Office 365 Groups in de hand houden

Office 365 Groups (niet te verwarren met distributie- en/of securitygroepen) kan een mooie toegevoegde waarde hebben voor iedere organisatie die momenteel Office 365 gebruikt of gaat gebruiken. Zo kan een group door meerdere Office 365 applicaties worden gebruikt, heeft het een eigen Postvak IN, agenda, enz. en bevat het een distributielijst.

Een nadeel kan echter zijn dat eindgebruikers zelf Office 365 Groups aan kunnen maken, wat voor een wildgroei kan zorgen. Daarnaast kan de eindgebruiker iedere willekeurige naam geven aan de group, met als gevolg dat deze kunnen lijken op door AD Connect gesynchroniseerde security- en/of distributiegroepen. Het is dus wenselijk om dit in de hand te houden.

Prefix voor Office 365 Groups

Om ervoor te zorgen dat een Office 365 Group qua naam goed te onderscheiden is van security- en/of distributiegroepen, is het mogelijk om een default prefix te geven. Dit kan worden ingesteld in een “Group Naming Policy”. Maar waar vind ik dat?

Log met een Exchange-beheerder account in op https://login.microsoftonline.com en start het Exchange Admin Center.

Exchange online

Klik vervolgens op geadresseerden → groepen → … → Naamgevingsbeleid voor groepen configureren

Naamgevingsbeleid

Het naamgevingsbeleid bestaat uit twee delen, namelijk “algemeen” en “geblokkeerde woorden”.

Onder “algemeen” kan de prefix worden geconfigureerd. Hierin kunnen verschillende teksten worden gehanteerd. Zo is het mogelijk om een kenmerk te gebruiken, zoals bedrijf, afdeling, kantoor, enz. of kan gebruik worden gemaakt van plain text.

Inhoud naamgevingsbeleid

* in bovenstaand voorbeeld is gebruik gemaakt van plain text en is de prefix “O365_grp_”

resultaat naamgevingsbeleid

* bij het aanmaken van een nieuwe Office 365 Group, wordt de prefix automatisch toegepast

 

Limiteren van nieuwe Office 365 Groups

Om te voorkomen dat een wildgroei aan Office 365 Groups ontstaat, kan dit worden dichtgezet voor alle gebruikers, zodat dit enkel door Office 365 beheerders kan worden uitgevoerd. De accounts van de beheerders kunnen worden toegevoegd aan een nieuwe Office 365 Group. De leden van deze Group krijgen als enige permissies om Office 365 Groups aan te kunnen maken.

Om dit in te stellen zijn twee dingen nodig, namelijk:

–         Azure AD Powershell module (minimaal versie 1.1.130.0)

–         Microsoft Online Services Sign-in Assistant

Maak een nieuwe Office 365 Group aan en controleer het ObjectID van deze group in Azure Active Directory.

ObjectID Azure

Start vervolgens de Azure AD powershell module en maak verbinding met de Azure tenant door onderstaande uit te voeren:

 

$credentials = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell -liveid -Credential $credentials -Authentication Basic -AllowRedirection
Import-PSSession $Session

 

Nu connectie is gemaakt met de tenant, kan de aanpassing worden doorgevoerd.

Connect-MsolService –credential $credentials
$Policy = Get-MsolSettingTemplate –TemplateId "62375ab9-6b52-47ed-826b-58e47e0e304b"
$Setting = $Policy.CreateSettingsObject()
$Setting[“EnableGroupCreation”] = “false”
$Setting[“GroupCreationAllowedGroupId”] = "c8fdaf23-65d2-4ab7-b3eb-2a6adb812f91"
New-MsolSettings –SettingsObject $Setting

Het templateid 62375ab9-6b52-47ed-826b-58e47e0e304b is in iedere tenant gelijk en verwijst naar de group “Group.Unified”. Dit is een group waar standaard iedereen lid van is.

Het nieuwe GroupID, in bovenstaand voorbeeld c8fdaf23-65d2-4ab7-b3eb-2a6adb812f91, wordt de group die de standaard “Group.Unified” vervangt om Office 365 Groups aan te kunnen maken.

Om er zeker van te zijn dat het script goed zijn werk heeft gedaan, kan worden gecontroleerd of de nieuwe group daadwerkelijk de standaard group heeft vervangen.

Get-MsolAllSettings | ForEach Values

MsolAllSettings

Samenvatting

Mocht u gebruik willen maken van Office 365 Groups, draag eerst zorg voor de juiste inrichting en beveiliging ervan. Hierdoor kan voorkomen worden dat er een wildgroei ontstaat welke niet tot nauwelijks meer op te ruimen is.

Voor hulp en verdere informatie staan wij uiteraard paraat om u te assisteren. Voor vragen naar aanleiding van dit artikel: laat een comment achter in de ruimte hieronder.

2 reacties

  1. Jeffrey, dank voor dit artikel. Heb er een vraag over: ik gebruik de nieuwste azure powershell versie 1.1.166.0; daar mis ik de Get-MsolSettingTemplate. Waarom is deze in die nieuwe versie niet meer aanwezig?

    • Jeffrey de Bruin

      Beste Harry, het klopt inderdaad dat Microsoft de betreffende cmdlets uit de nieuwste Azure Powershell versie heeft gehaald. Wat de reden hiervan is, is mij niet bekend. Op de site van Microsoft is hierover het volgende te lezen: “The cmdlets are not available in this release (version 1.1.166.0) but are available in the latest Public Preview release of Azure Active Directory PowerShell Version 1.1.130.0”
      Meer informatie hierover vind je terug op de Microsoft Connect site.

      Je kan dus nog steeds gebruik blijven maken van de Public Preview release.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *