אלי שלמה

עוד יום של סייבר בענן

ניהול קבוצות Office 365 Groups (ביטול יצירת קבוצות)

by · 30/04/2017

בסדרת מאמרי ניהול קבוצות Office 365 Groups נבין למה מומלץ לנהל קבוצות בענן ומהם הדגשים והאפשרויות בניהול קבוצות מבוססות Office 365 Groups.

לאחר השקת כלי הפרודוקטיביות של Office 365 שהגיעו עם כלים כדוגמת: Planner, Teams, Office365 Groups ועוד החלו משתמשי קצה ליצור קבוצות ולהשתמש בכל אותן קבוצות באופן מסיבי.
עבודה בקבוצות הביאה יתרון משמעותי למשתמשים ולארגון, אך במקביל אנשי סיסטם חוו מצידם תקורת ניהול גבוהה או שרק עתה מתחילים להרגיש את תקורת הניהול של כל אותן קבוצות. אז מאיפה בדיוק נובעת תקורת הניהול? בגלל שיש למשתמשים אפשרות לפתוח קבוצות (כן ממש כמו בווצאפ) אותם משתמשי קצה פתחו קבוצות בלי הכרה ובארגונים שונים פתחו עשרות, מאות ואף במקרים מסוימים אלפי קבוצות. תארו לכם מצב שבו פותחים את פנקס הכתובות ולפתע רואים עשרות ומאות קבוצות…

הערה בנושא ניהול כללי של הענן, למי ששאל מה יש כבר לאנשי סיסטם לנהל בענן אז קבוצות הוא אחד מאותם מקרים רבים שמצריכים ניהול שוטף.

באופן כללי כאשר משתמשי קצה יוצרים קבוצה מתוך Outlook, יוצרים קבוצה מתוך Teams או יוצרים קבוצה מתוך Palnner (בתור Plan) וכן הלאה אנו יוצרים קבוצה מסוג Office שמוכרת לנו קבוצה מסוג Office365 Groups אך עדיין ברמת Office 365 וברמת Azure הקבוצה מוגדרת לפי קבוצת Office.

למשל קבוצה שנוצרה מתוך Planner ומוצגת בשירות Azure
image

אותה קבוצה מוצגת בשירות Office365 בקבוצת Office 365 Group
image

אותה קבוצה מתוך Exchange Online PowerShell מוצגת כקבוצת Universal (מתוך GroupType)
image

ובמידה ונציג את הקבוצה מתוך Azure PowerShell או מתוך Msol נקבל את הפלט הבא
image

עד עכשיו נראה קצת מבלבל? מהו הנכון? חכו שנגיע לאפשרויות של ביטול יצירת קבוצות…
כאשר מבטלים יצירה של קבוצות מול הענן ישנם מספר אפשרויות:

  • Default Role Assignment Policy
  • OwaMailboxPolicy
  • AzureADGroup

לגבי הקבוצות כל שירות מראה את הקבוצה באופן שונה אך הקבוצה היא אותה קבוצה וכך גם סוג קבוצה ולכן ניהול הקבוצה יכול להיעשות מתוך אחד הממשקים. כאשר מבטלים יצירת קבוצה ישנם גם מספר אפשרויות לביטול הקבוצה החל מהגדרת Role Assignment או OwaMailbox אך הנכון הוא לבטל קבוצות הוא מתוך AzureADGroup אשר מבטל את כלל יצירת הקבוצות מתוך כל הפלפורמות השונות.

איך מבטלים

איך מבטלים את היצירה של כלל הקבוצות מתוך כל כלי הפרודוקטיביות של Office 365

  • יצירת קבוצת אדמין עם הרשאות ליצירה קבוצות
  • הרצת הסקריפט הבא לביטל יצירת קבוצות למשתמשים לא כולל קבוצת אדמין

$creds = Get-Credential
Connect-AzureAD -Credential $creds
Connect-MsolService -Credential $creds
$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AdminGroups").objectid
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
$Setting.values

בסיום נקבל את הפלט הבא
image

הערה: מומלץ להמתין 45 דקות לפני שבודקים האם ההרשאה תקפה.

