Aggiornamenti alle impostazioni di creazione dei gruppi nell’Azure AD Admin Center

Modifiche per colmare le lacune nella creazione delle interfacce amministrative

La notifica del centro messaggi MC275349 (3 agosto) informa gli amministratori della necessità di controllare le impostazioni per la creazione di gruppi nell’interfaccia di amministrazione di Azure AD. In precedenza, queste impostazioni regolavano la capacità degli utenti di creare nuovi gruppi di sicurezza e gruppi di Microsoft 365 tramite l’interfaccia di amministrazione di Azure AD. Tuttavia, l’impostazione non regolava altre interfacce amministrative come PowerShell o l’API Microsoft Graph Groups. Le nuove impostazioni (Figura 1) coprono tutte le interfacce amministrative e sono ora disponibili.

Azure

Microsoft consiglia di controllare le impostazioni del tenant per assicurarsi che la modifica non abbia influito sul modo in cui l’organizzazione gestisce la creazione dei gruppi.

 

Controlli specifici per gruppi  

 

Le impostazioni di Azure AD si applicano alle interfacce amministrative. Esistono altri controlli a livello di applicazione. Il miglior esempio di ciò è Microsoft 365 Groups, che usa un criterio di directory di Azure AD per archiviare le impostazioni usate per controllare diversi aspetti dei gruppi. Il valore predefinito per l’impostazione EnableGroupCreation è True, il che significa che qualsiasi utente può creare un nuovo gruppo Microsoft 365. Se False, entra in gioco l’impostazione GroupCreationAllowedGroupId. Questo definisce il GUID di un gruppo i cui membri possono creare nuovi gruppi.

Il controllo della creazione di gruppi mediante questo modo richiede le licenze di Azure AD P1 Premium.

Ciò che è un po’ più problematico per alcuni è la mancanza di una GUI per controllare la maggior parte delle impostazioni dei criteri (i criteri di denominazione e le impostazioni delle parole bloccate sono disponibili nell’interfaccia di amministrazione di Azure AD). La mancanza di una GUI completa significa che gli amministratori devono usare PowerShell per accedere e aggiornare le altre impostazioni dei criteri, inclusa la creazione di gruppi.

Ad esempio, per scoprire l’insieme di utenti autorizzati a creare gruppi e il nome del gruppo definito nella policy, è possibile utilizzare questo codice:

 

$Values = Get-AzureADDirectorySetting | ?{$_.DisplayName -eq “Group.Unified”} $GroupId = $Values.Values |?{$_.Name -eq “GroupCreationAllowedGroupId” } | Select -ExpandProperty Value Write-Host (“The name of the group defined by policy to control group creation is {0} and its object identifier is {1}” -f (Get-AzureADGroup -ObjectId $GroupId).DisplayName, $GroupId) Get-AzureADGroupMember -ObjectId $GroupId The name of the group defined by policy to control group creation is GroupCreationControl and its object identifier is 12cb915b-2365-4bed-baf6-6257b3543273 ObjectId                             DisplayName                 UserPrincipalName                     UserType ——–                             ———–                 —————–                     ——– bff4cd58-1bb8-4898-94de-795f656b4a18 Tony Redmond                Tony.Redmond@office365itpros.com      Member edc6b121-44b8-4261-9ca7-3603a16caa3e Andy Ruth (Director)        Andy.Ruth@office365itpros.com         Member 43d08764-07d4-418c-8203-a737a8fac7b3 Global Tenant Administrator GblAdmin@office365itpros.com          Member

Per modificare il gruppo utilizzato per controllare la creazione dello stesso, bisogna aggiornare la politica della directory. Ad esempio, questo codice recupera i valori per il gruppo che si vuole usare e le impostazioni correnti e usa i valori con il cmdlet Set-AzureADDirectorySettin per aggiornare i criteri di directory.

 

$ObjectId = (Get-AzureADGroup -SearchString “Group Creation Allowed”).ObjectId $Settings = Get-AzureADDirectorySetting | ? {$_.DisplayName -eq “Group.Unified”} $Settings[“GroupCreationAllowedGroupId”] = $ObjectId Set-AzureADDirectorySetting -Id $Settings.Id -DirectorySetting $Settings

 

Creazione Outlook  

 

L’ impostazione GroupCreationEnabled nel criterio cassetta postale OWA assegnato alle cassette postali era il meccanismo di controllo originale per la creazione di gruppi (OWA è stato il primo client a supportare i gruppi di Office 365, come sono stati denominati nel 2014). Questa impostazione persiste oggi e deve essere True per consentire agli utenti di creare nuovi gruppi con un client Outlook.

 

Poco impatto  

 

Le modifiche apportate non influenzeranno molti dei tenat che controllano la creazione di un gruppo. In ogni caso, il cambiamento è ragionevole da introdurre, anche se necessita l’attenzione di Microsoft ad alcune evidenti carenze, come la mancanza di una GUI per la politica della directory dei gruppi.

 

Le informazioni presenti in questo post sono prese dall’articolo “Updates to Group Creation Settings in Azure AD Admin Center

Modern Infrastructure

Articoli correlati

Contattaci

La tua crescita parte da qui
Per maggiori informazioni

Contattaci

    Iscriviti alla newsletter

      Tematiche d'interesse