阻止用户在 Microsoft 365 (Teams/Outlook) 中创建新组
默认情况下,Azure 租户中的任何用户都可以创建 Microsoft 365 组。当用户创建新的 Microsoft 365 组时,会自动创建其他资源:Teams 组、Exchange Online 中的共享邮箱和日历、SharePoint Online 中的网站和文档库、Yammer 组等。
本文介绍了阻止普通(非管理员)用户在 Microsoft 365(Teams/Outlook 等)中创建新组的方法。您需要做的第一件事是限制在 AzureAD 中创建统一组的权限。请注意,当前无法仅阻止用户创建 Teams 组。禁止创建新组将适用于所有 Microsoft 365 服务,包括 SharePoint、Exchange、OneNote、Yammer、Planner、PowerBI 等。
在此屏幕截图中,您可以看到用户可以从 Teams 界面创建新组(团队)或加入现有组。
在这种情况下,我们将阻止普通用户创建新的 Microsoft 365 组。完成后,我们将使用GroupCreationAllowedGroupId参数仅允许管理员创建新组。
在计算机上安装 AzureADPreview 和 AzureAD PowerShell 模块(Set-AzureADDirectorySetting我们需要的 cmdlet 目前仅在 AzureADPreview 中可用)。
Install-Module AzureAD
Install-module AzureADPreview -AllowClobber –Force
连接到您的 Azure 租户:
AzureADPreviewConnect-AzureAD
现在让我们创建一组可以创建统一组的 Azure 管理员组:
New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -Description "Members can create new Unified Groups (including Teams)"
并将 Teams 管理员帐户添加到组中:
$Group = "TeamsAdmins"
$User = "[email protected]"
$GroupObj = Get-AzureADGroup -SearchString $Group
$UserObj = Get-AzureADUser -ObjectId $User
Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId
让我们看看当前创建 Teams 组的权限:
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
这里,EnableGroupCreation = true和GroupCreationAllowedGroupID = not set,这意味着用户可以创建 Teams (Microsoft 365) 组。
如果 Get-AzureADDirectorySetting cmdlet 返回空数组 (Get-AzureADDirectorySetting : Cannot bind argument to parameter 'Id' because it is null),您首先需要按照指南中的说明配置设置https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlet(步骤 1 至 6):
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId –EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting
现在,我们只允许在 Microsoft 365 中为 TeamsAdmins 组创建新组:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
并检查组创建权限是否已更改:
(Get-AzureADDirectorySetting).Values
如果要将配置重置为默认值并允许所有用户创建 Microsoft 365 组,请运行以下命令:
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $True
$Setting["GroupCreationAllowedGroupId"] = $null
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
现在以普通(非管理员)用户身份运行 Teams,以检查创建新 Teams 组的选项是否不再可用。用户现在只能连接到现有的 Teams 组。
若要允许用户在 Microsoft 365(包括 Teams)中创建组,您需要将用户帐户添加到 TeamsAdmins 组。
