Office 365 Как запретить пользователям создавать группы (disable create group)

Проблема: пользователю из почтового интерфейса доступна возможность создавать так называемые "социальные" группы Office 365 (пользователи с лицензиями OneDrive для бизнеса и Exchange Online). На самом деле проблема не в том, что он может ее создать, а в том, что он при этом занимает почтовый адрес в домене Вашей организации и он абсолютно "свободен" в генерировании подобного адреса (у Вас могут быть определенные корпоративные правила по именованию адресов, но пользователь может про них и не знать). Фактически пользователь получает косвенную возможность генерировать новых пользователей.

Вторая проблема: эти группы начинают появляться в списках групп в административном интерфейсе "Группы" как в Office 365, так и в Exchange Online, что создает трудности в администрировании. Если таких пользователей 7 тысяч, как у нас, и хотя бы каждый третий создаст группу, то это превратится в жуткую головную боль администратора. Для небольших компаний, возможно, этот функционал и полезен, но для крупных организаций становится слишком трудно этим управлять.

См. сначала более позднюю связную статью: Office 365 Planner: как запретить создание планов (групп)
Итак,
Я провела два эксперимента по отключению этого функционала: отключение параметра GroupCreationEnabled в политике OwaMailboxPolicy через PowerShell (удачно), а также через генерирование новых разрешений внутри политики пользователей Default Role Assignment Policy (неудачно). Оказалось, что политики Outlook Web Access (OWA) имеют более высокий приоритет, чем политики пользователей, поэтому все мои попытки изменить политику пользователей не имели успеха.
Расскажу об обоих методах, т.к. возможно в определенной ситуации может понадобиться и второй метод...

Кратко об этих группах. Сам Microsoft позиционирует их как общий ресурс для хранения бесед, документов и событий календаря, который пользователи могут сами для себя создать. Это совершенно другой тип групп, который отличается от тех, к которым привык администратор (группа безопасности Security Group или группы рассылки Distribution Group). Эта группа чем то напоминает сайт (узел) в SharePoint. Они обладают общим пространством на OneDrive, а также могут использоваться как группы рассылки (участники группы могут подписываться на письма, приходящие в группу).

Для пользователя блок групп в почте выглядит так:

Если он нажмет "Создать группу", то появится соответствующий интерфейс:

Так группа выглядит после создания:


Такие письма будут получать подписчики группы:


I. Способ отключения создания групп через политику OWA

Сделать подобное отключение возможно только через PowerShell командой (set-OwaMailboxPolicy):
set-OwaMailboxPolicy -GroupCreationEnabled $false -Identity OwaMailboxPolicy-Default

Эта команда изменяет политику OWA "OwaMailboxPolicy-Default", которая скорее всего применена у Вас ко всем ящикам пользователей. За создание групп отвечает параметр GroupCreationEnabled, установленный по-умолчанию в true. Данной командой мы устанавливаем его в false.

Команда требует длительного времени на исполнение, может доходить до суток. Например, у администратора может эта функция уже отключиться, а у пользователей еще работать некоторое время. Ссылка на создание группы может еще не исчезнуть, но при попытке создать группу будет появляться сообщение: "Возможность создавать группы отключена пользователем, который управляет вашей почтой (The group couldn't be created. Your email admin hasn't given you permission to create a new group.)"
И наоборот, при обратном включении у пользователей может появится в течении получаса, а админу нужно ждать появления ссылки "создать группу" почти сутки.

Теперь вопрос: а как же разрешить создание групп какому-либо определенному пользователю?

Одним из наиболее простых способов является создание новой политики OWA, где вышеуказанная возможность (GroupCreationEnabled) будет включена. Такую политику можно назначить любому пользователю, которому необходимо дать разрешение на создание групп, например, администратору или полномочному пользователю.
Список всех уже существующих политик OWA можно посмотреть из центра администрирования Exchange (в меню Разрешения > Политики Outlook Web App):

Т.к. через веб-интерфейс список функций и параметров политики не совсем информативен, то лучше посмотреть настройки политики через PowerShell команду Get-OwaMailboxPolicy:
Get-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default

