Festlegen, wer Office365 Gruppen erstellen darf


Wer in Offic365 mit all den Zusammenarbeitsoptionen, die dort zur Verfügung gestellt werden, arbeitet, wird nach einer gar nicht langen Zeit feststellen, dass es eine große Menge von Office365 Gruppen gibt, bei denen man vielleicht sogar Mitglied ist und deren Bedeutung man oft nicht komplett versteht. Für Administratoren wird es dann sehr schwer, wenn es ans Aufräumen geht, die “unwichtigen” und die “Nur mal ein Test Gruppen” zu identifizieren und diese zu löschen. Dazu muss man zunächst wissen, wann und wie solche Gruppen erstellt werden können.

Office365 Gruppen können

  • direkt in Outlook
  • über die Office365 Admin Oberfläche
  • In Exchange Online
  • durch die Modern Sites in SharePoint Online (Teamsites (modern))
  • durch Teams in MS Teams
  • in Yammer
  • in StaffHub
  • in Planner
  • in PowerBi

erstellt werden. Das sind eine Menge Optionen und ich glaube viele, die im administrativen Bereich unterwegs sind, wären froh, wenn sie die Erstellung etwas “fokussierter” organisieren könnten.

In diesem Artikel möchte ich deshalb die Möglichkeit erläutern, mithilfe einer Sicherheitsgruppe die Erstellung von Office365 Gruppen innerhalb einer Infrastruktur auf die Mitglieder dieser Sicherheitsgruppe zu reduzieren. Das mag ggf. dem Gedanken von Office365 ein wenig entgegenstehen, aber ich denke, Microsoft hat nicht umsonst diese Option eingebaut Smile

Ich orientiere mich bei meiner Beschreibung an einen im Juni 2018 veröffentlichten Artikel im Support Bereich von Microsoft (Quelle: https://support.office.com/en-us/article/Manage-who-can-create-Office-365-Groups-4c46c8cb-17d0-44b5-9776-005fced8e618)

Voraussetzungen

  • Die im Artikel verwendeten PowerShell Cmdtl befinden sich (Stand Aug. 2018) in der “Preview Version of the Azure Active Directory PowerShell for Graph”
  • Die verwendeten PowerShell commands haben keinen Einfluss auf die Office365 Umgebung, sondern dienen ausschließlich der Sicherheitskonfiguration zur Erstellung von Office365 Gruppen.
  • Die erläuterten Einstellungen können nur einmal in einem Office365 Tenant durchgeführt werden. Beim Versuch dies ein zweites Mal durchzuführen erscheint die Fehlermeldung

    A conflicting object with one or more of the specified property values is present in the directory.

  • Mitglieder der folgenden Office365 Admin Gruppen können auch weiterhin Office365 Gruppen anlegen.
    • Global Admin
    • Mailbox Administrator
    • Partner Tier1 Support
    • Partner Tier2 Support
    • Directory Writers
  • Für die Einstellung ist es wichtig eine Sicherheitsgruppe zu verwenden.

Schritte zur Konfiguration

Anlegen eine Sicherheitsgruppe und hinzufügen der Benutzer, die auch weiterhin Office365 Gruppen anlegen dürfen. Als Sicherheitsgruppe kann entweder im Azure AD eine Sicherheitsgruppe angelegt werden oder im lokalen Active Directory und diese wird dann über AAD Connect synchronisiert. Im Beispiel ist eine AADConnect synchronisierte Sicherheitsgruppe mit dem Benutzer Gerd Gelb als einziges Mitglied verwendet worden.

image

Ggf. De-Installation älterer AzureAD Module, danach Installation des Modul AzureADPreview

image

Finden älterer Module

image

Löschen älterer Module

image

Installieren des aktuellen Moduls

image

image

Anmelden am AzureAD (mit gültigem Admin Account !)

image

Erfolgreich angemeldet

Jetzt müssen wir zunächst die ObjectID der vorher erzeugten Sicherheitsgruppe ermitteln.

Get-AzureADGroup -SearchString „<Name of your security group>“

Im Beispiel:

Get-AzureADGroup -SearchString „O365_AllowO365GroupCreation“

image

Nun werden die folgenden Commands wie folgt ausgefürt

$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq ‚Group.Unified‘}

$Setting = $Template.CreateDirectorySetting()

Danach das folgende Command:

New-AzureADDirectorySetting -DirectorySetting $Setting

(Sollte es hierbei zu einer Fehlermeldung kommen, geht es einfach mit dem folgenden Command weiter)

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value „Group.Unified“ -EQ).id

$Setting[„EnableGroupCreation“] = $False

$Setting[„GroupCreationAllowedGroupId“] = (Get-AzureADGroup -SearchString „O365_AllowO365GroupCreation“).objectid

(Hier bitte für den Parameter SearchString den eigenen Sicherheitsgruppennamen verwenden !)

Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value „Group.Unified“ -EQ).id -DirectorySetting $Setting

Und zum Schluß

(Get-AzureADDirectorySetting).Values

Das Ergebnis sollte dann wie folgt erscheinen

image

Nun geht es natürlich noch an die Prüfung zur Korrektheit. Dazu sollte man sich einmal mit einem Benutzer anmelden, der NICHT Mitglied der Sicherheitsgruppe ist und einmal mit einem Benutzer, der Mitglied der Sicherheitsgruppe ist. Zunächst erfolgt der Versuch eine Office365 Gruppe zu erstellen mit einem Benutzeraccount der NICHT Mitglied der Sicherheitsgruppe ist (Beate Blau)

image

Im zweiten Schritt erfolgt der Versuch mit einem Benutzer, der Mitglied der Sicherheitsgruppe ist (Gerd Gelb).

Zusammenfassung

Die beschriebene Vorgehensweise ermöglicht es Administratoren in einer großen Office365 Umgebung einen möglichen Wildwuchs beim Erstellen großer Mengen von Gruppen durch nicht ausreichend informierte Benutzer entgegenzuwirken.

Die verwendeten Scripte hier noch einmal in der Zusammenfassung

Get-InstalledModule -Name „AzureAD*“

Uninstall-Module AzureADPreview

Install-Module AzureADPreview

Connect-AzureAD

Get-AzureADGroup -SearchString „O365_AllowO365GroupCreation“
$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq ‚Group.Unified‘}

$Setting = $Template.CreateDirectorySetting()

New-AzureADDirectorySetting -DirectorySetting $Setting

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value „Group.Unified“ -EQ).id

$Setting[„EnableGroupCreation“] = $False

$Setting[„GroupCreationAllowedGroupId“] = (Get-AzureADGroup -SearchString „O365_AllowO365GroupCreation“).objectid

Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value „Group.Unified“ -EQ).id -DirectorySetting $Setting

(Get-AzureADDirectorySetting).Values


I am an independent IT Consultant focussing an Microsoft based technologies, mainly MS SharePoint MS Active Directory MS Office365 Training

Veröffentlicht in Office365

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d Bloggern gefällt das: