Дано: у организации имеется подписка Office 365 и имеется множество пользователей.
Проблема: недавно появившийся функционал Planner позволяет пользователям миновать запрет на создание групп в Exchange, путем создания планов (plan), который автоматом создает и группу в Office 365, при этом генерируется e-mail адрес в домене вуза, который администратор не может контролировать.
Задача: отключить возможность создания групп (планов) у всех учетных записей и разрешить создание только определенному списку пользователей.
Предисловие:
Ранее я уже писала на похожую тему - "как запретить пользователям создавать группы Office 365?". Там доступ к созданию групп был из почтового ящика пользователя и блокировать его можно было через правила Exchange (см. статью по ссылке выше). Однако, анонсированный недавно Planner вновь открыл пользователям эту возможность при помощи создания планов.
Planner - это новый инструмент по совместной работе сотрудников, отслеживанию задач и проектов (планов). Каждый пользователь может создать план и включить в него других сотрудников. Однако каждый такой созданный план также генерирует "социальную" группу Office 365. И правила запрета, установленные в Exchange, не действуют. Т.е. сейчас, у кого включился функционал Планера, по умолчанию есть доступ к созданию групп.
Для нас, как для администраторов, главная проблема возможности создания таких групп кроется в том, что пользователь начинает бесконтрольно, и не подчиняясь каким-либо правилам, генерировать адреса в домене организации (например, admin@maydomain, superviser@mydomain и т.п., если эти адреса не заняты). Более подробно данная проблема описана в статье по ссылке выше, когда такая проблема возникла первый раз. Но, к сожалению, сейчас пришлось к ней снова вернуться.
На данный момент административного интерфейса для настройки Planner нет. Однако были созданы специальные PowerShell команды, позволяющие хоть что-то настроить.
Итак, задача: отключить возможность создания групп (планов) у всех учетных записей и разрешить создание только определенному списку пользователей.
Этапы:
1) Создание группы для избранных пользователей, получение ее идентификатора в Azure AD.
2) Выполнение PowerShell скрипта, устанавливающего запрет на создание групп.
Примечание: если Вы хотите просто запретить всем создавать группы без выделения каких-либо избранных пользователей, то пропустите первый этап (у администратора в любом случае данная возможность останется).
Этап 1. Создание группы для избранных пользователей, получение ее идентификатора в Azure AD
В центре администрирования Office 365 или через Azure AD, создайте группу пользователей (я выбирала тип группы "Группа безопасности"), например, "SystemСanСreateGroup" или др. В эту группу в дальнейшем будем включать пользователей, которым захотим дать право создания планов (групп).
Чтобы дать этой группе право, необходимо узнать ее идентификатор (ИД Объекта/Object ID). Это можно сделать несколькими способами:
1) Через Azure AD. Если Azure AD у вас не подключен и Вы не хотите его оплачивать, то из интерфейса Office 365 можно подключить его бесплатную лайт-версию, что позволить работать с пользователями и группами. Итак, перейдите в администрирование групп в Azure AD, откройте созданную группу и на вкладке свойства можно увидеть поле идентификатора:
2) По адресу ссылки: в административном интерфейсе Office 365 выберите группу и наведите курсор на ссылку "редактировать" и в адресе ссылки вы увидите параметр id.
Этап 2. Выполнение PowerShell скрипта, устанавливающего запрет на создание групп.
Для выполнения указанного ниже скрипта у Вас должен быть установлен модуль PowerShell для Azure не ниже версии 1.1.117.
Номер версии можно узнать по команде (писать в одну строку):
Если версия старше, то скачайте и установите последний модуль Preview Azure AD PowerShell. На момент написания статьи был доступен по ссылке connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185
Проверить работу модуля можно по команде:
Если ошибка, то версия не подходит, должен вернуться объект по указанному идентификатору.
Итак, теперь непосредственно запустим скрипт, который будет устанавливать нужный нам запрет.
Вот заготовка скрипта:
В четвертой строке необходимо установить полученный ранее идентификатор группы для избранных пользователей.
Если Вы пропустили первый этап, то данная строка не нужна.
Для проверки можно набрать команду Get-MsolAllSettings: если пусто, то нет сохраненных настроек, либо будут выведены только что сохраненные настройки после выполнения скрипта.
Теперь, если пользователь попытается создать план в Planner, то при сохранении получит следующее сообщение:
Не удалось создать план. Повторите попытку позже.
И сколько бы он не пытался, всегда будет выходить данная ошибка.
