Empêcher les utilisateurs de créer de nouveaux groupes dans Microsoft 365 (Teams/Outlook)

Par défaut, n'importe quel utilisateur de votre locataire Azure peut créer des groupes Microsoft 365. Lorsqu'un utilisateur crée un nouveau groupe Microsoft 365, des ressources supplémentaires sont automatiquement créées : un groupe Teams, une boîte aux lettres et un calendrier partagés dans Exchange Online, un site et une bibliothèque de documents dans SharePoint Online, un groupe Yammer, etc.

Cet article couvre les moyens d'empêcher les utilisateurs courants (non-administrateurs) de créer de nouveaux groupes dans Microsoft 365 (Teams/Outlook et autres). La première chose que vous devez faire est de restreindre les autorisations permettant de créer des groupes unifiés dans AzureAD. Notez qu’il n’est actuellement pas possible d’empêcher les utilisateurs de créer uniquement des groupes Teams. L'interdiction de créer de nouveaux groupes s'appliquera à tous les services Microsoft 365, notamment SharePoint, Exchange, OneNote, Yammer, Planner, PowerBI, etc.

Dans cette capture d'écran, vous pouvez voir que l'utilisateur peut créer un nouveau groupe (équipe) ou rejoindre un groupe existant depuis l'interface Teams.

Dans ce cas, nous empêcherons les utilisateurs réguliers de créer de nouveaux groupes Microsoft 365. Une fois cela fait, nous utiliserons leGroupCreationAllowedGroupIdparamètre pour autoriser uniquement les administrateurs à créer de nouveaux groupes.

Installez les modules AzureADPreview et AzureAD PowerShell sur l'ordinateur (leSet-AzureADDirectorySettingl'applet de commande dont nous avons besoin n'est actuellement disponible que dans AzureADPreview).

Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force

Connectez-vous à votre locataire Azure :

AzureADPreviewConnect-AzureAD

Plus de lecture :Comment migrer des groupes de distribution vers Microsoft 365

Créons maintenant un groupe d'administrateurs Azure pouvant créer des groupes unifiés :

New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -Description "Members can create new Unified Groups (including Teams)"

Et ajoutez des comptes d'administrateur Teams au groupe :

$Group = "TeamsAdmins"
$User = "[email protected]"
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

Voyons les autorisations actuelles pour créer des groupes Teams :

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Ici,EnableGroupCreation = trueetGroupCreationAllowedGroupID = not set, ce qui signifie que les utilisateurs peuvent créer des groupes Teams (Microsoft 365).

Si la cmdlet Get-AzureADDirectorySetting renvoie un tableau vide (Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null), vous devez d'abord configurer les paramètres comme décrit dans le guidehttps://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlets(Étapes 1 à 6) :

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId –EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting

Autorisons désormais la création de nouveaux groupes dans Microsoft 365 uniquement pour le groupe TeamsAdmins :

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Et vérifiez que les autorisations de création de groupe ont été modifiées :

(Get-AzureADDirectorySetting).Values

Si vous souhaitez réinitialiser la configuration aux valeurs par défaut et autoriser tous les utilisateurs à créer des groupes Microsoft 365, exécutez les commandes suivantes :

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Exécutez maintenant Teams en tant qu'utilisateur normal (non-administrateur) pour vérifier que l'option permettant de créer un nouveau groupe Teams n'est plus disponible. L'utilisateur ne peut désormais se connecter qu'aux groupes Teams existants.

Pour permettre à un utilisateur de créer des groupes dans Microsoft 365 (y compris Teams), vous devez ajouter le compte utilisateur au groupe TeamsAdmins.