Il est simple pour les utilisateurs de créer des groupes Office 365 et vous n’êtes pas submergé de demandes pour les créer au nom d’autres personnes. Cependant, selon votre entreprise, vous souhaiterez peut-être contrôler qui a la capacité de créer des groupes.
Cet article explique comment désactiver la possibilité de créer des groupes dans tous les services Office 365 qui utilisent des groupes, notamment:
- Perspective
- SharePoint
- Geindre
- Équipes Microsoft
- Microsoft Stream
- StaffHub
- Planificateur
- PowerBI
- Feuille de route
Vous pouvez restreindre la création de groupes Office 365 aux membres d’un groupe de sécurité particulier. Pour configurer cela, vous devez utiliser Windows PowerShell.
Les étapes décrites dans cet article n’empêcheront pas les membres de certains rôles de créer des groupes. Les administrateurs Office 365 Global peuvent créer des groupes par n’importe quel moyen, tels que le centre d’administration Microsoft 365, Planner, Teams, Exchange et SharePoint Online.
D’autres rôles peuvent créer des groupes par des moyens limités, énumérés ci-dessous:
- Administrateur Exchange: Centre d’administration Exchange, Azure AD
- Prise en charge des partenaires de niveau 1: Centre d’administration Microsoft 365, Centre d’administration Exchange, Azure AD
- Prise en charge des partenaires de niveau 2: Centre d’administration Microsoft 365, Centre d’administration Exchange, Azure AD
- Rédacteurs d’annuaire: Azure AD
- Administrateur SharePoint: Centre d’administration SharePoint, Azure AD
- Administrateur du service Teams: Teams Admin Center, Azure AD
- Administrateur de gestion des utilisateurs: Centre d’administration Microsoft 365, Yammer, Azure AD
Si vous êtes membre de l’un de ces rôles, vous pouvez créer des groupes Office 365 pour les utilisateurs restreints, puis affecter l’utilisateur en tant que propriétaire du groupe. Les utilisateurs qui ont ce rôle peuvent créer des groupes connectés dans Yammer, quels que soient les paramètres PowerShell susceptibles d’empêcher la création.
Exigences de licence
Pour gérer qui crée les groupes, les personnes suivantes ont besoin de licences Azure AD Premium ou de licences Azure AD Basic EDU qui leur sont attribuées:
- L’administrateur qui configure ces paramètres de création de groupe.
- Les membres du groupe de sécurité autorisés à créer des groupes.
Les personnes qui sont membres de groupes Office 365 et qui n’ont pas la possibilité de créer d’autres groupes n’ont pas besoin de licences Azure AD Premium ou Azure AD Basic EDU qui leur sont attribuées.
Étape 1: créer un groupe de sécurité pour les utilisateurs qui doivent créer des groupes Office 365
Important: assurez-vous d’utiliser un groupe de sécurité pour restreindre les personnes autorisées à créer des groupes. Si vous essayez d’utiliser un groupe Office 365, les membres ne pourront pas créer un groupe à partir de SharePoint car il recherche un groupe de sécurité.
Un seul groupe de sécurité dans votre organisation peut être utilisé pour contrôler qui peut créer des groupes. Mais, vous pouvez imbriquer d’autres groupes de sécurité en tant que membres de ce groupe. Par exemple, le groupe nommé Autoriser la création de groupes est le groupe de sécurité désigné et les groupes nommés Utilisateurs de Microsoft Planner et Utilisateurs en ligne Exchange sont membres de ce groupe.
Les administrateurs dans les rôles répertoriés ci-dessus n’ont pas besoin d’être membres de ce groupe, car ils conservent leur capacité à créer des groupes.
Pour créer un groupe de sécurité, vous devrez suivre les étapes ci-dessous:
- Dans le centre d’administration, accédez à Groupes
- Cliquez sur Ajouter un groupe.
- Choisissez Sécurité comme type de groupe. Rappelez-vous le nom du groupe! Vous en aurez besoin plus tard.
- Terminez la configuration du groupe de sécurité, en ajoutant des personnes ou d’autres groupes de sécurité que vous souhaitez pouvoir créer des groupes dans votre organisation.
Étape 2: exécuter les commandes PowerShell
Vous devez utiliser la version d’aperçu d’Azure Active Directory PowerShell pour Graph (AzureAD) et le nom du module est Azure AD Preview.
Pour modifier le paramètre d’accès invité au niveau du groupe:
- Si vous n’avez installé aucune version du module Azure AD PowerShell auparavant, consultez Installation du module Azure AD et suivez les instructions pour installer la version d’aperçu publique.
- Si la version 2.0 de disponibilité générale du module Azure AD PowerShell (AzureAD) est installée, vous devez la désinstaller en exécutant Uninstall-Module AzureAD dans votre session PowerShell, puis installer la version d’aperçu en exécutant Install-Module AzureADPreview.
- Si vous avez déjà installé la version d’aperçu, exécutez Install-Module AzureADPreview pour vous assurer qu’il s’agit de la dernière version de ce module.
Remplacez <SecurityGroupName> par le nom du groupe de sécurité que vous avez créé.
Par exemple:
$GroupName = « Créateurs de groupe »
Enregistrez le fichier sous GroupCreators.ps1.
Dans la fenêtre PowerShell, accédez à l’emplacement où vous avez enregistré le fichier (tapez «CD»).
Exécutez le script en tapant:
. \ GroupCreators.ps1
Et connectez-vous avec votre compte administrateur lorsque vous y êtes invité.
Si, à l’avenir, vous souhaitez modifier le groupe de sécurité utilisé, vous pouvez réexécuter le script avec le nom du nouveau groupe de sécurité.
Si vous souhaitez désactiver la restriction de création de groupe et autoriser à nouveau tous les utilisateurs à créer des groupes, définissez $GroupName sur « » et $AllowGroupCreation sur « True » et réexécutez le script.
Voici l’exemple du script en entier:
$GroupName = « <SecurityGroupName> »
$AllowGroupCreation = « False »Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value « Group.Unified » -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq « group.unified »}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value « Group.Unified » -EQ).id
}$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy[« EnableGroupCreation »] = $AllowGroupCreationif($GroupName)
{
$settingsCopy[« GroupCreationAllowedGroupId »] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
else {
$settingsCopy[« GroupCreationAllowedGroupId »] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
M365 Journey 
Laisser un commentaire