Получим следующий список свойств с их значениями:
RunspaceId : b1988241-abbc-4505-8a09-15e0ee3b0172
DirectFileAccessOnPublicComputersEnabled : True
DirectFileAccessOnPrivateComputersEnabled : True
WebReadyDocumentViewingOnPublicComputersEnabled : True
WebReadyDocumentViewingOnPrivateComputersEnabled : True
ForceWebReadyDocumentViewingFirstOnPublicComputers : False
ForceWebReadyDocumentViewingFirstOnPrivateComputers : False
WacViewingOnPublicComputersEnabled : True
WacViewingOnPrivateComputersEnabled : True
ForceWacViewingFirstOnPublicComputers : False
ForceWacViewingFirstOnPrivateComputers : False
ActionForUnknownFileAndMIMETypes : ForceSave
WebReadyFileTypes : {.xlsx, .pptx, .docx, .xls...}
WebReadyMimeTypes : {application/vnd.openxmlformats-officedocument.presentationml.presentation, application/vnd.openxmlformats-officedocument.wordprocessingml.document, application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, application/vnd.ms-powerpoint...}
WebReadyDocumentViewingForAllSupportedTypes : True
WebReadyDocumentViewingSupportedMimeTypes : {application/msword, application/vnd.ms-excel, application/x-msexcel, application/vnd.ms-powerpoint...}
WebReadyDocumentViewingSupportedFileTypes : {.doc, .dot, .rtf, .xls...}
AllowedFileTypes : {.rpmsg, .xlsx, .xlsm, .xlsb...}
AllowedMimeTypes : {image/jpeg, image/png, image/gif, image/bmp}
ForceSaveFileTypes : {.vsmacros, .ps2xml, .ps1xml, .mshxml...}
ForceSaveMimeTypes : {Application/x-shockwave-flash, Application/octet-stream, Application/futuresplash, Application/x-director}
BlockedFileTypes : {.vsmacros, .msh2xml, .msh1xml, .ps2xml...}
BlockedMimeTypes : {application/x-javascript, application/javascript, application/msaccess, x-internet-signup…}
PhoneticSupportEnabled : False
DefaultTheme :
IsDefault : True
DefaultClientLanguage : 0
LogonAndErrorLanguage : 0
UseGB18030 : False
UseISO885915 : False
OutboundCharset : AutoDetect
GlobalAddressListEnabled : True
OrganizationEnabled : True
ExplicitLogonEnabled : True
OWALightEnabled : True
DelegateAccessEnabled : True
IRMEnabled : True
CalendarEnabled : True
ContactsEnabled : True
TasksEnabled : True
JournalEnabled : True
NotesEnabled : True
RemindersAndNotificationsEnabled : True
PremiumClientEnabled : True
SpellCheckerEnabled : True
SearchFoldersEnabled : True
SignaturesEnabled : True
ThemeSelectionEnabled : True
JunkEmailEnabled : True
UMIntegrationEnabled : True
WSSAccessOnPublicComputersEnabled : False
WSSAccessOnPrivateComputersEnabled : False
ChangePasswordEnabled : False
UNCAccessOnPublicComputersEnabled : False
UNCAccessOnPrivateComputersEnabled : False
ActiveSyncIntegrationEnabled : True
AllAddressListsEnabled : True
RulesEnabled : True
PublicFoldersEnabled : True
SMimeEnabled : False
RecoverDeletedItemsEnabled : True
InstantMessagingEnabled : True
TextMessagingEnabled : True
ForceSaveAttachmentFilteringEnabled : False
SilverlightEnabled : True
InstantMessagingType : Ocs
DisplayPhotosEnabled : True
SetPhotoEnabled : True
AllowOfflineOn : AllComputers
SetPhotoURL :
PlacesEnabled : True
WeatherEnabled : True
AllowCopyContactsToDeviceAddressBook : True
PredictedActionsEnabled : True
UserDiagnosticEnabled : False
FacebookEnabled : True
LinkedInEnabled : True
WacExternalServicesEnabled : True
WacOMEXEnabled : True
ReportJunkEmailEnabled : True
GroupCreationEnabled : True
SkipCreateUnifiedGroupCustomSharepointClassification : True
WebPartsFrameOptionsType : SameOrigin
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : OwaMailboxPolicy-Default
DistinguishedName : CN=OwaMailboxPolicy-Default,CN=OWA Mailbox Policies,CN=Configuration,CN=mycompany.onmicrosoft.com, CN=ConfigurationUnits,DC=EURPR01A001, DC=prod,DC=outlook,DC=com
Identity : OwaMailboxPolicy-Default
Guid :
ObjectCategory : EURPR01A001.prod.outlook.com/Configuration/Schema/ms-Exch-OWA-Mailbox-Policy
ObjectClass : {top, msExchRecipientTemplate, msExchOWAMailboxPolicy}
WhenChanged : 04.04.2015 19:53
WhenCreated : 01.11.2013 2:25
WhenChangedUTC : 04.04.2015 15:53
WhenCreatedUTC : 31.10.2013 22:25
OrganizationId : EURPR01A001.prod.outlook.com/Microsoft Exchange Hosted Organizations/mycompany.onmicrosoft.com - EURPR01A001.prod.outlook.com/ConfigurationUnits/ mycompany.onmicrosoft.com/Configuration
Id : OwaMailboxPolicy-Default
OriginatingServer : DAAPR05A001DC03.EURPR01A001.prod.outlook.com
IsValid : True
ObjectState : Unchanged

Для создания политики почтовых ящиков Outlook Web App нужно перейти по кнопке "+" в вышеуказанном меню в Центре администрирования Exchange.

