Проблема: пользователю из почтового интерфейса доступна возможность создавать так называемые "социальные" группы Office 365 (пользователи с лицензиями OneDrive для бизнеса и Exchange Online). На самом деле проблема не в том, что он может ее создать, а в том, что он при этом занимает почтовый адрес в домене Вашей организации и он абсолютно "свободен" в генерировании подобного адреса (у Вас могут быть определенные корпоративные правила по именованию адресов, но пользователь может про них и не знать). Фактически пользователь получает косвенную возможность генерировать новых пользователей.
Вторая проблема: эти группы начинают появляться в списках групп в административном интерфейсе "Группы" как в Office 365, так и в Exchange Online, что создает трудности в администрировании. Если таких пользователей 7 тысяч, как у нас, и хотя бы каждый третий создаст группу, то это превратится в жуткую головную боль администратора. Для небольших компаний, возможно, этот функционал и полезен, но для крупных организаций становится слишком трудно этим управлять.
См. сначала более позднюю связную статью: Office 365 Planner: как запретить создание планов (групп)
Итак,
Я провела два эксперимента по отключению этого функционала: отключение параметра GroupCreationEnabled в политике OwaMailboxPolicy через PowerShell (удачно), а также через генерирование новых разрешений внутри политики пользователей Default Role Assignment Policy (неудачно). Оказалось, что политики Outlook Web Access (OWA) имеют более высокий приоритет, чем политики пользователей, поэтому все мои попытки изменить политику пользователей не имели успеха.
Расскажу об обоих методах, т.к. возможно в определенной ситуации может понадобиться и второй метод...
Кратко об этих группах. Сам Microsoft позиционирует их как общий ресурс для хранения бесед, документов и событий календаря, который пользователи могут сами для себя создать. Это совершенно другой тип групп, который отличается от тех, к которым привык администратор (группа безопасности Security Group или группы рассылки Distribution Group). Эта группа чем то напоминает сайт (узел) в SharePoint. Они обладают общим пространством на OneDrive, а также могут использоваться как группы рассылки (участники группы могут подписываться на письма, приходящие в группу).
Для пользователя блок групп в почте выглядит так:
Если он нажмет "Создать группу", то появится соответствующий интерфейс:
Так группа выглядит после создания:
Такие письма будут получать подписчики группы:
Сделать подобное отключение возможно только через PowerShell командой (set-OwaMailboxPolicy):
Эта команда изменяет политику OWA "OwaMailboxPolicy-Default", которая скорее всего применена у Вас ко всем ящикам пользователей. За создание групп отвечает параметр GroupCreationEnabled, установленный по-умолчанию в true. Данной командой мы устанавливаем его в false.
Команда требует длительного времени на исполнение, может доходить до суток. Например, у администратора может эта функция уже отключиться, а у пользователей еще работать некоторое время. Ссылка на создание группы может еще не исчезнуть, но при попытке создать группу будет появляться сообщение: "Возможность создавать группы отключена пользователем, который управляет вашей почтой (The group couldn't be created. Your email admin hasn't given you permission to create a new group.)"
И наоборот, при обратном включении у пользователей может появится в течении получаса, а админу нужно ждать появления ссылки "создать группу" почти сутки.
Теперь вопрос: а как же разрешить создание групп какому-либо определенному пользователю?
Одним из наиболее простых способов является создание новой политики OWA, где вышеуказанная возможность (GroupCreationEnabled) будет включена. Такую политику можно назначить любому пользователю, которому необходимо дать разрешение на создание групп, например, администратору или полномочному пользователю.
Список всех уже существующих политик OWA можно посмотреть из центра администрирования Exchange (в меню Разрешения > Политики Outlook Web App):
Т.к. через веб-интерфейс список функций и параметров политики не совсем информативен, то лучше посмотреть настройки политики через PowerShell команду Get-OwaMailboxPolicy:
Получим следующий список свойств с их значениями:
Для создания политики почтовых ящиков Outlook Web App нужно перейти по кнопке "+" в вышеуказанном меню в Центре администрирования Exchange.
Либо через PowerShell: (New-OwaMailboxPolicy)
Результатом будет выведен список свойств новосозданной политики.
Проверяем параметры, можно сравнить их с политикой, используемой по умолчанию.
Также смотрим, что параметр GroupCreationEnabled установлен в true.
Теперь, если данную политику назначить определенному пользователю, то он получит возможность создавать группы.
