Запрещаем пользователям создавать новые группы в Microsoft Teams/ Outlook

По умолчанию, все пользователи в вашем тенанте Azure могут создавать группы Microsoft 365 . Группы Microsoft 365 это универсальное средство доступа, но при создании каждой новой группы автоматически создаются дополнительные ресурсы: группа Teams, общий почтовый ящик с календарем в Exchange Online, сайт и библиотека в SharePoint Online, группа Yammer и т.д.

В этой статье мы рассмотрим, как запретить простым пользователям создавать новые группы Teams/Outlook и т.д. в Microsoft 365. Для реализации этой задачи вам нужно ограничить права на создание Unified Groups в AzureAD. Обратите внимание, что на данный момент невозможно запретить создавать пользователям только группы Teams. Запрет на создание новых групп будет распространяться на все сервисы Microsoft 365 (SharePoint, Exchnage, OneNote, Yammer, StaffHub, Planner, PowerBI и т.д.).

На данном скриншоте видно, что пользователь может создать новую группу из интерфейса Teams или присоединиться к существующей.

В данном случае мы запретим простым пользователям создавать новые группы Microsoft 365, и затем пропишем в параметре GroupCreationAllowedGroupId группу администраторов, которая разрешено создавать группы.

Установите на компьютере PowerShell модуль AzureAD и AzureADPreview (нужный нам командлет Set-AzureADDirectorySetting доступен пока только в AzureADPreview)

Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force

Подключитесь к своему тенанту Azure:

AzureADPreviewConnect-AzureAD

Теперь создадим в Azure группу администраторов, которые могут создавать Unified группы в

New-AzureADGroup -Description "Members can create Unified Groups (including Teams)" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -MailNickName "teamsadmins"

Добавьте в группу учетные записи администраторов Teams:

$Group = "TeamsAdmins"
$User = " [email protected] "
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

Выведите текущие права на создание групп Teams:

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

В данном случае EnableGroupCreation = true и значение GroupCreationAllowedGroupID не задано . Это значит, что пользователи могут создавать группы Teams (Microsoft 365).

Теперь разрешим создавать новые группы в Microsoft 365 только для группы TeamsAdmins:

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Проверьте, что разрешения на создание групп были изменены:

(Get-AzureADDirectorySetting).Values

Теперь запустите Teams под обычным пользователем и проверьте, что опция создания новой группы Teams стала недоступной. Пользователь может подключиться только с существующим группам Teams.

Чтобы разрешить пользователю создавать группы в Microsoft 364 (включая Teams), нужно добавить его в группу TeamsAdmins.