Microsoft Teams: Benutzer am Erstellen von neuen Teams hindern


    Tags: , , ,

    Microsoft TeamsBei der Ein­führung von Micro­soft Teams stehen Unter­nehmen vor der Frage, wie sie den Wild­wuchs bei Teams und Channels in den Griff be­kommen. Ent­zieht man den Benutzern das Recht, Gruppen im Azure AD anzu­legen, dann können sie keine Teams mehr er­stellen. Das wirkt sich aber auch auf andere M365-Dienste aus.

    Bei Microsoft Teams können Benutzer in der Standard­einstellung ohne Einschränkung Teams und Kanäle nach Lust und Laune anlegen. Für jedes Team entsteht dabei im Hintergrund eine Gruppe im Azure Active Directory.

    Dies ist der von Microsoft empfohlene Weg, Benutzer sollen sich frei und ohne die IT-Abteilung entwickeln können. Die Realität schaut aber meistens anders aus, und die IT muss Wege finden, die Benutzer durch die Microsoft-365-Welt zu führen.

    Zentraler Entzug von Berechtigungen

    Die Berechtigung zum Anlegen von Gruppen lässt sich nur zentral für die gesamte Organisation konfigurieren. Wenn man diese den Benutzern entzieht, dann können sie keine Teams mehr erzeugen. Betroffen sind davon aber auch andere Anwendungen wie Outlook, SharePoint, Yammer oder Power BI.

    Ausgenommen von dieser Änderung sind Mitglieder der Rolle Globale Administratoren, nicht betroffen auch andere privilegierte Rollen wie Exchange-, Teams- oder SharePoint-Administratoren.

    Nachdem das Microsoft 365 Admin Center keine Möglichkeit bietet, die Erstellung von Gruppen zentral zu unterbinden, muss man hier zu PowerShell mit dem Azure AD Preview Modul greifen.

    Hinweis: Wenn das AzureAD-Modul bereits vorhanden ist, müsste dies vor der Installation des Azure AD Preview Moduls entfernt werden.

    Script zum Entziehen der Berechtigung für das Anlegen von Gruppen in Azure AD

    Nachdem das Script durchgelaufen ist, kann man sich die aktuellen Einstellungen mit diesem Befehl anzeigen lassen:

    (Get-AzureADDirectorySetting -Id $settingsObjectID).Values

    Das Script setzt die Eigenschaft EnableGroupCreation auf $false

    GroupCreationAllowedGroupID gibt die Gruppe aus, deren Mitglieder jetzt berechtigt sind, weitere Gruppen anlegen zu können.

    EnabledGroupCreation steht hier auf False, dies bedeutet, dass außer der definierte Gruppe und natürlich der oben erwähnten Rollen niemand mehr Gruppen anlegen darf.

    Hat man diese Änderung bei einem fremden Tenant vorgenommen, und keiner weiß mehr so genau, wie die Gruppe heißt, welche diese Einstellung inne hat, kann man sich wie folgt behelfen:

    Get-AzureADDirectorySetting

    (Get-AzureADDirectorySetting -Id <hier die ID eintragen>).Values

    Wenn ein Benutzer keine Berechtigung hat, Gruppen anzulegen, dann schaut es in Teams für ihn nun wie in der folgenden Abbildung aus.

    Aufgrund fehlender Berechtigungen fehlen die Möglichkeiten zu Anlegen von Teams

    Die üblichen Schaltflächen, um ein Team zu erstellen, sind jetzt nicht mehr vorhanden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.
    Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).

    // Kontakt: E-Mail //

    Ähnliche Beiträge

    Weitere Links

    1 Kommentar

    Eine schlechte Entscheidung, wenn so etwas gemacht wird. Dann darf ich mir im IT-Support (als externer Mitarbeiter) die Heulerei der Anwender anhören, nur weil die IT-Admins das so entschieden haben.

    Vielleicht sollten die IT-Admins auch viel mehr IT-Support machen, denn dann sie das den Anwendern direkt sagen, warum sie sich so entschieden haben.