Standaard kan vrijwel iedereen in uw Azure-tenant nieuwe Microsoft 365-groepen aanmaken. Dat betekent dat ze Teams, gedeelde postvakken, SharePoint-sites, Yammer-groepen en alles wat daaraan gekoppeld is, kunnen aanmaken. Als u het zat bent dat uw gebruikers per ongeluk (of opzettelijk) alles volgooien met nieuwe groepen, kan dit artikel u wellicht helpen. Het belangrijkste doel is om de machtigingen voor het aanmaken van groepen te beperken, zodat slechts een selecte groep – bijvoorbeeld de beheerders – nieuwe resources kan aanmaken, terwijl alle anderen zich alleen bij bestaande groepen kunnen aansluiten. Dit is niet helemaal eenvoudig, vooral gezien de vele onderling verbonden services, maar het is wel mogelijk. Houd er rekening mee dat, zodra dit is geconfigureerd, gewone gebruikers zich alleen bij bestaande groepen kunnen aansluiten en geen nieuwe kunnen aanmaken, wat de chaos enigszins beperkt. Let wel, dit is niet selectief – het blokkeert het aanmaken van groepen in alle Microsoft 365-apps, niet alleen in Teams.
Hoe beperk ik het aanmaken van groepen in Microsoft 365 (met Azure AD)?
Methode 1: PowerShell gebruiken om het aanmaken van groepen te beveiligen
Allereerst, waarom is dit handig? Simpel gezegd, het beperkt wie nieuwe groepen kan aanmaken, omdat mensen soms zomaar op ‘Groep aanmaken’ klikken zonder erbij na te denken, wat voor een rommelige boel zorgt. Als dit niet wordt beheerd, kan het ook het beheer en de beveiliging bemoeilijken. Zonder toezicht kunnen mensen groepen met gevoelige informatie toevoegen of de resources overbelasten. Door PowerShell te gebruiken, kunt u afdwingen dat alleen bepaalde personen (zoals uw beheerdersgroep) nieuwe Microsoft 365-groepen mogen aanmaken, inclusief Teams. In sommige configuraties kan dit de eerste keer mislukken, of moet u PowerShell opnieuw starten of opnieuw verbinding maken, omdat de modules van Microsoft soms onvoorspelbaar kunnen zijn.
Dit heb je nodig: installeer de AzureADPreview-module, die de benodigde cmdlets bevat om de instellingen te configureren.
Install-Module AzureADPreview -AllowClobber -Force
Om verbinding te maken met uw huurder, voert u het volgende commando uit:
Connect-AzureADof, als je het rechtstreeks script,
AzureADPreview\Connect-AzureAD
Hier wordt u gevraagd om in te loggen als beheerder, dus zorg ervoor dat u de juiste machtigingen hebt. Vervolgens maakt u een groep aan voor de beheerders die groepen kunnen aanmaken:
New-AzureADGroup -MailNickName "TeamsAdmins" -DisplayName "TeamsAdmins" -MailEnabled $false -SecurityEnabled $true -Description "Members can create new groups"Vervolgens voegt u uw beheerders toe aan deze groep. Stel dat het e-mailadres van uw beheerder [email protected] is. Voer het volgende commando uit:
$Group = "TeamsAdmins" $UserEmail = "[email protected]" $GroupObj = Get-AzureADGroup -SearchString $Group $UserObj = Get-AzureADUser -ObjectId $UserEmail Add-AzureADGroupMember -ObjectId $GroupObj. ObjectId -RefObjectId $UserObj. ObjectIdDeze stap kan soms wat lastig zijn, vooral omdat het belangrijk is om de ObjectId-regels correct in te vullen. Controleer in het ergste geval de groeps- en gebruikers-ID’s nogmaals met de opdrachten Get-AzureADGroup en Get-AzureADUser.
Controleer vervolgens de huidige machtigingen voor het aanmaken van groepen:
$settingsObjectID = (Get-AzureADDirectorySetting | Where-Object -Property DisplayName -Value "Group. Unified" -EQ).id (Get-AzureADDirectorySetting -Id $settingsObjectID).ValuesZoek naar EnableGroupCreationen GroupCreationAllowedGroupId. Als EnableGroupCreationwaar is en er geen specifiek groeps-ID is ingesteld, kan iedereen groepen aanmaken. Om dit te beperken, moet je EnableGroupCreationop onwaar zetten en je beheerdersgroep specificeren:
$TemplateId = (Get-AzureADDirectorySettingTemplate | Where-Object { $_. DisplayName -eq "Group. Unified" }).Id $Template = Get-AzureADDirectorySettingTemplate -Id $TemplateId $Setting = $Template. CreateDirectorySetting() $Setting["EnableMIPLabels"] = "True" New-AzureADDirectorySetting -DirectorySetting $SettingAls die uitvoer leeg is of fouten geeft, is het raadzaam de officiële handleiding [hier](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlets) te raadplegen. De stappen voor het maken en instellen van de sjablonen zijn essentieel vanwege de manier waarop Azure AD standaardwaarden beheert.
Zodra de instellingen zijn geconfigureerd, wilt u het aanmaken van groepen beperken tot alleen uw beheerdersgroep:
$Settings = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | Where-Object -Property DisplayName -Value "Group. Unified" -EQ).id $Settings["EnableGroupCreation"] = $False $Settings["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "TeamsAdmins").ObjectId Set-AzureADDirectorySetting -Id $Settings. Id -DirectorySetting $SettingsControleer het nogmaals met
(Get-AzureADDirectorySetting).ValuesAls je dit later ongedaan wilt maken en iedereen weer groepen wilt laten aanmaken, voer dan het volgende commando uit:
$Settings = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | Where-Object -Property DisplayName -Value "Group. Unified" -EQ).id $Settings["EnableGroupCreation"] = $True $Settings["GroupCreationAllowedGroupId"] = $null Set-AzureADDirectorySetting -Id $Settings. Id -DirectorySetting $SettingsTest nu door in te loggen als een normale gebruiker in Teams of Outlook en controleer of de knop ‘Groep maken’ is uitgeschakeld. Als alles correct is ingesteld, kunnen ze alleen lid worden van bestaande groepen en geen nieuwe groepen aanmaken.
Als je niet vertrouwd bent met PowerShell of liever een grafische interface gebruikt, is het goed om te weten dat het instellen van machtigingen in de Azure-portal voor groepen en Teams ook kan helpen. Deze methode is echter de meest directe manier om de beperking wereldwijd voor alle services af te dwingen.
Methode 2: Dit doen via de Azure-portal (indien van toepassing)
Eerlijk gezegd lijkt Microsoft PowerShell voor dit soort dingen te verkiezen. De portal biedt gewoonweg niet dezelfde gedetailleerde controle over machtigingen voor het aanmaken van groepen. Toch is het de moeite waard om te controleren onder Azure Active Directory > Groepen > Instellingen of er een optie in de gebruikersinterface is voor beleidsregels voor het aanmaken van groepen, omdat nieuwere updates deze functies soms wel bevatten.
In sommige tenantconfiguraties ziet u mogelijk de instelling voor ‘Machtigingen voor het aanmaken van groepen’ onder Externe identiteiten of Groepsinstellingen. Als u deze ziet, kunt u deze instellen om het aanmaken van groepen te beperken of toe te staan, maar let op: de gedetailleerde controle vindt u meestal in PowerShell.
Samenvatting
- Gebruik PowerShell-modules (AzureADPreview) om beperkingen in te stellen voor het aanmaken van groepen.
- Maak een beheerdersgroep aan om te bepalen wie groepen kan aanmaken.
- Pas de instellingen aan via
Get-AzureADDirectorySettingenSet-AzureADDirectorySetting. - Test met reguliere gebruikersaccounts om de beperkingen te bevestigen.
Samenvatting
Het beveiligen van het aanmaken van groepen is niet super eenvoudig, maar eenmaal ingesteld, kan het een hoop gedoe voorkomen. Houd er rekening mee dat de configuratie wellicht wat aanpassingen vereist, met name aan de sjablonen en machtigingen, maar het is de moeite waard als je je omgeving overzichtelijker wilt houden. Vergeet niet: test wijzigingen altijd eerst met een regulier gebruikersaccount om te zien of de beperkingen daadwerkelijk van kracht blijven, anders kun je voor verrassingen komen te staan. Hopelijk helpt dit om de chaos onder controle te houden, en veel succes!