Запрещаем пользователям создавать новые группы в Microsoft Teams/ Outlook

По умолчанию, все пользователи в вашем тенанте Azure могут создавать группы Microsoft 365 . Группы Microsoft 365 это универсальное средство доступа, но при создании каждой новой группы автоматически создаются дополнительные ресурсы: группа Teams, общий почтовый ящик с календарем в Exchange Online, сайт и библиотека в SharePoint Online, группа Yammer и т.д.

В этой статье мы рассмотрим, как запретить простым пользователям создавать новые группы Teams/Outlook и т.д. в Microsoft 365. Для реализации этой задачи вам нужно ограничить права на создание Unified Groups в AzureAD. Обратите внимание, что на данный момент невозможно запретить создавать пользователям только группы Teams. Запрет на создание новых групп будет распространяться на все сервисы Microsoft 365 (SharePoint, Exchnage, OneNote, Yammer, StaffHub, Planner, PowerBI и т.д.).

На данном скриншоте видно, что пользователь может создать новую группу из интерфейса Teams или присоединиться к существующей.

В данном случае мы запретим простым пользователям создавать новые группы Microsoft 365, и затем пропишем в параметре GroupCreationAllowedGroupId группу администраторов, которая разрешено создавать группы.

Установите на компьютере PowerShell модуль AzureAD и AzureADPreview (нужный нам командлет Set-AzureADDirectorySetting доступен пока только в AzureADPreview)

Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force

Подключитесь к своему тенанту Azure:

AzureADPreviewConnect-AzureAD

Теперь создадим в Azure группу администраторов, которые могут создавать Unified группы в

New-AzureADGroup -Description "Members can create Unified Groups (including Teams)" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -MailNickName "teamsadmins"

Добавьте в группу учетные записи администраторов Teams:

$Group = "TeamsAdmins"
$User = " [email protected] "
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

Выведите текущие права на создание групп Teams:

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

В данном случае EnableGroupCreation = true и значение GroupCreationAllowedGroupID не задано . Это значит, что пользователи могут создавать группы Teams (Microsoft 365).

Если командлет Get-AzureADDirectorySetting возвращает пустой массив ( Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null ), нужно сначала создать настройки согласно инструкции https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlets (Шаги 1 – 6):

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId –EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting

Теперь разрешим создавать новые группы в Microsoft 365 только для группы TeamsAdmins:

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Проверьте, что разрешения на создание групп были изменены:

(Get-AzureADDirectorySetting).Values

Чтобы вернуть дефолтные настройки и разрешить всем пользователям создавать группы Microsoft 365, выполните команды:

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Теперь запустите Teams под обычным пользователем и проверьте, что опция создания новой группы Teams стала недоступной. Пользователь может подключиться только с существующим группам Teams.

Чтобы разрешить пользователю создавать группы в Microsoft 364 (включая Teams), нужно добавить его в группу TeamsAdmins.

admin

Share
Published by
admin

Recent Posts

Apple: история логотипа

Как менялся логотип Apple на протяжении многих лет. Логотип Apple — это не просто символ,…

7 дней ago

Security Boot Fail при загрузке Acer — решение проблемы

Security Boot Fail при загрузке Acer — решение проблемы При загрузке ноутбука Acer с флешки,…

3 недели ago

Ноутбук не включается — варианты решения

Ноутбук не включается — варианты решения Если при попытке включить ноутбук вы обнаруживаете, что он…

3 недели ago

The AC power adapter wattage and type cannot be determined — причины и решение

The AC power adapter wattage and type cannot be determined — причины и решение При…

3 недели ago

Свистит или звенит блок питания компьютера — причины и решения

Свистит или звенит блок питания компьютера — причины и решения Некоторые владельцы ПК могут обратить…

3 недели ago

Мигает Caps Lock на ноутбуке HP — почему и что делать?

Мигает Caps Lock на ноутбуке HP — почему и что делать? При включении ноутбука HP…

3 недели ago