Teams und Office 365 Groups Erstellung einschränken

Immer wieder ist es eine Anforderung, dass man die Erstellung von Teams und Office 365 Groups nur einem eingeschränktem Kreis zulassen möchte. Dies ist Bestandteil der Governance und Selfservice Strategie. Da dies nur per PowerShell möglich ist, hier ein kurzes Update, wie es geht.

Grundsätzlich muss vorher im Office 365 Portal eine Security Gruppe angelegt werden. Anschließend wird per PowerShell dieser Gruppe das Recht zur Erstellung gegeben.

PowerShell Modul

Aktuell geht diese Änderung nicht mehr im MSOnline Modul, aber auch nicht im AzureAD Modul, sondern nur im AzureADPreview Modul. Daher

Install-Module AzureADPreview -AllowClobber

PowerShell ausführen

Anschließend ist es nicht mehr allzu weit. Man muss sich verbinden, ein Template erstellen und zur Zuweisung der Gruppe die entsprechende ID holen. Es gibt auch das folgende Skript (Quelle: https://docs.microsoft.com/en-gb/microsoft-365/admin/create-groups/manage-creation-of-groups?view=o365-worldwide)

Import-module AzureADPreview
$GroupName = "<SecurityGroupName>"
$AllowGroupCreation = "False"
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
	  $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation
if($GroupName)
{
	$settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Zusammenfassung

Anschließend ist nur noch eine bestimme Gruppe berechtigt, Office 365 Groups und Teams zu Erzeugen. Im Client ist der Button dann noch da, lässt aber ausschließlich das teilnehmen von Teams zu.

Tipp: In diesem Zuge auch an SharePoint denken, hier gibt es auch Stellen, an denen ich es in dem Zusammenhang unterbinden möchte. Die Optionen finden sich in der SharePoint Central Admin.

Autor: Dennis Hobmaier

Dennis Hobmaier ist Strategic Consultant bei AvePoint Deutschland GmbH. Er hat über 15 Jahre Erfahrung in IT-Enterprise Umgebung aller Größenordnungen und bedient Kunden aus den unterschiedlichsten Branchen. Als MCSE SharePoint hat er tiefgreifende Kenntnisse in den Bereichen Microsoft Active Directory, Windows, Azure, SharePoint und Office 365. Gerne teilt er seine Projekterfahrung mit Ihnen. Alle Beiträge von Dennis Hobmaier anzeigen