Добавление политики пользователю:
1) Из интерфейса Центра Администрирования Office 365: Пользователи - Активные пользователи. Выбираем нужного пользователя, переходим по ссылке справа "Изменение свойств Exchange", далее "функции почтового ящика", блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения".
II. Способ отключения создания групп через политику пользователя
Теперь вкратце для ознакомления расскажу про многострадальный второй способ отключения групп через политики пользователя.
Если перейти в том же интерфейсе Центра администрирования Exchange: Разрешения -> Роли пользователей, то увидим там политику Default Role Assignment Policy. В ее настройках присутствует параметр "MyDistributionGroups", который обещает, что "Эта роль позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов групп рассылки, владельцами которых они являются." Судя по описанию, это как раз тот параметр, который бы мог помочь в решении вышеописанной проблемы, но тогда бы не было этой статьи.
На просторах англоязычных форумов было найдено такое предполагаемое решение вопроса: внутри политики пользователя командой PowerShell (New-ManagementRole) создавался дочерний относительно MyDistributionGroups параметр, который мог отключать родительский параметр.
Создание дочернего параметра:
Удаление у этого параметра возможности работы с группами (Remove-ManagementRoleEntry)
В результате выполнения второй команды может появится следующее сообщение:
Are you sure you want to perform this action?
Removing the "(Microsoft.Exchange.Management.PowerShell.E2010) New-DistributionGroup -Alias -Confirm -CopyOwnerToMember -DispalyName -ErrorAction -ErrorVariable -ManagedBy -MemberJoinRestriction -Members _ModeratedBy -ModerationEnabled -Name -Notes -OutBuffer -OutVariable -PrimarySmtpAddress -SedModerationNotifications -WarningAction -WarningVariable -WhatIf" management role entry on the "removeCreateGroupRights" management role
Соглашаемся с этим действием. Чтобы проверить результат выполнения команды, снова открываем политику пользователя и видим, что у параметра MyDistributionGroups появился дочерний параметр removeCreateGroupRights:
Теперь необходимо установить "галку" на removeCreateGroupRights и снять ее с параметра MyDistributionGroups. Если оставить оба параметра, то, говорят, ничего не изменится. При сохранении может появится такое предупреждение "Изменения этой политики назначения могут повлиять на многих пользователей. Вы действительно хотите внести это изменение?":
Далее необходимо ждать, как говорят, не менее 48 часов, чтобы изменения политики вступили в действие для всех пользователей (хотя у кого-то функционал сработал в течение получаса).Я ждала трое суток, но как оказалось безрезультатно, т.к. повторю, что данный способ может сработать только если данный функционал не перебивается более приоритетной политикой OWA.
И последнее, как отменить внесенные изменения, если они больше не нужны?
Снова заходим в политику пользователя Default Role Assignment Policy, возвращаем все "галки" как было до изменения.
А следующей PowerShell командой (Remove-ManagementRole) удаляем созданный ранее дочерний параметр:
Вторая проблема: эти группы начинают появляться в списках групп в административном интерфейсе "Группы" как в Office 365, так и в Exchange Online, что создает трудности в администрировании. Если таких пользователей 7 тысяч, как у нас, и хотя бы каждый третий создаст группу, то это превратится в жуткую головную боль администратора. Для небольших компаний, возможно, этот функционал и полезен, но для крупных организаций становится слишком трудно этим управлять.
См. сначала более позднюю связную статью: Office 365 Planner: как запретить создание планов (групп)
Итак,
Я провела два эксперимента по отключению этого функционала: отключение параметра GroupCreationEnabled в политике OwaMailboxPolicy через PowerShell (удачно), а также через генерирование новых разрешений внутри политики пользователей Default Role Assignment Policy (неудачно). Оказалось, что политики Outlook Web Access (OWA) имеют более высокий приоритет, чем политики пользователей, поэтому все мои попытки изменить политику пользователей не имели успеха.
Расскажу об обоих методах, т.к. возможно в определенной ситуации может понадобиться и второй метод...
Кратко об этих группах. Сам Microsoft позиционирует их как общий ресурс для хранения бесед, документов и событий календаря, который пользователи могут сами для себя создать. Это совершенно другой тип групп, который отличается от тех, к которым привык администратор (группа безопасности Security Group или группы рассылки Distribution Group). Эта группа чем то напоминает сайт (узел) в SharePoint. Они обладают общим пространством на OneDrive, а также могут использоваться как группы рассылки (участники группы могут подписываться на письма, приходящие в группу).
