Ci capita sempre più spesso durante le fasi di Assessment di trovare Tenant office 365 con una marea di Team e relativi siti SharePoint inutilizzati e\o con nomi assurdi ?
Team fantacalcio, Team Pizzata, Team calcetto e infine la solita sfilza di Team “Test” infinita 😀
Tutta roba legittima per carità o forse no?!
Come un IT Admin può evitare che si crei questa situazione?
Nell’approccio 365, sin da subito Microsoft ha dato maggiore autonomia agli utenti nella gestione delle operazioni cosiddette “easy”; questo per snellire e velocizzare tutte quelle attività che sono da sempre state gestite dal reparto IT, come ad esempio la membership delle Distribution List o banalmente il cambio password. In quest’ottica, di default su tutti i tenant ogni utente “semplice” ha la possibilità di creare Team in totale autonomia per poter cooperare con i propri colleghi e i collaboratori esterni senza richiedere assistenza al reparto IT.
Come ben sapete la creazione di un Team comporta l’attivazione in automatico di
- una distribution list per lo scambio di mail
- un calendario dedicato per gestire meglio le call di gruppo
- un sito SharePoint che conterrà tutti i file che gli utenti si scambieranno all’interno del team
- un OneNote dedicato per migliorare la collaborazione tra i membri del team
Se è vero che questo concetto di autonomia da parte degli utenti può essere un pro per il reparto IT e per gli utenti stessi, dall’altra parte è altrettanto vero che può risultare un contro in quanto un utente poco attento può andare a creare Team a raffica (e tutti gli oggetti ad esso associati) senza rendersi davvero conto di quello che sta facendo.
In questo articolo ti spiegheremo come dare le autorizzazioni solo ad un gruppo limitato di persone nel creare Team sul Tenant.
COMINCIAMO
Dall’interfaccia di amministrazione di Microsoft 365 nella sezione “Gruppi” – “Gruppi Attivi” cliccare su “Aggiungi un gruppo”
Selezionare come tipo di gruppo “Sicurezza abilitata alla posta elettronica” e cliccare su “Avanti”
Interruzione paginaInserire il nome del gruppo e una descrizione che aiuti a comprendere il motivo per cui è stato creato e cliccare su “Avanti”
Inserire quello che sarà l’indirizzo di posta del gruppo
Inserire la spunta nella voce “Comunicazione” se si desidera che il gruppo riceva mail da mittenti esterni alla nostra organizzazione o lasciarla deselezionata se si desidera ricevere mail solo da persone interne alla nostra organizzazione
Verificare che le impostazioni siano quelle desiderate e cliccare su “Crea gruppo”
Cliccare su “Chiudi”
Nella sezione “Gruppi Attivi” andare a cercare il gruppo appena creato e selezionarlo per andare ad assegnargli un Proprietario e inserirne i Membri
Cliccare su “Membri”
Mediante “Visualizza tutti i proprietari” e “Visualizza tutti i membri e gestiscili” andare ad inserire gli utenti che potranno creare i Team.
Chi scegliere come proprietario?
Il proprietario sarà colui che potrà aggiungere o togliere i membri dal gruppo in autonomia.
Il proprietario non potrà creare i Team a meno che non venga inserito anche tra i membri.
Cercare il suo nome o cognome e selezionarlo dalla lista degli utenti presenti nel tenant.
Una volta selezionato cliccare sulla freccetta “back”
per andare ad inserire i membri del gruppo
cliccare su “Visualizza tutti i membri e gestiscili”
Cliccare su “+ Aggiungi Membri”
Cercare e selezionare i membri da inserire all’interno del gruppo e cliccare su “Add”
Cliccare sulla freccia “Back”
Ecco fatto ?
Ora solo gli utenti “Elected Users 1” e “Elected User 2” potranno creare Team sul tenant.
Una volta creato il gruppo
Aprire un file notepad e incollare al suo interno questo testo andando a inserire al posto di “<GroupName>” il nome del gruppo creato nei passaggi precedenti (Group Creators)
$GroupName = “<GroupName>”
$AllowGroupCreation = $False
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq “group.unified“}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting –DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy[“EnableGroupCreation“] = $AllowGroupCreation
if($GroupName)
{
$settingsCopy[“GroupCreationAllowedGroupId“] = (Get-AzureADGroup –SearchString $GroupName).objectid
}
else {
$settingsCopy[“GroupCreationAllowedGroupId“] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID –DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Salvare il file con estensione .ps1
Aprire come administrator la PowerShell del proprio pc e lanciare i seguenti comandi
Uninstall-Module AzureAD
Install-Module AzureADPreview
Posizionarsi sempre tramite PowerShell nel percorso in cui abbiamo salvato il nostro file .ps1 (nella nostra demo c:\Temp\)
Digitare il nome del file preceduto da .\
E dare invio
Inserire le credenziali di un utente global administrator del tenant Office 365
Quando lo script avrà terminato le sue operazioni, potremo verificarne l’output
TESTIAMO
Per effettuare un test basterà provare a creare una nuovo Team dall’App desktop o Web di Teams.
Nell’immagine sottostante abbiamo ad esempio effettuato l’accesso a Teams web con l’utente “Elected User 1” (inserito tra i membri del gruppo a cui è permesso creare i team) e infatti è presente l’opzione “Crea un Team”
Effettuando invece l’accesso con l’utente “Simple User” (non appartenente al nostro gruppo) vediamo nell’immagine sottostante che non è presente l’opzione “Crea un Team”
Interruzione paginaMISSION COMPLETE!
Al reparto IT adesso non rimarrà che modificare la membership del gruppo creato in modo da andare così a consentire o negare a nuovi utenti la possibilità di creare Team sul tenant.
Se vorremo invece rimuovere interamente questa “restrizione” a livello di tenant sarà necessario andare a modificare lo script “groupcreators.ps1” togliendo dalla prima riga il nome del gruppo e inserendo semplicemente le virgolette come descritto qui sotto:
$GroupName = “group creators” à $GroupName = “”
E impostare a True la variabile nella riga 2
$AllowGroupCreation = $False à $AllowGroupCreation = $True
Nel prossimo articolo vedremo come migliorare ulteriormente la gestione dei Team aziendali quindi rimanete in sync ? su questi canali
Un saluto
Lo Staff di Yooda