maanantai 27. elokuuta 2018

Kuinka määrittää Office 365 ryhmän luomiseen tarvittavat oikeudet rajatulle käyttäjäryhmälle

Office 365 ryhmät liittyvät olennaisena osana ryhmätyöskentelyyn tarkoitettujen Office 365 sovellusten toimintaan. Esimerkiksi Microsoft Teams ja Planner ohjelmistojen käyttö perustuu Office 365 ryhmiin. Oletusarvoisesti kuka tahansa Office 365 käyttäjä voi luoda Office 365 tyyppisen ryhmän. Koska Office 365 ryhmälle luodaan aina mm. esim. oma Exchange Online kalenteri, sähköpostilaatikko ja Sharepoint Online sivusto, aiheuttavat käyttäjien kokeilunhalusta luomat ryhmät ylläpitäjille ylimääräistä työkuormaa. Edellä mainitusta syystä Office 365 ryhmien luomista halutaan usein rajoitetaan niin että vain tietyt käyttäjät voivat luoda em. ryhmiä.

HUOM: Rajoittaminen on mahdollista ainoastaan jos käytössä AzureAD Premium tilaus. Kokeilu jaksolla olevan Microsoft Office 365 taustalla toimivan Azure ADn ilmaisversion voi kuitenkin päivittää kokeilujaksolle (Trial). Edellä mainittu tapa mahdollistaa kieltotoimenpiteen (ja monen muun asetukset) testaamisen jos varsinaista testaamista varten olevaa Azure tilausta/ympäristöä ei ole olemassa.

On myös huomattava että koska Microsoft Teams käyttää taustalla Office 365 ryhmiä, on myös Microsoft Teams tiimien luominen kielletty muilta paitsi erikseen sallitun ryhmän jäseniltä. Poikkeuksena tiimit jotka perustetaan jo olemassa olevalle Office 365 ryhmän “päälle”.

Kuinka Office365 tyyppisen ryhmän luominen kielletään muilta paitsi ennalta määritellyiltä henkilöiltä?

Office 365 ryhmien luominen Outookista käsin voidaan kieltää Exchange Online PowerShell konsolista käsin komennolla:

Get-OwaMailboxPolicy | Set-OwaMailboxPolixy -GroupCreationEnabled $false

Edellä mainittu komento rajoittaa kuitenkin 365 ryhmien luomista ainoastaan Outlook ohjelmasta käsin. Office 365 tyyppinen ryhmä voi kuitenkin syntyä kuitenkin myös esim. Sharepoint saitin, Microsoft Planner suunnitelman tai Microsoft Teams tiimin luomisen yhteydessä.

Office 365 ryhmän luontioikeus voidaan kuitenkin rajata myös koko ympäristöä koskevaksi.

Toimenpiteen vaiheet ovat pääpiirteissään seuraavat:

  1. Luodaan Office 365 ympäristöön suojaus/security tyyppinen käyttäjäryhmä ja lisätään siihen köyttäjät joille Office 365 tyyppisten ryhmien luomisoikeus halutaan antaa.
  2. Asennetaan (tarvittaessa) PowerShell ympäristöön AzureADPreview moduli joka mahdollistaa tarvittavien PowerShell komentojen määrittämisen
  3. Lisätään kieltämistä varten tarvittavat määritykset (EnableGroupCreation ja GroupCreationAllowedGroupId) AzureAD:n toimintaa ohjaavaan mallipohjaan/template ja asetetaan määrityksille tarvittava arvot.
  4. Otetaan muutokset käyttöön.
  5. Tarvittavan suojausryhmän luominen

Luodaan aluksi suojaus (security) tyyppinen käyttäjäryhmä johon lisätään ne henkilöt jotka saavat jatkossakin luoda Office 365 ryhmiä. Ryhmän voi luoda esim. Office 365 hallintakonsolista tai AzureAD:n kautta.

Lisätään ryhmään ne käyttäjät joilla jatkossakin oikeudet luoda Office 365 ryhmiä.

HUOM: Yleinen järjestelmänvalvoja (Global Admin) tyyppisiä käyttäjiä ei tarvitse lisätä ryhmään koska heillä muutenkin on aina Office 365 ryhmien luomiseen tarvittavat oikeudet.

O365ryhmät1








Käyttöoikeuksien muutos tehdään PowerShellistä käsin. Muutos edellyttää että ympäristöön josta komennot suoritetaan on asennettu AzureADPreview PowerShell moduli.

