To, że bezpośrednio w Teams każdy użytkownik może założyć zespół, jest zmorą administratorów IT, dla których zapanowanie nad porządkiem w Azure Active Directory jest w tym przypadku nie lada wyzwaniem. Dzieje się tak, ponieważ każdy zespół utworzony w Ms Teams tworzy de facto w AAD grupę typu „Office365”.

Na szczęście istnieje sposób na to, by ograniczyć to prawo. Musimy utworzyć jakąś jedną grupę typu „Zabezpieczenia” (ang. Security group), w której będą znajdować się konta, które nadal będą mogły tworzyć grupy i zespoły. Wszyscy inni będą mieć tę funkcjonalność zablokowaną. Muszę jednak ostrzec, że osoby znajdujące się w tej grupie muszą mieć licencję na Azure Active Directory Premium P1 lub wyższą.

Jak mamy już grupę, dajmy na to o nazwie „Kompania_Informatyczna_Twórcy_Grup365”, dalej posługujemy się PoweShellem i instalujemy moduł AzureAD Preview:

install-module AzureADPreview

Następnie wykonujemy poniższy kod (nazwę grupy w pierwszej linijce można zastąpić własną):

$GroupName = „Kompania_Informatyczna_Twórcy_Grup_365
$AllowGroupCreation = „False”

Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value „Group.Unified” -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq „group.unified”}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value „Group.Unified” -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy[„EnableGroupCreation”] = $AllowGroupCreation

if($GroupName)
{
$settingsCopy[„GroupCreationAllowedGroupId”] = (Get-AzureADGroup -SearchString $GroupName).objectid
}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Chciałbym także dodać, że ten kod tworzy politykę, w której tworzenie grup jest ogólnie zabronione, a wyjątkiem są osoby w grupie zabezpieczeń „Kompania_Informatyczna_Twórcy_Grup_365”. Konta administracyjne Office365 są jednak z tej polityki domyślnie wyłączone, dlatego nawet, gdy nie znajdują się w tej grupie zabezpieczęń, mogą tworzyć Grupy 365 oraz – tym samym – zespoły w Teams. Administratorzy nie potrzebują więc licencji AAD P1. Potrzebują jej konta nieadministracyjne, znajdujące się w grupie „Kompania_Informatyczna_Twórcy_Grup_365”.