Das Erstellen von Teams und M365-Gruppen einschränken
Sobald Benutzer eines Unternehmens die Anwendung Teams lizenziert und installiert haben legen diese erfahrungsgemäß direkt mit dem Benutzern der neuen App los. Das ist prinzipiell erstmal nichts schlechtes.
Sobald einer nach dem anderen User dann aber herausfindet, dass man auch eigene Teams erstellen kann wird es schnell nicht mehr ganz so übersichtlich. Bis hin zu solch einem „Wildwuchs“ an Teams und M365 Gruppen, dass die IT-Abteilung des jeweiligen Unternehmens nicht mehr mit dem entfernen der fälschlicherweise erstellten Teams und M365 Gruppen hinterher kommt.
Das gilt es zu verhindern.
Daher zeige ich im Folgenden, wie ich das Erstellen von Teams und M365-Gruppen auf Mitglieder einer dazu definierten Gruppe einschränken kann.
Einschränkung einstellen
Um das Erstellen der Gruppen/Teams auf eine Benutzergruppe einzuschränken muss diese logischerweise zuerst erstellt werden. Dazu eignen sich Sicherheitsgruppen oder M365-Gruppen.
Diese Gruppe kann entweder direkt im Tenant erstellt werden oder aus einem lokalen Active Directory mit dem AD-Connect synchronisiert werden.
Nachdem die Gruppe im Microsoft 365 Tenant verfügbar ist sollte der Gruppenname notiert werden, da dieser später noch benötigt wird.
Anschließend sollte in der lokalen PowerShell das Modul „AzureADPreview“ installiert werden. Das geht (sofern es nicht bereits installiert ist) mit folgendem Befehl:
Install-module AzureADPreview
Sobald auch das PowerShell Modul installiert ist kann folgendes PowerShell Skript in eine Textdatei kopiert werden. Dort sollte dann in der ersten Zeile der Wert „<GroupName>“ durch den Namen der zuvor erstellten Gruppe ersetzt werden.
$GroupName = „<GroupName>“
$AllowGroupCreation = $False
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value „Group.Unified“ -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq „group.unified“}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value „Group.Unified“ -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy[„EnableGroupCreation“] = $AllowGroupCreation
if($GroupName)
{
$settingsCopy[„GroupCreationAllowedGroupId“] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy[„GroupCreationAllowedGroupId“] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Danach kann das Textdokument mit der Endung „.ps1“ abgespeichert werden.
Nach dem Speichern kann das Dokument mit einem Rechtsklick auch schon mit der PowerShell ausgeführt werden.
Nach einem kurzen Moment ist das Skript fertig ausgeführt. Ab diesem Zeitpunkt können nur noch Mitglieder der im Skript angegebenen Gruppe Teams und M365-Gruppen erstellen.