Для пользователя блок групп в почте выглядит так:
Если он нажмет "Создать группу", то появится соответствующий интерфейс:
Так группа выглядит после создания:
Такие письма будут получать подписчики группы:
I. Способ отключения создания групп через политику OWA
Сделать подобное отключение возможно только через PowerShell командой (set-OwaMailboxPolicy):
set-OwaMailboxPolicy -GroupCreationEnabled $false -Identity OwaMailboxPolicy-Default
Эта команда изменяет политику OWA "OwaMailboxPolicy-Default", которая скорее всего применена у Вас ко всем ящикам пользователей. За создание групп отвечает параметр GroupCreationEnabled, установленный по-умолчанию в true. Данной командой мы устанавливаем его в false.
Команда требует длительного времени на исполнение, может доходить до суток. Например, у администратора может эта функция уже отключиться, а у пользователей еще работать некоторое время. Ссылка на создание группы может еще не исчезнуть, но при попытке создать группу будет появляться сообщение: "Возможность создавать группы отключена пользователем, который управляет вашей почтой (The group couldn't be created. Your email admin hasn't given you permission to create a new group.)"
И наоборот, при обратном включении у пользователей может появится в течении получаса, а админу нужно ждать появления ссылки "создать группу" почти сутки.
Теперь вопрос: а как же разрешить создание групп какому-либо определенному пользователю?
Одним из наиболее простых способов является создание новой политики OWA, где вышеуказанная возможность (GroupCreationEnabled) будет включена. Такую политику можно назначить любому пользователю, которому необходимо дать разрешение на создание групп, например, администратору или полномочному пользователю.
Список всех уже существующих политик OWA можно посмотреть из центра администрирования Exchange (в меню Разрешения > Политики Outlook Web App):
Т.к. через веб-интерфейс список функций и параметров политики не совсем информативен, то лучше посмотреть настройки политики через PowerShell команду Get-OwaMailboxPolicy:
Get-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default
Получим следующий список свойств с их значениями:
RunspaceId | : | b1988241-abbc-4505-8a09-15e0ee3b0172 |
DirectFileAccessOnPublicComputersEnabled | : | True |
DirectFileAccessOnPrivateComputersEnabled | : | True |
WebReadyDocumentViewingOnPublicComputersEnabled | : | True |
WebReadyDocumentViewingOnPrivateComputersEnabled | : | True |
ForceWebReadyDocumentViewingFirstOnPublicComputers | : | False |
ForceWebReadyDocumentViewingFirstOnPrivateComputers | : | False |
WacViewingOnPublicComputersEnabled | : | True |
WacViewingOnPrivateComputersEnabled | : | True |
ForceWacViewingFirstOnPublicComputers | : | False |
ForceWacViewingFirstOnPrivateComputers | : | False |
ActionForUnknownFileAndMIMETypes | : | ForceSave |
WebReadyFileTypes | : | {.xlsx, .pptx, .docx, .xls...} |
WebReadyMimeTypes | : | {application/vnd.openxmlformats-officedocument.presentationml.presentation, application/vnd.openxmlformats-officedocument.wordprocessingml.document, application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, application/vnd.ms-powerpoint...} |
WebReadyDocumentViewingForAllSupportedTypes | : | True |
WebReadyDocumentViewingSupportedMimeTypes | : | {application/msword, application/vnd.ms-excel, application/x-msexcel, application/vnd.ms-powerpoint...} |
WebReadyDocumentViewingSupportedFileTypes | : | {.doc, .dot, .rtf, .xls...} |
AllowedFileTypes | : | {.rpmsg, .xlsx, .xlsm, .xlsb...} |
AllowedMimeTypes | : | {image/jpeg, image/png, image/gif, image/bmp} |
