Gestão de Grupos do Microsoft 365 – Restringir a criação de grupos

Publicado em por chesleysilva

Evitar a criação de Grupos

Em nosso último post, que você pode ler aqui, falamos sobre as políticas de expiração de grupos e agora vamos abordar sobre como podemos bloquear a criação de grupos do Microsoft 365 em nosso ambiente.

Soa um pouco estranho falar em bloquear a criação de grupos do Microsoft 365, lembrando da importância de um grupo no ambiente de nuvem da M365 podemos até pensar que não seja razoável uma política dessas.

Quando você limita quem pode criar um grupo, isso afeta todos os serviços que dependem de grupos para acesso, incluindo:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • Power BI (clássico)

Ou seja, podemos atestar que tecnicamente é bem invasivo e um bloqueio como esse pode reduzir bastante a colaboração entre funcionários na organização além de aumentar significativamente as solicitações a equipe de TI para que a criação de grupos possa ser realizada.

Portanto, essa decisão não pode ser exclusivamente da equipe de TI é necessário que tenhamos processos bem desenhados para termos essa solução aplicada em nosso ambiente.

Exceções a política

Após aplicar a política mais restritiva alguns grupos ainda conseguirão realizar a criação de grupos, isso devido a capacidade da condição administrativa que esses usuários possuem, listo abaixo:

  •  Administrador do Exchange: Centro de administração do Exchange, Azure AD
  • Administrador do SharePoint: Centro de administração do SharePoint, Azure AD
  • Administrador de Serviços do Teams: Centro de administração do Teams, Azure AD
  • Administrador do usuário: Centro de administração do Microsoft 365, Azure AD

Se você for membro de uma dessas funções, poderá criar um Grupos do Microsoft 365 para usuários restritos e, em seguida, atribuir o usuário como o proprietário do grupo.

Requisitos de licenciamento

Para poder aplicar as políticas os grupos abaixo precisam ter a licença Azure AD Premium habilitada:

  • O administrador que define essas configurações de criação de grupo
  • Os membros do grupo que têm permissão para criar grupos

As pessoas a seguir não precisam Azure AD licenças premium:

Pessoas que são membros de grupos do Microsoft 365 e que não têm a capacidade de criar outros grupos.

Etapas para criar a política

Etapa 1

Somente um grupo em sua organização pode ser usado para controlar quem é capaz de criar Grupos do Microsoft 365. Mas você pode aninhar outros grupos como membros desse grupo.

Os administradores nas funções listadas acima não precisam ser membros desse grupo: eles mantêm a capacidade de criar grupos.

  1. No centro de administração, vá para a página Grupos.
  2. Clique em Adicionar um Grupo.
  3. Escolha o tipo de grupo desejado. Lembre-se do nome do grupo! Você precisará disso posteriormente.
  4. Conclua a configuração do grupo, adicionando pessoas ou outros grupos que você deseja que possam criar grupos como membros (não proprietários).

Etapa 2: Executar comandos do PowerShell

Na janela do PowerShell, navegue até o local em que você salvou o

Execute o script digitando:

$Template = Get-AzureADDirectorySettingTemplate | Where {$_.DisplayName -eq "Group.Unified"}

Verifique se uma configuração do Azure AD já existe e carregue-a, se sim. Caso contrário, crie um objeto de configuração do Azure AD em branco. Execute o seguinte cmdlet para preencher a variável “$Setting”:

if(!($Setting = Get-AzureADDirectorySetting | Where {$_.TemplateId -eq $Template.Id})) {$Setting = $Template.CreateDirectorySetting()}

Execute o seguinte cmdlet para modificar a configuração de criação de grupo para seu locatário com o atributo “EnableGroupCreation”:

$Setting["EnableGroupCreation"] = "False"

Execute o seguinte cmdlet para adicionar o grupo de segurança GroupCreators recém-criado como um grupo permitido para criar grupos, por seu ObjectID:

$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString " Criar_grupos365").objectid

Revise as alterações que você acabou de configurar com o seguinte comando:

$Setting.Values

Teste as configurações recém-definidas.

No grupo Criar_grupos365 eu tenho apenas um usuário e esse usuário pode criar grupos no M365

Como exemplo utilizo um usuário que está fora do grupo que criamos e esse usuário não tem a capacidade de criar grupos do Microsoft 365, neste caso utilizo o planner como exemplo:

O botão “criar plano” está inativo.

Se for criar uma equipe no teams vamos ter o seguinte resultado ao clicar em “Criar uma equipe ou Ingressar”

Não temos a opção de criar equipes.

Reverta a alteração para permitir que os usuários criem equipes.

  1. Carregue o modelo de grupo unificado do Azure AD usando o seguinte cmdlet:
$Template = Get-AzureADDirectorySettingTemplate | Where {$_.DisplayName -eq "Group.Unified"}
  • Carregue o modelo de grupo unificado do Azure AD usando o seguinte cmdlet:
$Template = Get-AzureADDirectorySettingTemplate | Where {$_.DisplayName -eq "Group.Unified"}
  • Crie um objeto de configurações de locatário do Azure AD em branco:
$Setting = $Template.CreateDirectorySetting()
  • Aplique as configurações definidas para reverter as alterações anteriores:
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where {$_.DisplayName -eq "Group.Unified"}).id -DirectorySetting $Setting

Nesta tarefa, você criou com êxito um novo grupo de segurança e configurou as configurações do Azure AD para restringir a criação de novos grupos apenas aos membros desse grupo.

 No final da tarefa, você testou com êxito as novas restrições de criação de grupo.

Entre o ambiente de teste e o ambiente de produção existe uma diferença escatológica, antes de aplicar essa solução busque entender os negócios da organização e tenha em mente que os processos são bem importantes em todo o ciclo da tecnologia da informação.

Referências

https://docs.microsoft.com/pt-br/microsoft-365/solutions/collaboration-governance-overview?view=o365-worldwide

Deixe um comentário