Teams

Office 365 Teams che confusione!

Ci capita sempre più spesso durante le fasi di Assessment di trovare Tenant office 365 con una marea di Team e relativi siti SharePoint inutilizzati e\o con nomi assurdi ?  

Team fantacalcio, Team Pizzata, Team calcetto e infine la solita sfilza di Team “Test” infinita 😀  

Tutta roba legittima per carità o forse no?!  

Come un IT Admin può evitare che si crei questa situazione?  

Nell’approccio 365, sin da subito Microsoft ha dato maggiore autonomia agli utenti nella gestione delle operazioni cosiddette “easy”; questo per snellire e velocizzare tutte quelle attività che sono da sempre state gestite dal reparto IT, come ad esempio la membership delle Distribution List o banalmente il cambio password. In quest’ottica, di default su tutti i tenant ogni utente “semplice” ha la possibilità di creare Team in totale autonomia per poter cooperare con i propri colleghi e i collaboratori esterni senza richiedere assistenza al reparto IT. 

Come ben sapete la creazione di un Team comporta l’attivazione in automatico di  

  • una distribution list per lo scambio di mail 
  • un calendario dedicato per gestire meglio le call di gruppo 
  • un sito SharePoint che conterrà tutti i file che gli utenti si scambieranno all’interno del team
  • un OneNote dedicato per migliorare la collaborazione tra i membri del team 

Se è vero che questo concetto di autonomia da parte degli utenti può essere un pro per il reparto IT e per gli utenti stessi, dall’altra parte è altrettanto vero che può risultare un contro in quanto un utente poco attento può andare a creare Team a raffica (e tutti gli oggetti ad esso associati) senza rendersi davvero conto di quello che sta facendo. 

In questo articolo ti spiegheremo come dare le autorizzazioni solo ad un gruppo limitato di persone nel creare Team sul Tenant. 

COMINCIAMO 

Dall’interfaccia di amministrazione di Microsoft 365 nella sezione “Gruppi” – “Gruppi Attivi” cliccare su “Aggiungi un gruppo” 

Selezionare come tipo di gruppo “Sicurezza abilitata alla posta elettronica” e cliccare su “Avanti” 

Interruzione paginaInserire il nome del gruppo e una descrizione che aiuti a comprendere il motivo per cui è stato creato e cliccare su “Avanti” 

Inserire quello che sarà l’indirizzo di posta del gruppo 

Inserire la spunta nella voce “Comunicazione” se si desidera che il gruppo riceva mail da mittenti esterni alla nostra organizzazione o lasciarla deselezionata se si desidera ricevere mail solo da persone interne alla nostra organizzazione  

Verificare che le impostazioni siano quelle desiderate e cliccare su “Crea gruppo” 

Cliccare su “Chiudi” 

Nella sezione “Gruppi Attivi” andare a cercare il gruppo appena creato e selezionarlo per andare ad assegnargli un Proprietario e inserirne i Membri 

Cliccare su “Membri” 

Mediante “Visualizza tutti i proprietari” e “Visualizza tutti i membri e gestiscili” andare ad inserire gli utenti che potranno creare i Team.   

Chi scegliere come proprietario? 

Il proprietario sarà colui che potrà aggiungere o togliere i membri dal gruppo in autonomia.  

Il proprietario non potrà creare i Team a meno che non venga inserito anche tra i membri. 

Cercare il suo nome o cognome e selezionarlo dalla lista degli utenti presenti nel tenant. 

Una volta selezionato cliccare sulla freccetta “back”  

per andare ad inserire i membri del gruppo 

cliccare su “Visualizza tutti i membri e gestiscili” 

Cliccare su “+ Aggiungi Membri” 

Cercare e selezionare i membri da inserire all’interno del gruppo e cliccare su “Add” 

Cliccare sulla freccia “Back” 

Ecco fatto ? 

Ora solo gli utenti “Elected Users 1” e “Elected User 2” potranno creare Team sul tenant.  

Una volta creato il gruppo 

Aprire un file notepad e incollare al suo interno questo testo andando a inserire al posto di “<GroupName>” il nome del gruppo creato nei passaggi precedenti (Group Creators) 

$GroupName = “<GroupName>” 

$AllowGroupCreation = $False 

Connect-AzureAD 

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id 

if(!$settingsObjectID) 

{ 

    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq “group.unified“} 

    $settingsCopy = $template.CreateDirectorySetting() 

    New-AzureADDirectorySetting –DirectorySetting $settingsCopy 

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value “Group.Unified” -EQ).id 

} 

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID 

$settingsCopy[“EnableGroupCreation“] = $AllowGroupCreation 

if($GroupName) 

{ 

  $settingsCopy[“GroupCreationAllowedGroupId“] = (Get-AzureADGroup –SearchString $GroupName).objectid 

} 

 else { 

$settingsCopy[“GroupCreationAllowedGroupId“] = $GroupName 

} 

Set-AzureADDirectorySetting -Id $settingsObjectID –DirectorySetting $settingsCopy 

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values 

Salvare il file con estensione .ps1  

Aprire come administrator la PowerShell del proprio pc e lanciare i seguenti comandi 

Uninstall-Module AzureAD 

Install-Module AzureADPreview 

Posizionarsi sempre tramite PowerShell nel percorso in cui abbiamo salvato il nostro file .ps1 (nella nostra demo c:\Temp\)  

Digitare il nome del file preceduto da .\ 

E dare invio 

Inserire le credenziali di un utente global administrator del tenant Office 365 

Quando lo script avrà terminato le sue operazioni, potremo verificarne l’output 

TESTIAMO 

Per effettuare un test basterà provare a creare una nuovo Team dall’App desktop o Web di Teams. 

Nell’immagine sottostante abbiamo ad esempio effettuato l’accesso a Teams web con l’utente “Elected User 1” (inserito tra i membri del gruppo a cui è permesso creare i team) e infatti è presente l’opzione “Crea un Team” 

Effettuando invece l’accesso con l’utente “Simple User” (non appartenente al nostro gruppo) vediamo nell’immagine sottostante che non è presente l’opzione “Crea un Team”  

Interruzione paginaMISSION COMPLETE!  

Al reparto IT adesso non rimarrà che modificare la membership del gruppo creato in modo da andare così a consentire o negare a nuovi utenti la possibilità di creare Team sul tenant.  

Se vorremo invece rimuovere interamente questa “restrizione” a livello di tenant sarà necessario andare a modificare lo script “groupcreators.ps1” togliendo dalla prima riga il nome del gruppo e inserendo semplicemente le virgolette come descritto qui sotto: 

$GroupName = “group creators” à $GroupName = “” 

E impostare a True la variabile nella riga 2 

$AllowGroupCreation = $False à $AllowGroupCreation = $True 

Nel prossimo articolo vedremo come migliorare ulteriormente la gestione dei Team aziendali quindi rimanete in sync ? su questi canali   

Un saluto 

Lo Staff di Yooda 


Pubblicato

in

da

Tag: