Home OFFICE 365 Gestionar la creación de grupos en Office365

Gestionar la creación de grupos en Office365

by José Luis Sánchez Borque
LOGO_OFFICE365

Office365 es una plataforma maravillosa para el trabajo cooperativo, permitiendo a los usuarios comunicarse entre sí de múltiples maneras utilizando las diferentes herramientas que proporciona dicha plataforma:

  • Outlook
  • SharePoint
  • Yammer
  • Microsoft Teams
  • Microsoft Stream
  • Planner
  • PowerBI

El problema viene con la forma en que Microsoft gestiona la mayoría de dichos grupos…. LES ASIGNA UNA CUENTA DE GRUPO OFFICE365. Alguno pensará, y qué??? Desde mi punto de vista, y con la experiencia de varias integraciones a mis espaldas hay dos inconvenientes:

  1. La anarquía en la creación de cuentas de grupo. Los usuarios por defecto pueden crear grupos en su outlook, crear grupos en Teams, etc…  Lo que implica que en cuestión de poco tiempo, en organizaciones de un tamaño mediano-grande tendremos una infinidad de grupos creados sin casi control, con nombres de lo más variopinto.
  2. El problema con los nombres de grupo… Office 365  asigna a los grupos una cuenta de grupo del tipo OFFICE365, que a su vez tiene asociada una cuenta de correo del estilo:  nombredelgrupo@midominio.com.Nos podemos encontrar que el nombre que un usuario puede elegir del grupo, utilice un nombre que podría ser útil para usos futuros. Por ejemplo.. Alguien del departamento de administración decide crear un grupo en TEAMS con el nombre de ADMON. El sistema asocia a dicho equipo la cuenta de correo admon@midominio.com, lo que en un futuro, si el administrador de red quiere utilizar dicho nombre con otros propósitos se verá en la obligación de cambiar el nombre al grupo que un usuario creó en su día… Lo que ya os pongo en antecedentes no es fácil, .. NO es botón derecho y darle a la típica opción de cambiar nombre de grupo.. Hay que recurrir a Powershell..

Consejo.. Personalmente aconsejo establecer una codificación para los nombres de grupos. Por ejemplo:  TEAMS_CENA_NAVIDAD  Añadiendo un prefijo al nombre del grupo que permita distinguir desde dónde se ha creado.

Vemos en la siguiente imagen los grupos creados: vayalioconlosgrupos y uffvayafollon, con su correspondiente correo asociado:

En este caso, y con dichos nombres no hay demasiado riesgo que se solapen con alguno que podamos utilizar en el futuro… Pero imaginad: marketing, reservas, adminstracion, etc…

Una forma de controlar el crecimientos desmadrado y anárquico de los grupos en OFFICE365 desde sus diferentes herramientas es el siguiente:

Crear un grupo de seguridad, añadir al grupo las personas que si que puedan crear grupo ( por ejemplo jefes de departamento ), y por último configurar OFFICE365 para que solo los miembros de dicho grupo puedan crearlos.

El inconveniente es que perdemos un poco de dinamismo y agilidad, pues los usuarios de un departamento deberán solicitar a su jefe de grupo o departamento la creación del grupo y quienes serán sus miembros.

Esta posibilidad no quita que por ejemplo ciertos usuarios como los administradores globales, administrador de sharepoint, etc puedan crear grupos. Pero hemos de suponer que este tipo de usuario atenderá a las normas de la creación de grupos en cuanto a tipo y nombre.

Vamos al grano… Será necesario crear un grupo de seguridad bien mediante el panel de control o mediante powershell:

New-DistributionGroup -Name "CrearGrupos" -Alias CrearGrupos -Type security

Una vez creado el nuevo grupo de seguridad «CrearGrupos»:

Asignaremos aquellos usuarios que deseemos darles el privilegio de crear grupos en las diferentes aplicaciones. Entiendo para este post que el administrador ya tiene la experiencia tanto para crear el grupo como para asignar usuarios dentro.

Bien empecemos… Necesitamos para este procedimiento tener instalado la versión preliminar de Azure Active Directory PowerShell para Graph

No puede instalar la versión preliminar y la versión GA en el mismo equipo al mismo tiempo. Puede instalar el módulo en Windows 10, Windows Server 2016.

Para ver si tenemos instalada el módulo GA de Azure y desinstalarlo antes de instalar AzureADPreview podemos utilizar las siguientes órdenes:

Get-InstalledModule -Name "AzureAD*"

y si hay alguno.. lo quitamos con :

Uninstall-Module AzureAD

O versión antigua de AzureADPreview con

Uninstall-Module AzureAD

Una vez nos aseguramos que ya no tenemos versiones antiguas o bien la versión GA procedemos a instalar el módulo AzureADPreview:

Install-Module AzureADPreview

Podemos verificar que está instalado con:

PS C:\WINDOWS\system32> Get-InstalledModule -name "azuread*"

Version Name Repository Description
------- ---- ---------- -----------
2.0.2.77 AzureADPreview PSGallery Azure Active Directory V2 Preview Module

Procedemos a conectarnos a los servicios de Microsoft Online mediante el cmdLet:

PS C:\WINDOWS\system32\pshell> Connect-MsolService

Y bastará con ejecutar el script que tenéis a continuación.. Teniendo en cuenta que en la varialble GroupName debemos poner el nombre del grupo de seguridad creado previamente

$GroupName = "CrearGrupos"

Así mismo la variable AllowGroupCreation debe estar con el valor de False

$AllowGroupCreation = "False"

Aquí tenéis el script:

$GroupName = "CrearGrupos"
$AllowGroupCreation = "False"

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
$settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Si nos fijamos, en la información que aparece por pantalla, podemos comprobar que todo Ok en la última línea informativa:

Comprobemos ahora que funciona……  Si vamos al Outlook ya ni tenemos la opción de Crear un nuevo grupo y lo mismo pasa con Teams… Donde solo podemos añadirnos a un grupo que ya existe. En mi entorno de pruebas me he validado con el usuario Alex Wilber…

Si ahora añadimos al grupo de GrearGrupos a dicho usuario:

Vemos por ejempo, y para cambiar, que en Teams ya puede crear un equipo nuevo:

Si quieres desactivar la restricción de creación de grupos y volver a permitir que todos los usuarios creen grupos, establezca $GroupName en «» y $AllowGroupCreation en «true» y vuelva a ejecutar el script.

$GroupName = "CrearGrupos"
$AllowGroupCreation = "False"

Espero os haya gustado… Por favor, no olvides comentar o preguntar cualquier duda y compartir en tus redes sociales el conocimiento.

Hasta el próximo POST…

 

You may also like

Leave a Comment