ForceSaveFileTypes | : | {.vsmacros, .ps2xml, .ps1xml, .mshxml...} |
ForceSaveMimeTypes | : | {Application/x-shockwave-flash, Application/octet-stream, Application/futuresplash, Application/x-director} |
BlockedFileTypes | : | {.vsmacros, .msh2xml, .msh1xml, .ps2xml...} |
BlockedMimeTypes | : | {application/x-javascript, application/javascript, application/msaccess, x-internet-signup…} |
PhoneticSupportEnabled | : | False |
DefaultTheme | : | |
IsDefault | : | True |
DefaultClientLanguage | : | 0 |
LogonAndErrorLanguage | : | 0 |
UseGB18030 | : | False |
UseISO885915 | : | False |
OutboundCharset | : | AutoDetect |
GlobalAddressListEnabled | : | True |
OrganizationEnabled | : | True |
ExplicitLogonEnabled | : | True |
OWALightEnabled | : | True |
DelegateAccessEnabled | : | True |
IRMEnabled | : | True |
CalendarEnabled | : | True |
ContactsEnabled | : | True |
TasksEnabled | : | True |
JournalEnabled | : | True |
NotesEnabled | : | True |
RemindersAndNotificationsEnabled | : | True |
PremiumClientEnabled | : | True |
SpellCheckerEnabled | : | True |
SearchFoldersEnabled | : | True |
SignaturesEnabled | : | True |
ThemeSelectionEnabled | : | True |
JunkEmailEnabled | : | True |
UMIntegrationEnabled | : | True |
WSSAccessOnPublicComputersEnabled | : | False |
WSSAccessOnPrivateComputersEnabled | : | False |
ChangePasswordEnabled | : | False |
UNCAccessOnPublicComputersEnabled | : | False |
UNCAccessOnPrivateComputersEnabled | : | False |
ActiveSyncIntegrationEnabled | : | True |
AllAddressListsEnabled | : | True |
RulesEnabled | : | True |
PublicFoldersEnabled | : | True |
SMimeEnabled | : | False |
RecoverDeletedItemsEnabled | : | True |
InstantMessagingEnabled | : | True |
TextMessagingEnabled | : | True |
ForceSaveAttachmentFilteringEnabled | : | False |
SilverlightEnabled | : | True |
InstantMessagingType | : | Ocs |
DisplayPhotosEnabled | : | True |
SetPhotoEnabled | : | True |
AllowOfflineOn | : | AllComputers |
SetPhotoURL | : | |
PlacesEnabled | : | True |
WeatherEnabled | : | True |
AllowCopyContactsToDeviceAddressBook | : | True |
PredictedActionsEnabled | : | True |
UserDiagnosticEnabled | : | False |
FacebookEnabled | : | True |
LinkedInEnabled | : | True |
WacExternalServicesEnabled | : | True |
WacOMEXEnabled | : | True |
ReportJunkEmailEnabled | : | True |
GroupCreationEnabled | : | True |
SkipCreateUnifiedGroupCustomSharepointClassification | : | True |
WebPartsFrameOptionsType | : | SameOrigin |
AdminDisplayName | : | |
ExchangeVersion | : | 0.10 (14.0.100.0) |
Name | : | OwaMailboxPolicy-Default |
DistinguishedName | : | CN=OwaMailboxPolicy-Default,CN=OWA Mailbox Policies,CN=Configuration,CN=mycompany.onmicrosoft.com, CN=ConfigurationUnits,DC=EURPR01A001, DC=prod,DC=outlook,DC=com |
Identity | : | OwaMailboxPolicy-Default |
Guid | : | |
ObjectCategory | : | EURPR01A001.prod.outlook.com/Configuration/Schema/ms-Exch-OWA-Mailbox-Policy |
ObjectClass | : | {top, msExchRecipientTemplate, msExchOWAMailboxPolicy} |
WhenChanged | : | 04.04.2015 19:53 |
WhenCreated | : | 01.11.2013 2:25 |
WhenChangedUTC | : | 04.04.2015 15:53 |
WhenCreatedUTC | : | 31.10.2013 22:25 |
OrganizationId | : | EURPR01A001.prod.outlook.com/Microsoft Exchange Hosted Organizations/mycompany.onmicrosoft.com - EURPR01A001.prod.outlook.com/ConfigurationUnits/ mycompany.onmicrosoft.com/Configuration |
Id | : | OwaMailboxPolicy-Default |
OriginatingServer | : | DAAPR05A001DC03.EURPR01A001.prod.outlook.com |
IsValid | : | True |
ObjectState | : | Unchanged |
Для создания политики почтовых ящиков Outlook Web App нужно перейти по кнопке "+" в вышеуказанном меню в Центре администрирования Exchange.
