PI Services

Le blog des collaborateurs de PI Services

Restreindre la création des groupes dans tous les services Office 365.

En effet dans 365, les utilisateurs peuvent créer facilement des groupes Office 365.

il est important de contrôler les personnes autorisées à créer des groupes.

Pour cela, nous allons voir comment créer un groupe de sécurité pour des utilisateurs qui ont besoin de créer des Groupes dans Office 365

 

Pres requis :

Installer la version préliminaire d’Azure Active Directory PowerShell pour Graph

Etape 1 : Installer la version la plus récente d’Azure Active Directory PowerShell pour Graph

Depuis la console powershell Vérifiez le module installé :

Get-InstalledModule -Name "AzureAD*"

Désinstaller la version précédente de AzureADPreview ou AzureAD, en exécutant la commande suivante :

Uninstall-Module AzureADPreview ou Uninstall-Module AzureAD

Maintenant il faut installer la dernière version de d’Azure Active Directory PowerShell pour Graph :

Install-Module AzureADPreview

 

Etape 2 : Exécuter le script PowerShell

Premièrement il faut créer le groupe de sécurité dont les personnes membre, seront autorisées à créer des groupes dans 365

Exemple : GG_APP_ALLOW_CREATEGROUP_0365

$GroupName = "GG_APP_ALLOW_CREATEGROUP_O365"

$AllowGroupCreation = "False"

$username = "LOGIN"

$password = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force

$cred = new-object -typename System.Management.Automation.PSCredential -argumentlist $username, $password

Connect-AzureAD -Credential $cred

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)

{

      $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}

    $settingsCopy = $template.CreateDirectorySetting()

    New-AzureADDirectorySetting -DirectorySetting $settingsCopy

    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID

$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)

{

    $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid

}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

 

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

 

Étape 3 : vérifier qu’elle fonctionne

Connectez-vous à Office 365 avec le compte d'utilisateur d'une personne qui ne doit PAS être autorisée à créer des groupes. C’est à dire les personnes qui ne sont pas membre du groupe « GG_APP_ALLOW_CREATEGROUP_0365 », groupe contenant des personnes autorisées à créer des groupes.

  1. Sélectionnez la vignette planificatrice.
  2. Dans le planificateur, sélectionnez nouveau plandans le volet de navigation de gauche pour créer un plan.
  3. Vous devriez recevoir un message indiquant que la création de plan et de groupe est désactivée.

Ajouter un commentaire

Loading