Также при создании группы Office 365 в почте также будет выдано:
Возможность создавать группы отключена пользователем, который управляет вашей почтой
Далее можно добавить нужных пользователей в ранее созданную группу - у них вышеуказанных сообщений не будет.
(с) Ella S.
Основано на материалах блога blogs.msdn.microsoft.com/brismith/2016/06/06/microsoft-plannera-few-common-support-answers
Проблема: недавно появившийся функционал Planner позволяет пользователям миновать запрет на создание групп в Exchange, путем создания планов (plan), который автоматом создает и группу в Office 365, при этом генерируется e-mail адрес в домене вуза, который администратор не может контролировать.
Задача: отключить возможность создания групп (планов) у всех учетных записей и разрешить создание только определенному списку пользователей.
Предисловие:
Ранее я уже писала на похожую тему - "как запретить пользователям создавать группы Office 365?". Там доступ к созданию групп был из почтового ящика пользователя и блокировать его можно было через правила Exchange (см. статью по ссылке выше). Однако, анонсированный недавно Planner вновь открыл пользователям эту возможность при помощи создания планов.
Planner - это новый инструмент по совместной работе сотрудников, отслеживанию задач и проектов (планов). Каждый пользователь может создать план и включить в него других сотрудников. Однако каждый такой созданный план также генерирует "социальную" группу Office 365. И правила запрета, установленные в Exchange, не действуют. Т.е. сейчас, у кого включился функционал Планера, по умолчанию есть доступ к созданию групп.
Для нас, как для администраторов, главная проблема возможности создания таких групп кроется в том, что пользователь начинает бесконтрольно, и не подчиняясь каким-либо правилам, генерировать адреса в домене организации (например, admin@maydomain, superviser@mydomain и т.п., если эти адреса не заняты). Более подробно данная проблема описана в статье по ссылке выше, когда такая проблема возникла первый раз. Но, к сожалению, сейчас пришлось к ней снова вернуться.
На данный момент административного интерфейса для настройки Planner нет. Однако были созданы специальные PowerShell команды, позволяющие хоть что-то настроить.
Итак, задача: отключить возможность создания групп (планов) у всех учетных записей и разрешить создание только определенному списку пользователей.
Этапы:
1) Создание группы для избранных пользователей, получение ее идентификатора в Azure AD.
2) Выполнение PowerShell скрипта, устанавливающего запрет на создание групп.
Примечание: если Вы хотите просто запретить всем создавать группы без выделения каких-либо избранных пользователей, то пропустите первый этап (у администратора в любом случае данная возможность останется).
Этап 1. Создание группы для избранных пользователей, получение ее идентификатора в Azure AD
В центре администрирования Office 365 или через Azure AD, создайте группу пользователей (я выбирала тип группы "Группа безопасности"), например, "SystemСanСreateGroup" или др. В эту группу в дальнейшем будем включать пользователей, которым захотим дать право создания планов (групп).
Чтобы дать этой группе право, необходимо узнать ее идентификатор (ИД Объекта/Object ID). Это можно сделать несколькими способами:
1) Через Azure AD. Если Azure AD у вас не подключен и Вы не хотите его оплачивать, то из интерфейса Office 365 можно подключить его бесплатную лайт-версию, что позволить работать с пользователями и группами. Итак, перейдите в администрирование групп в Azure AD, откройте созданную группу и на вкладке свойства можно увидеть поле идентификатора:
2) По адресу ссылки: в административном интерфейсе Office 365 выберите группу и наведите курсор на ссылку "редактировать" и в адресе ссылки вы увидите параметр id.
Этап 2. Выполнение PowerShell скрипта, устанавливающего запрет на создание групп.
Для выполнения указанного ниже скрипта у Вас должен быть установлен модуль PowerShell для Azure не ниже версии 1.1.117.
Номер версии можно узнать по команде (писать в одну строку):
(get-item C:\Windows\System32\WindowsPowerShell\v1.0\Modules\MSOnline\ Microsoft.Online.Administration.Automation.PSModule.dll).VersionInfo.FileVersion
Если версия старше, то скачайте и установите последний модуль Preview Azure AD PowerShell. На момент написания статьи был доступен по ссылке connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185
Проверить работу модуля можно по команде:
Get-MsolSettingTemplate -TemplateId 62375ab9-6b52-47ed-826b-58e47e0e304b
Если ошибка, то версия не подходит, должен вернуться объект по указанному идентификатору.
