- /
- /
- /
- /
- /
Microsoft Teams und Groups – Erstellung einschränken
Es ist möglich die Erstellung von Teams und Groups in einem bestimmten Rahmen möglich. Wie dies möglich ist, wird im folgenden Beitrag beschrieben:
Neu: https://www.rakoellner.de/knowledge-base/microsoft-teams-und-groups-erstellung-einschraenken/
Groups und Teams – Erstellung eingrenzen
Die Diskussionen sind seit der Möglichkeit der Erstellung von Office 365 Groups und Microsoft Teams eine große Diskussion.
Microsoft Teams Governance in Bezug auf die Erstellung von Gruppen
PowerShell Script und Auswirkungen
Es ist möglich die Erstellung von Groups/Teams einzuschränken. Im Rahmen dessen kann eine AAD Security Group oder auch eine Office 365 Gruppe ausgewählt werden, um die Mitglieder dieser Gruppe zu berechtigen Groups/Teams anzulegen. Alle anderen Mitglieder haben keine Möglichkeit ein Team anzulegen.
Problem Office 365 Group konvertiert zu Microsoft Teams
Diese Konfiguration wirkt nicht für den Fall, dass ein Owner einer Office 365 Gruppe angelegt worden ist und dieser die Möglichkeit hat die Office 365 Group in ein Microsoft Teams zu konvertieren. Diese Möglichkeit wird nicht durch das Skript, bzw. die Group Setting ($AllowGroupCreation = “False”) beeinflusst.
Nach Auskunft der Microsoft Produktgruppe ist das Konvertieren nicht einstellbar oder auch nur generell auszustellen. Es steht zwar auf dem Backlog, aber ist noch nicht in die Roadmap gewandert.
Damit ist alleine aus Compliance, aber auch auf Grund von Governance, eine Lücke entstanden, die man nicht schließen kann. Hierbei muss man genau überlegen, ob es sinnvoll ist.
Eine Alternative kann hier sensitivity Labeling sein, wobei hier aber auch wieder andere Herausforderungen entstehen.
Pre-Skripting
- Erstellen einer AD Security Group / Sync einer / O365 Group oder Sync einer.
- Zuordnen von Usern zu der Gruppe
Skript
Module
Get-InstalledModule
#Install
Install-Module -Name MicrosoftTeams
Update-Module -Name MicrosoftTeams
Install-Module -Name AzureADPreview -Force
Update-Module -name AzureADPreview -Force
#Connect
Connect-AzureAD
#Control
Get-AzureADDirectorySettingTemplate
#Configure
Attention: GroupName must be the O365 Group or AD Security Group // I would use a Security Group, because you can use this in a hybrid solution. For you I use the O365 Group.
// TeamsAdmins = Name der Gruppe oder des Teams bitte ändern
$GroupName = “TeamsAdmins”
$AllowGroupCreation = “False”
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq “group.unified”}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy[“EnableGroupCreation”] = $AllowGroupCreation
if($GroupName)
{
$settingsCopy[“GroupCreationAllowedGroupId”] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
else {
$settingsCopy[“GroupCreationAllowedGroupId”] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Optionen, um Teams anzulegen
Wenn ihr die Nutzer nun eine Option bieten wollt, dann könnt ihr folgende Optionen in Erwägung ziehen: (1 = häufig genutzt – 4 = wenig in Nutzung auf dem Markt)
- Supportticket über den üblichen Weg z.B. über ServiceNow
- Forms, SharePoint List, Approval und Flow zum Anlegen von Teams
- PowerApps, SharePoint List, Approval und Azure Automate zum Anlegen von Teams
- Adaptive Cards, SharePoint List, Approval und Azure Automate zum Anlegen von Teams
- Bot (Microsoft Bot Framework), SharePoint List, Approval und Azure Automate zum Anlegen von Teams
Natürlich lassen sich auch alle Varianten mit einander kombinieren.