首页
酷软
游戏
媒体
- 电影
- 剧集
- 动画
- 记录
- 综艺
- MV
- 有声世界
云资源
源码
更多
- 文库
- 系统
- web
- 站长帮
- 玩电脑
- 玩游戏
- 玩手机
- 涨姿势
- 玩软件
- 云图志
- 看漫画
- 微读书
- PS玩家
- 网文网语
- 硬件数码
- 编程开发
- 神秘之旅
- 福利线报
- 商业资源
- 网赚相关
- 健康加油站
赞助专区
云盘专区
资源阁
缘聚岛
BT种子库

[玩转系统] 阻止创建 Office 365 组

作者：精品下载站日期：2024-12-14 07:04:38 浏览：15 分类：玩电脑

阻止创建 Office 365 组

我是一个老派的 IT 人，在我的世界里，配置是通过 IT 部门或配置工具完成的。我不希望普通用户在我的环境中创建各种对象，无论是 Active Directory、Azure Active Directory 还是 Office 365。

在 Office 365 中，一切都不同了，多种服务（Outlook、Teams、Planner、SharePoint、PowerBI 等）都在底层使用 Office 365 组。因此，当用户在 Planner 中创建新计划或在 Teams 中创建新团队时，他们还会在 Azure Active Directory 中创建 Office 365 组。

我目前在一个 12,000 个用户的环境中工作，我最不想发生的事情是 12,000 个用户随机创建各种组，最终陷入一片混乱，没有人可以找到信息，并且无法在没有任何信息的情况下删除任何内容。伤害其他人。

解决方案是将新 Office 365 的创建分配给 Azure Active Directory 中的安全组（这可以是云对象或同步对象）。要在 Azure Active Directory 中创建新的安全组，可以使用以下 PowerShell 命令：

New-AzureADGroup -DisplayName "O365 Group Creators" -SecurityEnabled:$True -MailEnabled:$False -MailNickName "Nothing"

注意。还可以在 Azure AD 门户中创建安全组。

下一步是将创建 Office 365 组的权限分配给这个新的安全组。这只能通过使用 PowerShell 和 Azure AD 预览模块并使用以下脚本来实现：

$GroupName = "O365 Group Creators"
$AllowGroupCreation = "False"
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
  $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
  $settingsCopy = $template.CreateDirectorySetting()
  New-AzureADDirectorySetting -DirectorySetting $settingsCopy
  $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation
if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

当您运行此脚本时，您将看到类似的输出：

第一个框对应于我们在第一步中创建的安全组的objectID，只需与第一个屏幕截图中显示的ObjectID进行比较即可。

第二个框显示 EnableGroupCreation 属性 $false，表示不允许其他组创建 Office 365 组。

我们刚刚创建的安全组的所有成员都可以创建 Office 365 组。但也有一些例外，默认情况下也允许 Exchange 管理员、SharePoint 管理员、Teams 管理员和用户管理管理员创建 Office 365 组，但通常这些用户不是普通用户。

通过这种方式，您可以控制谁能够在您的环境中创建 Office 365 组，并确保组创建不会在您的租户中激增。

更多信息

管理谁可以创建 Office 365 组 - https://docs.microsoft.com/en-us/office365/admin/create-groups/manage-creation-of-groups?view=o365-worldwide
新 AzureADGroup - https://docs.microsoft.com/en-us/powershell/module/azuread/new-azureadgroup?view=azureps-2.0