Ми забороняємо користувачам створювати нові групи в Microsoft Teams/ Outlook

За замовчуванням всі користувачі вашого орендаря Azure можуть створити групи Microsoft 365. Групи Microsoft 365 - це універсальний інструмент доступу, але, створюючи кожну нову групу, автоматично створюються додаткові ресурси: команди, загальна поштова скринька з календарем в обмін в Інтернеті, сайту та бібліотеки в SharePoint Online, Group Yammer та T Group та T.D.

У цій статті ми розглянемо, як заборонити звичайним користувачам з новими групами команд/Outlook та T.D. У Microsoft 365. Щоб виконати це завдання, вам потрібно обмежити право створити уніфіковані групи в Азуреді. Зверніть увагу, що на даний момент неможливо заборонити користувачам лише групами команд. Заборона на створення нових груп застосовуватиметься до всіх послуг Microsoft 365 (SharePoint, Shophnage, OneNote, Yammer, Staffhub, Planner, Powerbi тощо.D.).

Цей скріншот показує, що користувач може створити нову групу з інтерфейсу команд або приєднатися до існуючого.

У цьому випадку ми забороняємо звичайним користувачам створювати нові групи Microsoft 365, а потім прописуємо групу адміністраторів у параметрі GroupCreationAllowedGroupid, який дозволяється створювати групи.

Встановіть модуль Azuread та AzureadPreview на PowerShell (нам потрібна команда Set-azureaddirectorySetting Доступний поки що лише в AzureadPreview)

Встановити-модуль asuread Встановити -модуль asureadpreview -aLlowClobber -force

Існує окремий модуль PowerShell для управління командами MS.

Підключіться до свого орендаря Azure:

Asureadpreview \ connect-azuread

Тепер ми створимо групу адміністраторів в Azure, яка може створити єдині групи в

Новий -AzureadGroup -Description "Члени створюють уніфіковані групи (включаючи команди)" -displayName "TeamsAdmins" $ HAT -Service -SecurityEnability $ Treamalnaminam "

Додайте до групи адміністраторів команд:

$ Group = "teamsadmins" $ User = "[email protected] " $ Groupobj = get -azureadgroup -SearchString $ Group $ Userobj = get -azureaduser -ObjectId $ user Додати -azureadgroupmeber -ObjectId $ groupobj.ObjectId -refobjectId $ userobj.ObjectId

Принесіть поточні права на створення груп команд:

$ settingsObjectId = (get -azureaddirectorySetingting | де -Object -Poperty DisplayName -Value "група".Уніфікований "-eq).Ідентифікатор (Get -AzureadDirectorySetting -ID $ settingsObjectId).Значення

В даному випадку EnableGroupCreation = true і значення GroupCreationallowedgroupid не дається. Це означає, що користувачі можуть створювати групи (Microsoft 365).

Якщо команди get-azureaddirectorySetting повернуть порожній масив (

Get-azureaddirectorySetting: не може прив’язати аргумент до параметра 'id', оскільки його null

), спочатку потрібно створити налаштування відповідно до інструкцій https: // вчитися.Microsoft.Com/en-sure/active-directory/enterprise-users/group-settings-cmdlets (кроки 1-6):

$ Templated = (get-azureaddirectorysettingtemplatte | де $ _.DisplayName -eq "група.Уніфікований ").Ідентифікатор $ Template = get-azureadirectorystingtemplate | Де -Поперетність ідентифікатор -значення $ templateId -eq $ Sett = $ шаблон.CreedirectorySetting () $ Налаштування ["Enablemiplabels"] = "true" New -zureaddirectorySetting -DirectorySetting $ Налаштування

Тепер ми дозволимо вам створити нові групи в Microsoft 365 лише для TeamSadmins:

$ Sett = get -zzureaddirectorySetting -Id (get -amureaddirectorySetting | uree -property displayname -value "група".Уніфікований "-eq).Ідентифікатор $ Налаштування ["enablegroupcreation"] = $ false $ Set ["groupCreationallowedgroupid"] = (get -azureadgroup -SearchString "TeamsAdmins").ObjectId Set -AzureadDirectorySetting -Id (get -AzureadDirectorySetting | Де -Поперетність дисплея -значення "Група".Уніфікований "-eq).Id -directorySeting $ Налаштування

Перевірте, чи змінилися дозволи на створення груп:

(Get-azureaddirectorySetting).Значення

Щоб повернути налаштування за замовчуванням та дозволити всім користувачам створювати групи Microsoft 365, виконайте команди:

$ Sett = get -zzureaddirectorySetting -Id (get -amureaddirectorySetting | uree -property displayname -value "група".Уніфікований "-eq).Ідентифікатор $ Налаштування ["enablegroupCreation"] = $ true $ Налаштування ["GroupCreationallowedGroupid"] = $ null Set -AzureadDirectorySetting -Id (get -AzureadDirectorySetting | Де -Поперетність дисплея -значення "Група".Уніфікований "-eq).Id -directorySeting $ Налаштування

Тепер запустіть команди під звичайним користувачем і перевірте, чи стала можливість створення нової групи команд недоступною. Користувач може зв’язатися лише з існуючими групами команд.

Щоб дозволити користувачеві створювати групи в Microsoft 364 (включаючи команди), вам потрібно додати їх до групи TeamSadmins.