ניהול ואכיפת קבוצות Office 365

שיתוף וקולבורציה הם הבסיס לעבודה היומיומית והדרך שלנו לתקשר ולעבוד באופן דינמי שוטף מול משתמשים בחברה ומשתמשים מחוץ לחברה. בשירות Office 365 ישנם דרכים שונות לבצע קולבורציה בין משתמשים באמצעות כלים שונים כדוגמת Microsoft Teams, שיתוף תוכן באמצעות SharePoint Online וכן הלאה.

הבסיס לביצוע קולבורציה ברוב תשתיות הענן והכלים בשירות Office 365 מבוססים על גבי קבוצות Office 365, קבוצות אלה נוצרות באופן אוטומטי ומאפשרת בין היתר אינטגרציה בין הכלים השונים.

קבוצות מבוססות Office 365

בשירות Office 365 ישנה אפשרות ליצור קבוצות מבוססות Office 365 ע"י כל משתמש, ולאחר יצרית קבוצה אותו משתמש יכול להוסיף חברים לקבוצה, אותו משתמש יכול לנהל את הקבוצה באופן חופשי וללא מגבלה מול כלל המשתמשים החברים בקבוצה בין אם משתמשי החברה או חיצונים.
ברירת המחדל בשירות Office 365 היא שבאופן דיפולטי כל משתמש יכול ליצור קבוצות Office 365 באופן חופשי, ללא מגבלה וללא בעיה ולכן מצב כזה עלול להוביל לסוג של כאוס.

כאשר משתמש יוצר קבוצת מבוססת Office 365 מאחורי הקלעים מתרחשים מספר פעולות, בין היתר: נוצר Team Site ברמת SharePoint Online, נוצרת קבוצה מסוג DL ברמת Exchange Online, בנוסף לכך קבוצות אלה מכילות אפשרויות נוספות, כגון: שיתוף מסמכים, עבודה מול יומן משותף, notebook, Planner וכן הלאה.

בין כלל הכלים שנוצרים ועמם עובדים קבוצות Office365 ישנם שני Services חשובים שיוצרים מאחורי הקלעים אובייקטים והגדרות שונות.

כאשר יוצרים Office 365 Groups נוצרים אובייקטים מסוג Unified Groups, אובייקטים אלה מכילים אפשרויות שונות שהוזכרו קודם לכן וכוללים אינטגרציה מול שירותי ענן ובעיקר מול Exchange Online וכן SharePoint Online.

קבוצות Office 365 מסוג Unified Group בין היתר מאפשרות ניהול פשוט יותר, אפשרויות רבות מול כלל הכלים וכן הלאה. בכדי לקבל את רשימת קבוצות Office 365 יש להריץ את הפקודה הבאה: Get-UnifiedGroup

הזכרנו אינטגרציה בין שירותי Exchange Online וכן SharePoint Online, במקרים כאלה נוצרים אובייקטים מסוימים: (בקצרה)

  • ברמת Exchange Online נוצרים אובייקטים מסוג Distribution List שמאפשרים שליחה של מיילים אל הקבוצה מתוך משתמשים פנימים ואת האפשרויות (שאינה מסומנת באופן דיפולטי) של שליחה מחוץ לארגון.
    (ישנם סוגי קבוצות נוספים אשר קיימים ברמת Exchange והם Security Groups וכן Distribution List למינהם שנוצתרים באופן ייעודי)
  • ברמת SharePoint Online נוצר באופן אוטומטי Site Collection אשר נמצא במצב Hidden, ובממשק אדמין הישן אינן גלויות אלא רק בממשק אדמין החדש. האובייקט שנוצר מכיל URL עם שם הקבוצה ומאפשר גישה פנימית חיצונית אל אותו URL באין מפריע. (אלא אם כן SharePoint Online הוקשח).

איפה הבעיה

במידה והאפשרות של יצירת קבוצות פתוחה באופן דיפולטי, אנו יכולים להגיע למצב של מאות קבוצות תוך זמן קצר בשירות Office 365, ומכאן הניהול שלהם הופך להיות קשה. לדעתי מצב שאינו מומלץ בגלל שעלול ליצור כאוס ולכן ארגונים רבים סוגרים את האפשרויות הנ"ל באופן גורף.

מצד שני ישנם מצבים בהם יצירת קבוצות Office 365 סגורות למשתמשי קצה ואין להם אפשרות ליצור כלל, אלא אם כן פותחים לפי דרישה, או יוצרים קבוצה דרך מנהל וכן הלאה. לדעתי מצב לא מומלץ שאינו מייעל את העבודה של המשתמשים אלא רק יוצר עוד עבודה למי שמתחזק את הענן.