1. Käyttäjät ryhmän luominen.

O365 ympäristöön luodaan Office 365 ryhmien luojat niminen suojaus / security tyyppinen käyttäjäryhmä Office 365 hallintakonsolin kautta. Tässä esimerkissä ryhmään on lisätty vara admin niminen käyttäjä. Käyttäjällä ei kuitenkaan tarvitse olla minkäänlaisia ylläpitäjän oikeuksia vaikka tässä esimerkissä käyttäjällä niitä onkin.

image

2. AzureADPreview modulin tarkastaminen ja asentaminen tarvittaessa

Jotta O365 järjestelmän taustalla olevaa AzureAD:a voidaan tässä yhteydessä käsitellä tulee AzureADPreview PowerShell modulin olla asennettuna. Käytössä olevan AzureAD PowerShell modulin version voi tarkastaa komennolla. Jos AzureADPreview moduli on asennettuna (näkyy listauksessa), on asia ko. modulin osalta kunnossa.

Käytössä olevan AzureAD PowerShell modulin version voi tarkastaa komennolla Get-InstalledModule -Name "AzureAD*". Jos AzureADPreview moduli on jo asennettuna (näkyy listauksessa), on asia tältä osin kunnossa.

image

Jos moduli ei ole asennettuna (ei näy listauksessa), se täytyy asentaa käyttöön komennolla:

Install-Module AzureADPreview -Scope CurrentUser -Force –AllowClobber

3. Kieltävien määritysten asettaminen

AzureAD:n tulee seuraavaksi kirjautua komennolla käyttäen O365 yleinen järjestelmän valvoja/Global admin tunnusta.

Connect-AzureAD

image

image

Haetaan leikepöydälle sen suojaus (security) tyyppisen käyttäjäryhmän ObjectId jonka jäsenille Office 365 ryhmien luomiseen tarvittavat oikeudet annetaan.

Annetaan komento: Get-AzureADGroup -SearchString “Ryhmän nimi”

Kopioidaan ryhmän ObjectId leikepöydälle

image

Seuraavaksi haetaan $Template muuttujaan se käytäntöobjektimalli (template) jonka kautta uusi kieltävä asetus tehdään.

Haluttaessa mallin tiedot voidaan näkyville hakea komennolla

Get-AzureADDirectorySettingTemplate | Where-Object {$_.displayname -eq "Group.Unified"}

image

Malli haetaan $Template muuttujaan komennolla

$template= (Get-AzureADDirectorySettingTemplate | Where-Object {$_.displayname -eq "Group.Unified"}).CreateDirectorySetting()

Kielletään Office 365 ryhmien yleinen luominen lisäämällä $template muuttujassa olevaan asetuspohjaan asetus EnableGroupCreation ja asettamalla se arvoon $false.

Asetus lisätään komennolla:$template["EnableGroupCreation"]=$false

Sallitaan kuitenkin ryhmän luominen ennalta määritellylle suojausryhmälle lisäämällä asetus GroupCreationAllowedGroupId ja antamalla sille arvoksi halutun suojausryhmän id tunnus

$template[“GroupCreationAllowedGroupId”] = “84aac8f4-e4a7-4190-8532-d0fe5c9fd2b2”

HUOM: halutun ryhmän id tunnuksen on oltava lainausmerkkien sisällä

4. Muutosten käyttöön ottaminen

Lopuksi muutokset otetaan käyttöön komennolla

New-AzureADDirectorySetting -DirectorySetting $template

Asetusten voimaan astuminen voidaan tarkistaa komennolla:

Get-AzureADDirectorySetting | foreach Values

HUOM: Jos komento ei tulosta näytölle mitään, eivät asetukset ole asettuneet voimaan.

Muutoksen jälkeen, ryhmään kuulumattomilla henkilöiltä poistetaan O365 ryhmien luomiseen tarvittavat valinnat niistä Office 365 sovelluksista joista ko. ryhmä voidaan luoda (esim. Outlook ja Planner)

Edellä määritetyt asetukset voidaan poistaa komennoilla:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}

Remove-AzureADDirectorySetting –Id $SettingId.Id

Office 365 ryhmien luominen Azure Portal sivustolla

Tavalliset käyttäjät voivat luoda uusia O365 ryhmiä myös portal.azure.com portaali sivuston kautta. Ylläpitäjän työkalut kyseisen portaalin kautta luotavien ryhmien hallintaan sijaitsevat ylläpitäjän AzureAD portaalissa kohdassa Azure Active Directory - Groups - General - Office 365 Groups. Asetuksen Users can create Office 365 Groups in Azure portals avulla ryhmien luominen voidaan sallia tai estää. Oletusarvoisesti ryhmien luominen sallitaan.

image