在前一篇博客中, 我介绍了Teams的基础架构,每建一个新的Teams团队都会在后台创建Microsoft 365组、SharePoint站点、团队共享邮箱等项。默认情况下,任何人都可以新建一个Teams 团队,这对于组织管理员其实是非常不想看到的。如果不加限制,很可能很快用户就被拉入无数个Teams团队,若干SharePoint站点、M365继而出现在管理员的管理中心里。这有点像微信的群聊,很可能自己莫名其妙地被加到形形色色的群中。
因此我个人建议组织在大规模启用Teams之前,首先需要确立哪些用户有权限能创建Teams 团队,将这些用户加入某一个组中,仅允许该组成员创建Teams 团队。
通过脚本设置有权限创建Microsoft 365组的组
具体实施,是通过管理可创建 Microsoft 365 组的人员来实现的。详情基于微软的这篇文章:
https://docs.microsoft.com/zh-cn/microsoft-365/solutions/manage-creation-of-groups?view=o365-worldwide
实现很简单,仅需2个步骤
1. 新建或使用一个同步到Azure AD的组
仅该组成员可以创建新的Microsft 365组,因此也仅有该组成员可以新建Teams 团队。
可以新建一个Microsoft 365组,也可以使用从本地AD同步到Azure AD的组。
我的示例中新建了一个新的M365组,命名为"GroupCreator"
2. 运行PowerShell脚本,设置仅该组成员可以创建M365组
修改微软文章中的PowerShell脚本,将GroupName的值设成步骤1中选定的那个组的组名,例如GroupCreator
$GroupName = "<GroupName>"
根据实际情况,改成组名。例如
$GroupName = "GroupCreator"
随后运行脚本,按提示输入Microsoft 365管理用户帐户信息即可。
需注意的是:
- 限制可创建组的人员,即限制了包括能创建Teams团队、以及其它依赖于Microsoft 365组的应用的能力
- 特定管理员角色,例如Exchange 管理员、Teams管理员等角色不受此脚本影响,仍可以继续创建Microsoft 365组
验证有效性
脚本运行后设置立即生效。普通用户在Teams客户端,点击"加入或创建团队"后,只能加入团队,而不再有创建团队的选项。
作为对比,下图是有权限的用户(例如管理员)的Teams客户端界面,仍然可以创建团队。