ניהול קבוצות Office 365 Groups (ביטול יצירת קבוצות)

by · 30/04/2017

בסדרת מאמרי ניהול קבוצות Office 365 Groups נבין למה מומלץ לנהל קבוצות בענן ומהם הדגשים והאפשרויות בניהול קבוצות מבוססות Office 365 Groups.

לאחר השקת כלי הפרודוקטיביות של Office 365 שהגיעו עם כלים כדוגמת: Planner, Teams, Office365 Groups ועוד החלו משתמשי קצה ליצור קבוצות ולהשתמש בכל אותן קבוצות באופן מסיבי.
עבודה בקבוצות הביאה יתרון משמעותי למשתמשים ולארגון, אך במקביל אנשי סיסטם חוו מצידם תקורת ניהול גבוהה או שרק עתה מתחילים להרגיש את תקורת הניהול של כל אותן קבוצות. אז מאיפה בדיוק נובעת תקורת הניהול? בגלל שיש למשתמשים אפשרות לפתוח קבוצות (כן ממש כמו בווצאפ) אותם משתמשי קצה פתחו קבוצות בלי הכרה ובארגונים שונים פתחו עשרות, מאות ואף במקרים מסוימים אלפי קבוצות. תארו לכם מצב שבו פותחים את פנקס הכתובות ולפתע רואים עשרות ומאות קבוצות…

הערה בנושא ניהול כללי של הענן, למי ששאל מה יש כבר לאנשי סיסטם לנהל בענן אז קבוצות הוא אחד מאותם מקרים רבים שמצריכים ניהול שוטף.

באופן כללי כאשר משתמשי קצה יוצרים קבוצה מתוך Outlook, יוצרים קבוצה מתוך Teams או יוצרים קבוצה מתוך Palnner (בתור Plan) וכן הלאה אנו יוצרים קבוצה מסוג Office שמוכרת לנו קבוצה מסוג Office365 Groups אך עדיין ברמת Office 365 וברמת Azure הקבוצה מוגדרת לפי קבוצת Office.

למשל קבוצה שנוצרה מתוך Planner ומוצגת בשירות Azure
image

אותה קבוצה מוצגת בשירות Office365 בקבוצת Office 365 Group
image

אותה קבוצה מתוך Exchange Online PowerShell מוצגת כקבוצת Universal (מתוך GroupType)
image

ובמידה ונציג את הקבוצה מתוך Azure PowerShell או מתוך Msol נקבל את הפלט הבא
image

עד עכשיו נראה קצת מבלבל? מהו הנכון? חכו שנגיע לאפשרויות של ביטול יצירת קבוצות…
כאשר מבטלים יצירה של קבוצות מול הענן ישנם מספר אפשרויות:

  • Default Role Assignment Policy
  • OwaMailboxPolicy
  • AzureADGroup

לגבי הקבוצות כל שירות מראה את הקבוצה באופן שונה אך הקבוצה היא אותה קבוצה וכך גם סוג קבוצה ולכן ניהול הקבוצה יכול להיעשות מתוך אחד הממשקים. כאשר מבטלים יצירת קבוצה ישנם גם מספר אפשרויות לביטול הקבוצה החל מהגדרת Role Assignment או OwaMailbox אך הנכון הוא לבטל קבוצות הוא מתוך AzureADGroup אשר מבטל את כלל יצירת הקבוצות מתוך כל הפלפורמות השונות.

איך מבטלים

איך מבטלים את היצירה של כלל הקבוצות מתוך כל כלי הפרודוקטיביות של Office 365

  • יצירת קבוצת אדמין עם הרשאות ליצירה קבוצות
  • הרצת הסקריפט הבא לביטל יצירת קבוצות למשתמשים לא כולל קבוצת אדמין

$creds = Get-Credential
Connect-AzureAD -Credential $creds
Connect-MsolService -Credential $creds
$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AdminGroups").objectid
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
$Setting.values

בסיום נקבל את הפלט הבא
image

הערה: מומלץ להמתין 45 דקות לפני שבודקים האם ההרשאה תקפה.

Tags:

You may also like...

1 Response

  1. עידן הגיב:
    30/04/2017 בשעה 7:21

    מאמר מצוין אלי

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *