Standardmäßig kann jeder Benutzer Ihres Azure-Mandanten Microsoft 365-Gruppen erstellen. Wenn ein Benutzer eine neue Microsoft 365-Gruppe erstellt, werden automatisch zusätzliche Ressourcen erstellt: eine Teams-Gruppe, ein freigegebenes Postfach und einen Kalender in Exchange Online, eine Website- und Dokumentbibliothek in SharePoint Online, eine Yammer-Gruppe und so weiter.
In diesem Artikel werden Möglichkeiten beschrieben, mit denen Sie verhindern können, dass normale Benutzer (ohne Administratorrechte) neue Gruppen in Microsoft 365 (Teams/Outlook und andere) erstellen. Als Erstes müssen Sie die Berechtigungen zum Erstellen einheitlicher Gruppen in AzureAD einschränken. Beachten Sie, dass es derzeit nicht möglich ist, Benutzer daran zu hindern, nur Teams-Gruppen zu erstellen. Das Verbot der Erstellung neuer Gruppen gilt für alle Microsoft 365-Dienste, einschließlich SharePoint, Exchange, OneNote, Yammer, Planner, PowerBI usw.
In diesem Screenshot können Sie sehen, dass der Benutzer über die Teams-Oberfläche eine neue Gruppe (Team) erstellen oder einer bestehenden Gruppe beitreten kann.
In diesem Fall verhindern wir, dass reguläre Benutzer neue Microsoft 365-Gruppen erstellen. Sobald das erledigt ist, verwenden wir dieGroupCreationAllowedGroupIdParameter, der es nur Administratoren erlaubt, neue Gruppen zu erstellen.
Installieren Sie die Module AzureADPreview und AzureAD PowerShell auf dem Computer (Set-AzureADDirectorySettingDas von uns benötigte Cmdlet ist derzeit nur in AzureADPreview verfügbar.
Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force
Stellen Sie eine Verbindung zu Ihrem Azure-Mandanten her:
AzureADPreviewConnect-AzureAD
Erstellen wir nun eine Gruppe von Azure-Administratoren, die einheitliche Gruppen erstellen können:
New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -Description "Members can create new Unified Groups (including Teams)"
Mehr lesen:So migrieren Sie Verteilergruppen zu Microsoft 365
Und fügen Sie Teams-Administratorkonten zur Gruppe hinzu:
$Group = "TeamsAdmins"
$User = "[email protected]"
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId
Sehen wir uns die aktuellen Berechtigungen zum Erstellen von Teams-Gruppen an:
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Hier,EnableGroupCreation = trueUndGroupCreationAllowedGroupID = not set, was bedeutet, dass Benutzer Teams-Gruppen (Microsoft 365) erstellen können.
Wenn das Cmdlet Get-AzureADDirectorySetting ein leeres Array zurückgibt (Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null), müssen Sie zunächst die Einstellungen wie in der Anleitung beschrieben konfigurierenhttps://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlets(Schritte 1 bis 6):
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId –EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting
Lassen Sie uns nun die Erstellung neuer Gruppen in Microsoft 365 nur für die Gruppe TeamsAdmins zulassen:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
Und überprüfen Sie, ob die Berechtigungen zur Gruppenerstellung geändert wurden:
(Get-AzureADDirectorySetting).Values
Wenn Sie die Konfiguration auf die Standardeinstellungen zurücksetzen und allen Benutzern erlauben möchten, Microsoft 365-Gruppen zu erstellen, führen Sie die folgenden Befehle aus:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
Führen Sie Teams nun als normaler Benutzer (ohne Administratorrechte) aus, um zu überprüfen, ob die Option zum Erstellen einer neuen Teams-Gruppe nicht mehr verfügbar ist. Der Benutzer kann sich jetzt nur noch mit den bestehenden Teams-Gruppen verbinden.
Damit ein Benutzer Gruppen in Microsoft 365 (einschließlich Teams) erstellen kann, müssen Sie das Benutzerkonto zur TeamsAdmins-Gruppe hinzufügen.
