Drücke "Enter", um den Text zu überspringen.

Erstellen von Teams und Groups einschränken

Du bist hier:
< zurück

Es ist möglich die Erstellung von Teams und Groups in einem bestimmten Rahmen möglich. Wie dies möglich ist, wird im folgenden Beitrag beschrieben:

Groups und Teams – Erstellung eingrenzen

Die Diskussionen sind seit der Möglichkeit der Erstellung von Office 365 Groups und Microsoft Teams eine große Diskussion. 

Microsoft Teams Governance in Bezug auf die Erstellung von Gruppen

PowerShell Script und Auswirkungen

Es ist möglich die Erstellung von Groups/Teams einzuschränken. Im Rahmen dessen kann eine AAD Security Group oder auch eine Office 365 Gruppe ausgewählt werden, um die Mitglieder dieser Gruppe zu berechtigen Groups/Teams anzulegen. Alle anderen Mitglieder haben keine Möglichkeit ein Team anzulegen.

 

Gruppen, die trotz des Konfiguration Gruppen erstellen dürfen:

 

  • Exchange-Administrator: Exchange Admin Center, Azure AD
  • Partnersupport der Ebene 1: Microsoft 365 Admin Center, Exchange Admin Center, Azure AD
  • Partnersupport der Ebene 2: Microsoft 365 Admin Center, Exchange Admin Center, Azure AD
  • Verzeichnisautoren: Azure AD
  • SharePoint-Administrator: SharePoint Admin Center, Azure AD
  • Microsoft Teams-Dienstadministrator: Microsoft Teams Admin Center, Azure AD
  • Benutzerverwaltungsadministrator: Microsoft 365 Admin Center, Yammer, Azure AD

 

 

Mit Azure AD P1 Lizenz

Alle Nutzer, die Gruppen anlegen sollen und in der AAD Gruppe hinzugefügt wurden benötigen eine Azure AD P1 Lizenz. Mit dieser Lizenz erhalten diese die Möglichkeit Gruppen anlegen zu dürfen.

Ohne Azure AD P1 Lizenz

Alle Nutzer in der AAD Gruppe, die keine User der Gruppe A. sind, können keine Gruppen anlegen.  Wenn diese Mitglieder eine Rolle aus der Gruppe A. bekommen können diese wieder Gruppen anlegen.

https://docs.microsoft.com/de-de/microsoft-365/admin/create-groups/manage-creation-of-groups

Problem Office 365 Group konvertiert zu Microsoft Teams

Diese Konfiguration wirkt nicht für den Fall, dass ein Owner einer Office 365 Gruppe angelegt worden ist und dieser die Möglichkeit hat die Office 365 Group in ein Microsoft Teams zu konvertieren. Diese Möglichkeit wird nicht durch das Skript, bzw. die Group Setting ($AllowGroupCreation = “False”) beeinflusst.

Nach Auskunft der Microsoft Produktgruppe ist das Konvertieren nicht einstellbar oder auch nur generell auszustellen. Es steht zwar auf dem Backlog, aber ist noch nicht in die Roadmap gewandert. 

Damit ist alleine aus Compliance, aber auch auf Grund von Governance, eine Lücke entstanden, die man nicht schließen kann. Hierbei muss man genau überlegen, ob es sinnvoll ist. 

Eine Alternative kann hier sensitivity Labeling sein, wobei hier aber auch wieder andere Herausforderungen entstehen.

 

Pre-Skripting

  • Erstellen einer AD Security Group / Sync einer / O365 Group oder Sync einer.
  • Zuordnen von Usern zu der Gruppe

Skript 

Module

Get-InstalledModule

 

#Install

Install-Module -Name MicrosoftTeams 

Update-Module -Name MicrosoftTeams

 

Install-Module -Name AzureADPreview -Force

Update-Module -name AzureADPreview -Force

 

#Connect

Connect-AzureAD

 

#Control

Get-AzureADDirectorySettingTemplate

 

#Configure

 

Attention: GroupName must be the O365 Group or AD Security Group // I would use a Security Group, because you can use this in a hybrid solution. For you I use the O365 Group.

 

// TeamsAdmins = Name der Gruppe oder des Teams bitte ändern

$GroupName = “TeamsAdmins”   

$AllowGroupCreation = “False”

 

Connect-AzureAD

 

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id

if(!$settingsObjectID)

{

      $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq “group.unified”}

    $settingsCopy = $template.CreateDirectorySetting()

    New-AzureADDirectorySetting -DirectorySetting $settingsCopy

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id

}

 

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID

$settingsCopy[“EnableGroupCreation”] = $AllowGroupCreation

 

if($GroupName)

{

    $settingsCopy[“GroupCreationAllowedGroupId”] = (Get-AzureADGroup -SearchString $GroupName).objectid

}

 else {

$settingsCopy[“GroupCreationAllowedGroupId”] = $GroupName

}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

 

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

 

Hinweis – Lizenz

Für die Berechtigung in der AAD Gruppe wird eine P1 Lizenz für alle diese Nutzer benötigt, die bei E3 nicht enthalten ist. Ohne die P1 Lizenz wird die Erstellung beschränkt, aber die Nutzer in der Gruppe können keine Teams erstellen. Erstellen von Teams ist nur noch vom TeamsAdmin möglich per AdminCenter oder PowerShell.

 

Optionen, um Teams anzulegen

Wenn ihr die Nutzer nun eine Option bieten wollt, dann könnt ihr folgende Optionen in Erwägung ziehen:  (1 = häufig genutzt – 4 = wenig in Nutzung auf dem Markt)

  1. Supportticket über den üblichen Weg z.B. über ServiceNow
  2. Forms, SharePoint List, Approval und Flow zum Anlegen von Teams
  3. PowerApps, SharePoint List, Approval und Azure Automate zum Anlegen von Teams
  4. Adaptive Cards, SharePoint List, Approval und Azure Automate zum Anlegen von Teams
  5. Bot (Microsoft Bot Framework), SharePoint List, Approval und Azure Automate zum Anlegen von Teams

Natürlich lassen sich auch alle Varianten mit einander kombinieren. 

 

 

Schlagwörter: