PROIT Office 365 Як заборонити користувачам створювати групи (disable create group)

Office 365, AD, Active Directory, Sharepoint, C #, Powershell. Технічні статті та нотатки.

Office 365 Як заборонити користувачам створювати групи (disable create group)

Друга проблема: ці групи починають з'являтися в списках груп в адміністративному інтерфейсі "Групи" як у Office 365, так і в Exchange Online, що створює труднощі в адмініструванні. Якщо таких користувачів 7 тисяч, як у нас, і хоча б кожен третій створить групу, то це перетвориться на моторошний головний біль адміністратора. Для невеликих компаній, можливо, цей функціонал корисний, але для великих організацій стає занадто важко цим керувати.

спочатку пізнішу зв'язкову статтю: Office 365 Planner: як заборонити створення планів (груп) Отже, Я провеладва експерименти з відключенняцього функціоналу: відключення параметраGroupCreationEnabledу політиці OwaMailboxPolicy через PowerShell (вдало), а також через генерування нових дозволів усередині політики користувачівDefault Role Assignment Policy(невдало). Виявилося, що політики Outlook Web Access (OWA) мають більший пріоритет, ніж політики користувачів, тому всі мої спроби змінити політику користувачів не мали успіху. Розкажу про обидва методи, т.к. Можливо, у певній ситуації може знадобитися і другий метод.

Стисло про ці групи. Сам Microsoft позиціонує їх як загальний ресурс для зберігання розмов, документів та подій календаря, який користувачі можуть самі собі створити. Це зовсім інший тип груп, який відрізняється від тих, до яких звик адміністратор (безпека Security Group або групи розсилки Distribution Group). Ця група чимось нагадує сайт (вузол) у SharePoint. Вони мають спільний простірна OneDrive, а також можуть використовуватися як групи розсилки (учасники групи можуть підписуватися на листи, які надходять до групи).

Для користувача блок груп у пошті має такий вигляд:

proit

office

office

Такі листи отримуватимуть передплатники групи:

proit

Ця команда змінює політику OWA "OwaMailboxPolicy-Default", яка, швидше за все, застосована у Вас до всіх скриньок користувачів. За створення груп відповідає параметр GroupCreationEnabled, встановлений за умовчанням у true. Цією командою ми встановлюємо його у false.

Команда вимагає тривалого часу на виконання, може сягати доби. Наприклад, адміністратор може цю функцію вже вимкнути, а в користувачів ще працювати деякий час. Посилання на створення групи може ще не зникнути, але при спробі створити групу з'являтиметься повідомлення:"Можливість створювати групи відключена користувачем, який керує вашою поштою (The group І навпаки, при зворотному включенні у користувачів може з'явитися протягом півгодини, а адміну потрібно чекати появи посилання "створити групу" майже добу.

Тепер питання: а як же дозволити створення груп якомусь певному користувачеві?

Одним із найпростіших способів є створення нової політики OWA, де вищезгадана можливість (GroupCreationEnabled) буде включена. Таку політику можна призначити будь-якому користувачеві, якому необхідно дати дозвіл на створення груп, наприклад адміністратору або повноважному користувачеві. Список усіх уже існуючих політик OWA можна переглянути з центру адміністрування Exchange (в менюДозволи>Політики OutlookWeb App):

proit

Або через PowerShell:(New-OwaMailboxPolicy)

Результатом буде виведено перелік властивостей новоствореної політики. Перевіряємо параметри, можна порівняти їх із політикою, яка використовується за умовчанням. Також дивимося, що параметрGroupCreationEnabledвстановлений у true. Тепер, якщо цю політику призначити певному користувачеві, він отримає можливість створювати групи.

Додавання політики користувачеві: