Wird die Groups und Teams Erstellung zugelassen, fördert das auf der einen Seite die Verwendung, andererseits fördert es den Wildwuchs. Es gilt also einen Mittelweg zu finden. Es gibt verschiedene Möglichkeiten der Provisionierung mit Tools oder Boardmitteln. Einer der Punkte über die man stolpert, ist, wie man abschalten kann, dass jeder Benutzer eine Office 365 Group und ein Teams Team erstellen kann. Als Teil der Governance Strategie, wird man also die Provisionierung einschränken.
Es gibt auch andere Anleitungen die sich auf MSOL beziehen. Diese sind jedoch veraltet. Stand des Artikels funktioniert es mit dem AzureADPreview PowerShell Modul.
Man kann also die Erstellung auf eine AD Gruppe einschränken, so dass anschließend nur noch Mitglieder Office 365 Groups und Teams erstellen dürfen.
Voraussetzungen
Es werden folgende Module benötigt, die wie folgt installiert werden können:
Install MSonline
Install AzureADPreview
# If module AzureAD is already installed, you'll get an error. In order to install them side by side use this instead:
Install AzureADPreview -AllowClobberIm Office 365 Admin Center – Groups eine neue Security Group anlegen, der Name lautet „Allow Groups Creation“ (falls der Name angepasst wird, muss das u.g. Skript ebenfalls auf den neuen Gruppennamen geändert werden).
Verbindung aufbauen
Als nächstes müssen die Module und die Verbindung aufgebaut werden:
import-module azureadpreview
import-module msonline
# Connect to those two endpoints, these commands support MFA
Connect-AzureAD
connect-msolgroupBerechtigungen zuweisen
Das folgende Skript holt sich die ID der zuvor angelegten Gruppe und setzt die Einstellung entsprechend.
$Template = Get-AzureADDirectorySettingTemplate | ? {$_.DisplayName -eq 'Group.Unified'}
$Setting = $template.CreateDirectorySetting()
$setting["EnableGroupCreation"] = $false
$group = Get-MsolGroup | ? {$_.DisplayName -eq "Allow Group Creation"}
Now remeber the ID of the group who should have access to
$id = $group.ObjectId.Guid
$setting["GroupCreationAllowedGroupId"] = $id
#Check settings:
$setting.value
#Apply settings:
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $SettingWenn es einen Fehler gibt:
#If you get this error: Set-AzureADDirectorySetting : Das Argument kann nicht an den Parameter "Id" gebunden werden, da es NULL ist.
#It is possible that no settings exist, so you need to run:
New-AzureADDirectorySetting -DirectorySetting $settingAnschließend kann es ein paar Minuten dauern, bis die Einstellungen wirken. Wenn man dass dann vergleicht, sollte es so aussehen:
Zusammenfassung
Die Provisionierung einschränken war der erste Schritt, der nächste wäre eine professionelle Provisionierung mit Vorlagen. Dennoch ist somit schon mal eingeschränkt, wer Groups/Teams erstellen darf, ein Wildwuchs ist nicht mehr möglich.
Referenz
