Por defecto, todos los usuarios de Office 365 tienen la capacidad de crear un máximo de 250 Grupos de Office 365 a través de distintas aplicaciones: OWA, Yammer, SharePoint, Teams y Planner. Los Administradores de Office 365 no tienen un límite establecido para la creación de grupos de este tipo.
- Creación de Grupos de Office 365 desde OWA:
- Creación de Grupos de Office 365 desde Yammer:
- Creación de Grupos de Office 365 desde Teams:
- Creación de Grupos de Office 365 desde My Apps:
A medida que los usuarios vayan creando Grupos de Office 365 desde las distintas aplicaciones, los mismos serán visibles desde la consola de Administración de Office 365:
En aquellos casos en los que una organización desee restringir la creación de grupos de Office 365 para evitar la creación descontrolada de los mismos por parte de los usuarios, existen distintos procedimientos para llevarlo a cabo, los cuales se describen a continuación. Es muy importante mencionar que a día de hoy, desde la consola de Administración de Office 365, no existe opción de configuración al respecto:
En este post vamos a identificar el procedimiento necesario para restringir la creación de Grupos de Office 365 en distintos escenarios:
- Deshabilitar la creación de Grupos de Office 365 desde OWA.
- Deshabilitar la creación de Grupos de Office 365 desde My Apps.
- Deshabilitar la creación de Grupos de Office 365 en todas las aplicaciones para todos los usuarios, y permitirlo para un grupo de seguridad.
Deshabilitar la Creación de Grupos de Office 365 desde OWA
Ejecutar los siguientes comandos desde una sesión de PowerShell:
$O365Cred = Get-Credential
$ExchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $O365Cred -Authentication Basic –AllowRedirection
Import-PSSession $ExchangeSession
Para impedir la creación de grupos de Office 365 desde OWA a todos los usuarios:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -GroupCreationEnabled $false
Si un usuario intenta crear un nuevo Grupo de Office 365 ya no le aparecerá la opción de crear nuevos Grupos de Office 365 (fijarse que no aparece + a la derecha de Grupos):
Para impedir la creación de grupos de Office 365 desde OWA sólo a ciertos usuarios, cabe la posibilidad de crear una nueva política de OWA que restrinja este privilegio y asignarlo a los usuarios que corresponda:
Set-OwaMailboxPolicy –Identity “<policy name>” –GroupCreationEnabled $false
Set-CASMailbox –Identity <user> -OWAMailboxPolicy “<policy name>”
En este caso, si un usuario al que se le aplica la nueva política de OWA intenta crear un nuevo Grupo de Office 365, ya no le aparecerá la opción de crear nuevos Grupos, tal y como se reflejaba en la pantalla anterior.
Deshabilitar la Creación de Grupos de Office 365 desde My Apps
Un usuario al que se le asigna una licencia de Azure AD Premium, tiene la capacidad de crear Grupos de Office 365 desde el portal de My Apps (https://myapps.microsoft.com).
Es posible restringir la creación de Grupos de Office 365 desde el Panel de My Apps, tal y como se muestra en la siguiente pantalla:
- Los usuarios pueden crear grupos de Office 365: No
- Usuarios que pueden administrar los grupos de Office 365: Permite seleccionar un Grupo de Seguridad que SI puede crear y administrar los Grupos de Office 365. En este ejemplo, se concede el privilegio al Grupo denominado “Admins_Grupos_O365”.
A partir de este momento, si un usuario que no es miembro de dicho grupo de seguridad inicia sesión en My Apps, ya no le aparece el icono de Grupos:
Deshabilitar la creación de Grupos de Office 365 en todas las aplicaciones para todos los usuarios, y permitirlo para un grupo de seguridad
En este apartado se describe el procedimiento para impedir la creación de Grupos de Office 365 desde aquellos servicios que usan estos grupos: Outlook, SharePoint, Yammer, Planner y Teams. Sólo se permitirá la creación de Grupos de Office 365 a los miembros de un Grupo de Seguridad.
Se debe indicar que los pasos descritos a continuación no impiden la creación de Grupos de Office 365 desde el Portal de Administración de Office 365 a los grupos: Global Admins, Mailbox Administrator, Partner Tier1 Support, Partner Tier2 Support y Directory Writers. Sin embargo, sí que impide la creación de Grupos desde las propias aplicaciones.
En nuestro ejemplo, sólo se permitirá la creación de Grupos de Office 365 al Grupo de Seguridad denominado “Admins_Grupos_O365”, el cual contiene un único miembro: Manager.
Para aplicar el procedimiento que se detalla a continuación, se requiere tener instalado el módulo de Azure AD Preview. Para ello, ejecutar PowerShell con privilegios de Administrador y a continuación ejecutar este comando:
Install-Module AzureADPreview
Una vez instalado el módulo, seguir este procedimiento:
Import-Module AzureADPreview
Connect-AzureAD
$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq ‘Group.Unified’}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value «Group.Unified» -EQ).id
$Setting[«EnableGroupCreation»] = $False
$Setting[«GroupCreationAllowedGroupId»] = (Get-AzureADGroup -SearchString «Admins_Grupos_O365«).objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value «Group.Unified» -EQ).id -DirectorySetting $Setting
(Get-AzureADDirectorySetting).Values
En la pantalla anterior, se puede comprobar:
- EnableGroupCreation: False. Nadie en la organización puede crear Grupos de Office 365.
- GroupCreationAllowedGroupID: Sólo el Grupo con ID “65789823-1691-4615-91d7-f1802ddb6439” (el cual corresponde al grupo “Admins_Grupos_O365”) puede crear Grupos de Office 365.
A partir de este momento, si el usuario Manager (miembro del Grupo de Seguridad Admins_Grupos_O365) intenta crear un Grupo de Office 365 en Teams, OWA o Planner, lo podrá hacer sin problema:
- Teams:
- OWA:
- Planner:
Sin embargo, si un usuario que no es miembro de ese grupo de seguridad intenta crear un nuevo Grupo de Office 365, no le es posible:
- Teams (en el panel derecho no aparece la opción “Crear un equipo”):
- Planner:
Nota: En el caso de Yammer, se seguirá permitiendo crear Grupos, pero no serán Grupos de Office 365.
Podéis comentarnos lo que sea en info@kabel.es.
También podéis seguirnos en Twitter, LinkedIn y Facebook.
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial 4.0 Internacional.