Либо через PowerShell: (New-OwaMailboxPolicy)
New-OwaMailboxPolicy -Name OwaMailboxPolicy-DefaultGroupAccess
Результатом будет выведен список свойств новосозданной политики.
Проверяем параметры, можно сравнить их с политикой, используемой по умолчанию.
Также смотрим, что параметр GroupCreationEnabled установлен в true.
Теперь, если данную политику назначить определенному пользователю, то он получит возможность создавать группы.
Добавление политики пользователю:
1) Из интерфейса Центра Администрирования Office 365: Пользователи - Активные пользователи. Выбираем нужного пользователя, переходим по ссылке справа "Изменение свойств Exchange", далее "функции почтового ящика", блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения".
Далее выбираем вновь созданную политику по кнопке Обзор:
2) Из интерфейса администрирования Exchange Online (EAC): Получатели - Почтовые ящики. Выбираем нужного пользователя, переходим по ссылке справа "Изменение свойств Exchange", далее "функции почтового ящика", блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения". В правом блоке сведений о пользователе находим блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения".
И далее указываем нужную политику.
3) Через PowerShell (Set-CASMailbox). Удобно, если нужно сделать это для списка пользователей.
Чтобы узнать какая политика назначена на определенный ящик:
Get-CASMailbox testuser4@mycompany.ru | select OwaMailboxPolicy
Команда назначения политики пользователю:
Set-CASMailbox -Identity testuser4@mycompany.ru ` -OwaMailboxPolicy OwaMailboxPolicy-DefaultGroupAccess
II. Способ отключения создания групп через политику пользователя
Теперь вкратце для ознакомления расскажу про многострадальный второй способ отключения групп через политики пользователя.
Если перейти в том же интерфейсе Центра администрирования Exchange: Разрешения -> Роли пользователей, то увидим там политику Default Role Assignment Policy. В ее настройках присутствует параметр "MyDistributionGroups", который обещает, что "Эта роль позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов групп рассылки, владельцами которых они являются." Судя по описанию, это как раз тот параметр, который бы мог помочь в решении вышеописанной проблемы, но тогда бы не было этой статьи.
На просторах англоязычных форумов было найдено такое предполагаемое решение вопроса: внутри политики пользователя командой PowerShell (New-ManagementRole) создавался дочерний относительно MyDistributionGroups параметр, который мог отключать родительский параметр.
Создание дочернего параметра:
New-ManagementRole -Parent 'MyDistributionGroups' -name 'removeCreateGroupRights'
Remove-ManagementRoleEntry "removeCreateGroupRights\New-DistributionGroup"
В результате выполнения второй команды может появится следующее сообщение:
Are you sure you want to perform this action?
Removing the "(Microsoft.Exchange.Management.PowerShell.E2010) New-DistributionGroup -Alias -Confirm -CopyOwnerToMember -DispalyName -ErrorAction -ErrorVariable -ManagedBy -MemberJoinRestriction -Members _ModeratedBy -ModerationEnabled -Name -Notes -OutBuffer -OutVariable -PrimarySmtpAddress -SedModerationNotifications -WarningAction -WarningVariable -WhatIf" management role entry on the "removeCreateGroupRights" management role
Соглашаемся с этим действием. Чтобы проверить результат выполнения команды, снова открываем политику пользователя и видим, что у параметра MyDistributionGroups появился дочерний параметр removeCreateGroupRights:
Теперь необходимо установить "галку" на removeCreateGroupRights и снять ее с параметра MyDistributionGroups. Если оставить оба параметра, то, говорят, ничего не изменится. При сохранении может появится такое предупреждение "Изменения этой политики назначения могут повлиять на многих пользователей. Вы действительно хотите внести это изменение?":
Далее необходимо ждать, как говорят, не менее 48 часов, чтобы изменения политики вступили в действие для всех пользователей (хотя у кого-то функционал сработал в течение получаса).Я ждала трое суток, но как оказалось безрезультатно, т.к. повторю, что данный способ может сработать только если данный функционал не перебивается более приоритетной политикой OWA.
И последнее, как отменить внесенные изменения, если они больше не нужны?
Снова заходим в политику пользователя Default Role Assignment Policy, возвращаем все "галки" как было до изменения.
А следующей PowerShell командой (Remove-ManagementRole) удаляем созданный ранее дочерний параметр:
Remove-ManagementRole removeCreateGroupRights
(с) Ella S.
Спасибо!
ОтветитьУдалить