Либо через PowerShell: (New-OwaMailboxPolicy)
New-OwaMailboxPolicy -Name OwaMailboxPolicy-DefaultGroupAccess

Результатом будет выведен список свойств новосозданной политики.
Проверяем параметры, можно сравнить их с политикой, используемой по умолчанию.
Также смотрим, что параметр GroupCreationEnabled установлен в true.
Теперь, если данную политику назначить определенному пользователю, то он получит возможность создавать группы.

Добавление политики пользователю:

1) Из интерфейса Центра Администрирования Office 365: Пользователи - Активные пользователи. Выбираем нужного пользователя, переходим по ссылке справа "Изменение свойств Exchange", далее "функции почтового ящика", блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения".

Далее выбираем вновь созданную политику по кнопке Обзор:

2) Из интерфейса администрирования Exchange Online (EAC): Получатели - Почтовые ящики. Выбираем нужного пользователя, переходим по ссылке справа "Изменение свойств Exchange", далее "функции почтового ящика", блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения". В правом блоке сведений о пользователе находим  блок "Возможность подключения электронной почты", ссылка "Просмотреть сведения". 
И далее указываем нужную политику.

3) Через PowerShell (Set-CASMailbox). Удобно, если нужно сделать это для списка пользователей.
Чтобы узнать какая политика назначена на определенный ящик:
Get-CASMailbox testuser4@mycompany.ru | select OwaMailboxPolicy

Команда назначения политики пользователю:
Set-CASMailbox -Identity testuser4@mycompany.ru `
-OwaMailboxPolicy OwaMailboxPolicy-DefaultGroupAccess

II. Способ отключения создания групп через политику пользователя
Теперь вкратце для ознакомления расскажу про многострадальный второй способ отключения групп через политики пользователя.
Если перейти в том же интерфейсе Центра администрирования Exchange: Разрешения -> Роли пользователей, то увидим там политику Default Role Assignment Policy. В ее настройках присутствует параметр "MyDistributionGroups", который обещает, что "Эта роль позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов групп рассылки, владельцами которых они являются." Судя по описанию, это как раз тот параметр, который бы мог помочь в решении вышеописанной проблемы, но тогда бы не было этой статьи.

На просторах англоязычных форумов было найдено такое предполагаемое решение вопроса: внутри политики пользователя командой PowerShell (New-ManagementRole) создавался дочерний относительно MyDistributionGroups параметр, который мог отключать родительский параметр.

Создание дочернего параметра:
New-ManagementRole -Parent 'MyDistributionGroups' -name 'removeCreateGroupRights'
Удаление у этого параметра возможности работы с группами (Remove-ManagementRoleEntry)
Remove-ManagementRoleEntry "removeCreateGroupRights\New-DistributionGroup"

В результате выполнения второй команды может появится следующее сообщение:
Are you sure you want to perform this action?
Removing the "(Microsoft.Exchange.Management.PowerShell.E2010) New-DistributionGroup -Alias -Confirm -CopyOwnerToMember -DispalyName -ErrorAction -ErrorVariable -ManagedBy -MemberJoinRestriction -Members _ModeratedBy -ModerationEnabled -Name -Notes -OutBuffer -OutVariable -PrimarySmtpAddress -SedModerationNotifications -WarningAction -WarningVariable -WhatIf" management role entry on the "removeCreateGroupRights" management role


Соглашаемся с этим действием. Чтобы проверить результат выполнения команды, снова открываем политику пользователя и видим, что у параметра MyDistributionGroups появился дочерний параметр removeCreateGroupRights:


Теперь необходимо установить "галку" на removeCreateGroupRights и снять ее с параметра MyDistributionGroups. Если оставить оба параметра, то, говорят, ничего не изменится. При сохранении может появится такое предупреждение "Изменения этой политики назначения могут повлиять на многих пользователей. Вы действительно хотите внести это изменение?":

Далее необходимо ждать, как говорят, не менее 48 часов, чтобы изменения политики вступили в действие для всех пользователей (хотя у кого-то функционал сработал в течение получаса).Я ждала трое суток, но как оказалось безрезультатно, т.к. повторю, что данный способ может сработать только если данный функционал не перебивается более приоритетной политикой OWA.

И последнее, как отменить внесенные изменения, если они больше не нужны?
Снова заходим в политику пользователя Default Role Assignment Policy, возвращаем все "галки" как было до изменения.
А следующей PowerShell командой (Remove-ManagementRole) удаляем созданный ранее дочерний параметр:
Remove-ManagementRole removeCreateGroupRights

(с) Ella S.

1 комментарий: