Запретить пользователям создавать новые группы в Microsoft 365 (Teams/Outlook)
По умолчанию любой пользователь из вашего тенанта Azure может создавать группы Microsoft 365. Когда пользователь создает новую группу Microsoft 365, автоматически создаются дополнительные ресурсы: группа Teams, общий почтовый ящик и календарь в Exchange Online, сайт и библиотека документов в SharePoint Online, группа Yammer и так далее.
В этой статье мы рассматриваем способы запретить обычным пользователям (не администраторам) создавать новые группы в Microsoft 365 (Teams/Outlook и другие). Первое, что вам нужно сделать, это ограничить разрешения на создание объединенных групп в AzureAD. Обратите внимание, что в настоящее время невозможно запретить пользователям создавать только группы Teams. Запрет на создание новых групп будет распространяться на все службы Microsoft 365, включая SharePoint, Exchange, OneNote, Yammer, Planner, PowerBI и т. д.
На этом скриншоте ниже видно, что пользователь может создать новую группу (команду) или присоединиться к существующей группе из интерфейса Teams.
Мы запретим обычным пользователям создавать новые группы Microsoft 365. Чтобы это сделать, мы будем использовать GroupCreationAllowedGroupId и оставим возможность создавать новые группы только администраторам.
Первое, что мы сделаем - это установим на компьютер модули AzureADPreview и AzureAD PowerShellSet-AzureADDirectorySetting.
Install-module AzureADPreview -AllowClobber –Force
Подключимся к нашему тенанту Azure:
AzureADPreview\Connect-AzureAD
Теперь необходимо создать группу администраторов Azure, которые смогут создавать группы:
New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -Description "Members can create new Unified Groups (including Teams)"
И теперь добавим в группу учетные записи администратора Teams:
$User = "useradm@contosa.onmicrosoft.com"
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId
Теперь проверим текущие разрешения для создания групп Teams:
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id (Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Здесь EnableGroupCreation = trueи GroupCreationAllowedGroupID = not set, означает, что пользователи могут создавать группы Teams (Microsoft 365).
Теперь давайте разрешим создание новых групп в Microsoft 365 только для группы TeamsAdmins:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
И проверим, что права на создание группы были изменены:
(Get-AzureADDirectorySetting).Values
Теперь запустим Teams от имени обычного пользователя (без прав администратора), чтобы убедиться, что возможность создания новой группы Teams больше недоступна. Теперь пользователь может подключаться только к существующим группам Teams.
Чтобы разрешить пользователю создавать группы в Microsoft 365 (включая Teams), необходимо добавить учетную запись пользователя в группу TeamsAdmins.