración de grupos.
En la sección Grupos de Microsoft 365, selecciona No para impedir la creación de grupos.
Guarda los cambios.

Habilitar la creación de grupos solo para un grupo de seguridad

Esta política impacta directamente en Microsoft Teams. Si un usuario no está autorizado, no podrá crear nuevos equipos.

Recomendaciones adicionales

Comunicar el cambio a los usuarios afectados.
Establecer un canal de solicitud de nuevos grupos.

Configuración mediante PowerShell paso a paso

Crea un Grupo de Seguridad en Entra ID y anota su nombre.
Instala el módulo de PowerShell de Microsoft Graph.
Personaliza y ejecuta el siguiente script:


Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = "<Nombre del grupo creado en el paso 1>"
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
            @{
                   name = "EnableMSStandardBlockedWords"
                   value = $true
             }
              )
         }
         New-MgBetaDirectorySetting -BodyParameter $params
         
         $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
        }
        
        $groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
        
        $params = @{
            templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
            values = @(
                @{
                    name = "EnableGroupCreation"
                    value = $AllowGroupCreation
                }
                @{
                    name = "GroupCreationAllowedGroupId"
                    value = $groupId
                }
                )
            }
     
            Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
            
            (Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

La última línea del script muestra la actualización de las configuraciones:

Validaciones clave

EnableGroupCreation debe ser False.
GroupCreationAllowedGroupId debe coincidir con el GUID del grupo creado.
Verifica que los usuarios del grupo puedan crear grupos correctamente.

🕒 Nota: Los cambios pueden tardar hasta 30 minutos en reflejarse.

⚠️ Atención: Revisa también posibles bloqueos por políticas de OWA.

🤝 ¿Cómo puede ayudarte Allbit?

En Allbit ayudamos a las organizaciones a fortalecer la gobernanza y seguridad en entornos Microsoft 365, aplicando configuraciones alineadas con las buenas prácticas de Microsoft y los estándares del CCN-CERT.

👉 Solicita una revisión de seguridad de tu tenant M365 aquí

Sobre el autor:
Kevin Maldonado, LinkedIn

Técnico de Ciberseguridad en Allbit Solutions, especializado en la protección de entornos Microsoft 365 y endpoints. Cuenta con certificaciones de Microsoft en administración de identidades y seguridad (Identity and Access Administrator Associate, 2025; Azure Security Engineer Associate, 2024), entre otras acreditaciones.

Ver todas