בשורה התחתונה שני המצבים המוזכרים אינם מומלצים בגלל מספר סיבות:

  • הורס את כל הענין של היכולות והכלים המוצעים
  • עלול לגרום לתקורת ניהול גבוהה בין אם סוגרים או מאפשרים באופן רגיל

אם כך אז מה עושים? ישנם מספר דרכים בכדי לאפשר למשתמשים לעבוד באופן (יחסית) חופשי ומצד שני לאפשר ניהול נכון של קבוצות Office 365.

שליטה והגדרת Office 365 Groups

ישנם אפשרויות רבות לניהול ושליטה בעת יצירת קבוצות ע"י משתמשים באופן חופשי אך לפי מדיניות מוגדרת מראש. במאמר זה נרחיב רק על מספר אפשרויות בודדות.

שינוי Default Domain

האפשרות הראשונה היא שינוי Default Domain ברמת Office 365 לדומיין ייעודי של קבוצות. כאשר משתמש יוצר קבוצה הוא מקבל באופן דיפולטי את הדומיין הדיפולטי אשר מוגדר בשירות Office 365, לא בכל המקרים יצירת קבוצות מבוססות DL היא נכונה ובמיוחד במצבים בהם ישנם מתקפות פישינג רבות. דבר נוסף והוא שיותר פשוט לנהל קבוצות לפי דומיין ייעודי. (בעיקר כאשר ישנם מאות ואלפי קבוצות)

הערה חשובה: לאחר יצירת קבוצה עם דומיין מסוים תמיד ניתן לשנות את דומיין הקבוצה.

2018-11-10_21h33_51

בכדי להחיל דומיין דיפולטי לטובת קבוצות יש להריץ את הפקודות הבאות:

New-AzureADDomain -Name groups.your365domain.onmicrosoft.com -IsDefault $true
Get-AzureADDomain

שמות קבוצה לפי פוליסי

אפשרות לא הכי חדשה בשירות Office 365 אבל נדרשת לביצוע מול בכל ארגון שעובד עם ריבוי קבוצות בענן, ועדיין מעונים לתת למשתמשים את חופש היצירה של קבוצות מבוססות Office 365.
ברוב המקרים קבוצות מקבלות קונבנציית שמות לפי SG_ לטובת קבוצות Security Groups וכן DL_ לקבוצות מבוססות Distribution List וכמובן UG_ לקבוצות מבוססות Office 365.

בכדי להחיל קונבנציית שמות לטובת Unified Group יש להריץ את הפקודות הבאות:

#Current settings
$Settings = Get-AzureADDirectorySetting | where DisplayName -eq "Group.Unified"

#Create a new settings from the template if current settings are empty
if(!$Settings){New-AzureADDirectorySetting -DirectorySetting (Get-AzureADDirectorySettingTemplate | where DisplayName -eq "Group.Unified").CreateDirectorySetting()}
$Settings = Get-AzureADDirectorySetting | where DisplayName -eq "Group.Unified"

#Add UG_ Prefix
$Settings["PrefixSuffixNamingRequirement"] = "UG_[GroupName]"

#Save settings
Set-AzureADDirectorySetting -DirectorySetting $Settings -Id $Settings.Id

מגבלת יצירת קבוצות

חלק מאוד חשוב והוא הגבלת יצירת קבוצות למשתמשים מורשים על בסיס קבוצה ייעודית, יש ליצור מבעוד מועד קבוצה ייעודית למשתמשים המורשים ליצור קבוצות Office 365 ולאחר מכן להריץ את הסקיפרט הבא:

#Disable group creation
$Settings["EnableGroupCreation"] = $False

#Set allowed to create Office 365 groups
$Settings["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "O365GroupCreators").objectid

#Save the settings
Set-AzureADDirectorySetting -DirectorySetting $Settings -Id $Settings.Id

לאחר יצירת הסקריפטו משתמשים בעלי הרשאות רשאים ליצור קבוצות Office 365 ללא מגבלה כלשהיא.
במידה ואין רישוי Azure AD P1 הסקריפט אינו אוכף את יצירת הקבוצות באופן תקין.

לסיכום

עבודה עם קבוצות היא משהו הכרחי בימינו ולכן לא מומלץ לסגור את יצירת הקבוצות באופן גורף לכלל המשתמשים, אך כן לאפשר ניהול של יצירת קבוצות באופן מסודר ולפי דגשים שונים שהוזכרו במאמר וכאלה נוספים.
כאשר ישנו פוליסי מסוים ליצירת קבוצות, לאחר מכן התחזוקה של הקבוצות היא פשוטה יותר.

ישנם דרכים נוספות לניהול ואכיפת מדיניות לקבוצות מבוססות Office 365, כגון: יצירה לפי כמות לכל משתמש, יצירה על סמך זמן ושעות מסוימות ועוד אפשרויות נוספות.



:קטגוריותOffice365, כללי

תגים:

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: