Immer wieder ist es eine Anforderung, dass man die Erstellung von Teams und Office 365 Groups nur einem eingeschränktem Kreis zulassen möchte. Dies ist Bestandteil der Governance und Selfservice Strategie. Da dies nur per PowerShell möglich ist, hier ein kurzes Update, wie es geht.
Grundsätzlich muss vorher im Office 365 Portal eine Security Gruppe angelegt werden. Anschließend wird per PowerShell dieser Gruppe das Recht zur Erstellung gegeben.
PowerShell Modul
Aktuell geht diese Änderung nicht mehr im MSOnline Modul, aber auch nicht im AzureAD Modul, sondern nur im AzureADPreview Modul. Daher
Install-Module AzureADPreview -AllowClobber
PowerShell ausführen
Anschließend ist es nicht mehr allzu weit. Man muss sich verbinden, ein Template erstellen und zur Zuweisung der Gruppe die entsprechende ID holen. Es gibt auch das folgende Skript (Quelle: https://docs.microsoft.com/en-gb/microsoft-365/admin/create-groups/manage-creation-of-groups?view=o365-worldwide)
Import-module AzureADPreview
$GroupName = "<SecurityGroupName>"
$AllowGroupCreation = "False"
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation
if($GroupName)
{
$settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Zusammenfassung
Anschließend ist nur noch eine bestimme Gruppe berechtigt, Office 365 Groups und Teams zu Erzeugen. Im Client ist der Button dann noch da, lässt aber ausschließlich das teilnehmen von Teams zu.
Tipp: In diesem Zuge auch an SharePoint denken, hier gibt es auch Stellen, an denen ich es in dem Zusammenhang unterbinden möchte. Die Optionen finden sich in der SharePoint Central Admin.