Итак, теперь непосредственно запустим скрипт, который будет устанавливать нужный нам запрет.
Вот заготовка скрипта:
#-- получаем шаблон настроек по ID (он у всех одинаковый) $SettingsTemplate = Get-MsolSettingTemplate -TemplateId 62375ab9-6b52-47ed-826b-58e47e0e304b #-- создаем новый объект настроек $NewSetting = $SettingsTemplate.CreateSettingsObject() #-- устанавливаем параметр запрета создания групп $NewSetting["EnableGroupCreation"] = "false" #-- устанавливаем группу, пользователям которой разрешено создавать группы $NewSetting["GroupCreationAllowedGroupId"] = "581a007b-abe0-4c89-bbac-581a4c89" #-- сохраняем настройки New-MsolSettings -SettingsObject $NewSetting
В четвертой строке необходимо установить полученный ранее идентификатор группы для избранных пользователей.
$NewSetting["GroupCreationAllowedGroupId"] = "<ID группы>"
Для проверки можно набрать команду Get-MsolAllSettings: если пусто, то нет сохраненных настроек, либо будут выведены только что сохраненные настройки после выполнения скрипта.
Теперь, если пользователь попытается создать план в Planner, то при сохранении получит следующее сообщение:
Не удалось создать план. Повторите попытку позже.
И сколько бы он не пытался, всегда будет выходить данная ошибка.
Также при создании группы Office 365 в почте также будет выдано:
Возможность создавать группы отключена пользователем, который управляет вашей почтой
Далее можно добавить нужных пользователей в ранее созданную группу - у них вышеуказанных сообщений не будет.
(с) Ella S.
Основано на материалах блога blogs.msdn.microsoft.com/brismith/2016/06/06/microsoft-plannera-few-common-support-answers
Если Вам понравилась статья, пожалуйста, поставьте лайк, сделайте репост или оставьте комментарий. Если у Вас есть какие-либо замечания, также пишите комментарии.
Незнаю убил пол ночи так и не понял почему мне вылетаем ошибка...
ОтветитьУдалитьGet-MsolSettingTemplate –TemplateId 62375ab9-6b52-47ed-826b-58e47e0e304b
Get-MsolSettingTemplate : Имя "Get-MsolSettingTemplate" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Проверьте правильность написания имени, а также наличие и прави
льность пути, после чего повторите попытку.
строка:1 знак:1
+ Get-MsolSettingTemplate –TemplateId 62375ab9-6b52-47ed-826b-58e47e0e3 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Get-MsolSettingTemplate:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
А какая у Вас версия модуля PowerShell для Azure?
Удалитьдобрый день, не ожидал что ответит кто-то...
ОтветитьУдалитьЕсли я правильно понял, то надо запустить команду:(get-item C:\Windows\System32\WindowsPowerShell\v1.0\Modules\MSOnline\Microsoft.Online.Administration.Automation.PSModule.dll).VersionInfo.FileVersion
Версия вот: 1.1.13
0.0
Странно, я пробовала на версии 1.1.117, может они что-то поменяли в новой версии. Потестирую, когда вернусь из отпуска. Если найдете решение, напишите, пожалуйста. У меня была такая ошибка, когда версия была ниже, чем 1.1.117 и решилась обновлением PowerShell для Azure.
УдалитьПроверила на версии 1.1.130.0 - всё работает без ошибок.
УдалитьPS C:\> (get-item C:\Windows\System32\WindowsPowerShell\v1.0\Modules\MSOnline\Microsoft.Online.Administration.Automation.PSModule.dll).VersionInfo.FileVersion
1.1.130.0
PS C:\> Get-MsolSettingTemplate -TemplateId 62375ab9-6b52-47ed-826b-58e47e0e304b
ObjectId DisplayName Description Values
-------- ----------- ----------- ------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... {PrefixSuffixNamingRequirement, All...
Может банальный глюк? Может попробовать переустановить компоненты (ps, модуль...).
Ну вот, опять запреты не работают, пользователи каким-то образом снова получили возможность создавать группы. Будем разбираться... :(
ОтветитьУдалитьВыяснилось, что группы можно было создавать из почтовых настроек в интерфейсе пользователя (Общие - Группы рассылки). Этот функционал игнорировал заданные запреты. Чтобы запретить нужно снять галку MyDistributionGroups в настройке политики Exchange (писала про это в предыдущей статье - https://www.e-du.ru/2015/04/disable-user-create-group.html - см. второй раздел II. Способ отключения создания групп через политику пользователя)
Удалить