Запрещаем пользователям создавать новые группы в Microsoft Teams/ Outlook

По умолчанию, все пользователи в вашем тенанте Azure могут создавать группы Microsoft 365 . Группы Microsoft 365 это универсальное средство доступа, но при создании каждой новой группы автоматически создаются дополнительные ресурсы: группа Teams, общий почтовый ящик с календарем в Exchange Online, сайт и библиотека в SharePoint Online, группа Yammer и т.д.

В этой статье мы рассмотрим, как запретить простым пользователям создавать новые группы Teams/Outlook и т.д. в Microsoft 365. Для реализации этой задачи вам нужно ограничить права на создание Unified Groups в AzureAD. Обратите внимание, что на данный момент невозможно запретить создавать пользователям только группы Teams. Запрет на создание новых групп будет распространяться на все сервисы Microsoft 365 (SharePoint, Exchnage, OneNote, Yammer, StaffHub, Planner, PowerBI и т.д.).

На данном скриншоте видно, что пользователь может создать новую группу из интерфейса Teams или присоединиться к существующей.

в teams любой пользователь может создать новую группу

В данном случае мы запретим простым пользователям создавать новые группы Microsoft 365, и затем пропишем в параметре GroupCreationAllowedGroupId группу администраторов, которая разрешено создавать группы.

Установите на компьютере PowerShell модуль AzureAD и AzureADPreview (нужный нам командлет Set-AzureADDirectorySetting доступен пока только в AzureADPreview)

Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force

Подключитесь к своему тенанту Azure:

AzureADPreviewConnect-AzureAD

Теперь создадим в Azure группу администраторов, которые могут создавать Unified группы в

New-AzureADGroup -Description "Members can create Unified Groups (including Teams)" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -MailNickName "teamsadmins"

создать группу в microsoft 365 с помощью powershell

Добавьте в группу учетные записи администраторов Teams:

$Group = "TeamsAdmins"
$User = " [email protected] "
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

Выведите текущие права на создание групп Teams:

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

В данном случае EnableGroupCreation = true и значение GroupCreationAllowedGroupID не задано . Это значит, что пользователи могут создавать группы Teams (Microsoft 365).

powershell - права на создание новых групп teams/microsoft 365

Если командлет Get-AzureADDirectorySetting возвращает пустой массив ( Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null ), нужно сначала создать настройки согласно инструкции https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlets (Шаги 1 – 6):

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId –EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting

Теперь разрешим создавать новые группы в Microsoft 365 только для группы TeamsAdmins:

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Проверьте, что разрешения на создание групп были изменены:

(Get-AzureADDirectorySetting).Values

запретить создавать новые группы в teams

Чтобы вернуть дефолтные настройки и разрешить всем пользователям создавать группы Microsoft 365, выполните команды:

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Теперь запустите Teams под обычным пользователем и проверьте, что опция создания новой группы Teams стала недоступной. Пользователь может подключиться только с существующим группам Teams.

пользователю нельзя создать новую группу в teams

Чтобы разрешить пользователю создавать группы в Microsoft 364 (включая Teams), нужно добавить его в группу TeamsAdmins.

EnglishRussianUkrainian