Standard kullanıcıların Microsoft 365 grubu oluşturması nasıl engellenir?

Mail dağıtım veya benzer grupları oluşturmak için yönetici yetkiniz olması gerekir. Fakat M365 gruplarını varsayılan olarak tüm kullanıcılar oluşturabilmekte.

Standard kullanıcılar, IT yöneticilerinden bağımsız olarak Teams, SharePoint gibi servisler üzerinde birlikte çalışmak için M365 grupları oluşturabilir. Örneğin: Teams üzerinde oluştulan bir ekip arka planda bu ekibe bağlı bir M365 grubu ve SharePoint sitesi oluşturur. Bazı kurumlar bu gibi durumlarda oluşacak karmaşayı önlemek için M365 grubu oluşturma yetkisini tüm kullanıcılardan alıp sadece belli bir ekibe atamak istiyor. Bu durumda ilk olarak grup oluşturma yetkisini atayacağımız kişileri barındıran bir güvenlik grubu oluşturacağız. Ardından tüm kullanıcıların grup oluşturmasını engelleyecek bir powershell betiği çalıştıracağız.

Bu aşamada bazı lisans gereksinimleri de mevcut. Grup oluşturma yetkilerini yapılandırdığımız yönetici hesabı ve grup yaratma yetkisine sahip grup üyeleri için Azure AD Premium lisansı gerekmektedir. Fakat M365 grubu oluşturma yetkisi bulunmayan kullanıcılar için herhangi bir lisans ayrıcalığı gerekmemektedir.

Başlayalım

Microsoft 365 Yönetim Merkezi’ne giriş yaptıktan sonra Ekipler ve gruplar >> Etkin ekipler ve gruplar menüsüne tıklayın. Burada Grup ekle diyerek bir güvenlik grubu oluşturacağız.

Grup oluşturma penceresinde Grup türü olarak Güvenlik seçin.

Gruba bir isim vererek oluşturma işlemini tamamlayabilirsiniz. Bizim grubumuza İzinliKullanıcılarismini verdik. Grup oluşturma tamamlandığında Üyeler başlığından grup oluşturmasını istediğimiz kullanıcıları ekliyoruz.

Sonrasında powershell kısmına geçiyoruz. Powershell üzerinde çalıştıracağımız komutlar için Azure Active Directory Preview modulünün bilgisayarınızda kurulmuş olması gerekli.

Install-Module AzureADPreview komutu ile gerekli modulü kurabilirsiniz. Eğer Azure Active Directory’nin farklı bir modulü kurulu ise bu adımda hata alabilirsiniz. Uninstall-Module AzureAD komutu ile mevcut sürümü kaldırdıktan sonra tekrar Install-Module AzureADPreview komutu ile doğru modulü kurabilirsiniz.

Aşağıdaki script dosyasını bu linkteki Microsoft dökümanından kopyaladıktan sonra notepad üzerinde düzenleyerek “$GroupName” değişkeninin karşısına oluşturduğunuz güvenlik grubunun ismini yazın. Bizim örneğimizde yetkili kullanıcıları grup oluşturma engelinden hariç bırakmak için “İzinliKullanıcılar” grubunu oluşturmuştuk.

Script dosyasını yine örnekteki gibi GroupCreators.ps1 olarak bilgisayarınıza kaydedebilirsiniz. Powershell’I yönetici olarak çalıştırdıktan sonra script dosyasının olduğu dizine gelerek  .\GroupCreators komutuyla scripti çalıştırabilirsiniz. Ekrana gelen oturum açma penceresinde Azure Active Directory’ye yönetici hesabınız ile oturum açın. Ardından script otomatik olarak çalışıp belirttiğiniz grup hariç tüm kullanıcılar için grup oluşturma özelliğini devre dışı bırakacaktır. 

Uyguladığımız bu adımlar sonunda bir ayrıcalık tanımasak bile Global admin yetkisine sahip kullanıcılar M365 Admin Center üzerinden M365 grupları oluşturmaya devam edebilirler.

Exit mobile version