Από προεπιλογή, οποιοσδήποτε χρήστης από τον μισθωτή σας στο Azure μπορεί να δημιουργήσει ομάδες Microsoft 365. Όταν ένας χρήστης δημιουργεί μια νέα ομάδα Microsoft 365, δημιουργούνται αυτόματα πρόσθετοι πόροι: μια ομάδα Teams, ένα κοινόχρηστο γραμματοκιβώτιο και ένα ημερολόγιο στο Exchange Online, μια βιβλιοθήκη τοποθεσιών και εγγράφων στο SharePoint Online, μια ομάδα Yammer και ούτω καθεξής.
Αυτό το άρθρο καλύπτει τους τρόπους για να αποτρέψετε τους κοινούς (χωρίς διαχειριστές) χρήστες από τη δημιουργία νέων ομάδων στο Microsoft 365 (Ομάδες/Outlook και άλλα). Το πρώτο πράγμα που πρέπει να κάνετε είναι να περιορίσετε τα δικαιώματα για τη δημιουργία Ενοποιημένων Ομάδων στο AzureAD. Λάβετε υπόψη ότι προς το παρόν δεν είναι δυνατό να αποτρέψετε τους χρήστες από τη δημιουργία μόνο ομάδων ομάδων. Η απαγόρευση δημιουργίας νέων ομάδων θα ισχύει για όλες τις υπηρεσίες του Microsoft 365, συμπεριλαμβανομένων των SharePoint, Exchange, OneNote, Yammer, Planner, PowerBI κ.λπ.
Σε αυτό το στιγμιότυπο οθόνης, μπορείτε να δείτε ότι ο χρήστης μπορεί να δημιουργήσει μια νέα ομάδα (ομάδα) ή να συμμετάσχει σε μια υπάρχουσα ομάδα από τη διεπαφή Teams.
Σε αυτήν την περίπτωση, θα εμποδίσουμε τους τακτικούς χρήστες να δημιουργήσουν νέες ομάδες Microsoft 365. Μόλις γίνει αυτό, θα χρησιμοποιήσουμε τοGroupCreationAllowedGroupIdπαράμετρος που επιτρέπει μόνο στους διαχειριστές να δημιουργούν νέες ομάδες.
Εγκαταστήστε τις μονάδες AzureADPreview και AzureAD PowerShell στον υπολογιστή (τοSet-AzureADDirectorySettingΤο cmdlet που χρειαζόμαστε είναι προς το παρόν διαθέσιμο μόνο στο AzureADPreview).
Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force
Συνδεθείτε με τον ενοικιαστή σας Azure:
AzureADPreviewConnect-AzureAD
Τώρα ας δημιουργήσουμε μια ομάδα διαχειριστών Azure που μπορούν να δημιουργήσουν Ενοποιημένες Ομάδες:
New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -Description "Members can create new Unified Groups (including Teams)"
Και προσθέστε λογαριασμούς διαχειριστή Teams στην ομάδα:
$Group = "TeamsAdmins"
$User = "[email protected]"
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId
Ας δούμε τα τρέχοντα δικαιώματα για τη δημιουργία ομάδων ομάδων:
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Εδώ,EnableGroupCreation = trueκαιGroupCreationAllowedGroupID = not set, πράγμα που σημαίνει ότι οι χρήστες μπορούν να δημιουργήσουν ομάδες Teams (Microsoft 365).
Δείτε επίσης:Τρόπος μετεγκατάστασης ομάδων διανομής στο Microsoft 365
Εάν το cmdlet Get-AzureADDirectorySetting επιστρέψει έναν κενό πίνακα (Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null), πρέπει πρώτα να διαμορφώσετε τις ρυθμίσεις όπως περιγράφεται στον οδηγόhttps://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlets(Βήματα 1 έως 6):
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId –EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting
Τώρα ας επιτρέψουμε τη δημιουργία νέων ομάδων στο Microsoft 365 μόνο για την ομάδα TeamsAdmins:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
Και ελέγξτε ότι τα δικαιώματα δημιουργίας ομάδας έχουν αλλάξει:
(Get-AzureADDirectorySetting).Values
Εάν θέλετε να επαναφέρετε τις ρυθμίσεις παραμέτρων στις προεπιλογές και να επιτρέψετε σε όλους τους χρήστες να δημιουργήσουν ομάδες Microsoft 365, εκτελέστε τις ακόλουθες εντολές:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
Τώρα εκτελέστε το Teams ως κανονικός χρήστης (χωρίς διαχειριστή) για να ελέγξετε ότι η επιλογή δημιουργίας νέας ομάδας ομάδων δεν είναι πλέον διαθέσιμη. Ο χρήστης μπορεί πλέον να συνδεθεί μόνο με τις υπάρχουσες ομάδες ομάδων.
Για να επιτρέψετε σε έναν χρήστη να δημιουργεί ομάδες στο Microsoft 365 (συμπεριλαμβανομένου του Teams), πρέπει να προσθέσετε τον λογαριασμό χρήστη στην ομάδα TeamsAdmins.
