In O365 hat der User die Möglichkeit direkt oder automatisch Gruppen zu erstellen.
(Outlook, Sharepoint, Yammer, Teams, Planner etc.)
Einigen Firmen bzw. Administratoren ist diese Möglichkeit etwas zu viel und möchten diese Option gerne deaktivieren.
Da in der GUI diese Option fehlt, muss man die Shell bemühen.
Als ersten Schritt erstellt man sich eine Sicherheitsgruppe im AdminCenter, die später als Ausnahme
für User genommen wird, um Gruppen erstellen zu dürfen.
Danach braucht man die AzureAD-Shell in der man dann via Script die Funktion zur Gruppenerstellung für User deaktiviert und nur noch die eben erstellte Gruppe, mit deren Mitgliedern, die Erstellung erlaubt wird.
Script siehe Microsoft
Beispiel:
$GroupName = "IchDarfGruppen"
$AllowGroupCreation = "False"
Connect-AzureAD
try
{
$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified"}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}
catch
{
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation
If ($GroupName -eq "")
{
$SettingsCopy["GroupCreationAllowedGroupId"] = ""
}
Else
{
$SettingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Überprüfung mit Useraccount ohne Adminzugriff in Planner
Überprüfung mit der Shell:
Mehr Informationen gerne in einer unserer Schulungen