Comment bloquer la création des équipes Teams ?

I. Présentation

Microsoft Teams est un excellent outil collaboratif, de plus en plus utilisé en entreprise mais également dans les écoles. Chaque utilisateur qui dispose d'un accès à Teams dans votre tenant Microsoft 365 est en mesure de créer une équipe Teams. Personnellement, je pense que ce n'est pas l'idéal et que c'est le meilleur moyen de perdre le contrôle... Se pose alors la problématique suivante : comment bloquer la création des équipes Teams ? Autrement dit, comment autoriser seulement certains utilisateurs à créer des équipes Teams ?

On peut imaginer que la création soit gérée par le service informatique ou par des responsables de service, afin d'éviter d'avoir des équipes créés dans tous les sens, pour tout et n'importe quoi.

Pour le moment, Microsoft ne permet pas de gérer cette restriction via les stratégies Microsoft Teams, ni même par le panneau d'administration de Teams. En effet, il faut passer par PowerShell à l'heure où j'écris ces lignes : c'est expliqué sur le site de Microsoft.

Nous allons pouvoir définir un groupe de sécurité, j'ai bien dit un seul et unique groupe, qui contiendra les utilisateurs autorisés à créer des équipes Teams. En complément, les Administrateurs du tenant conserverons ce droit. Ça ne fonctionne pas par restriction mais par autorisation : on bloque pour tout le monde et on autorise les membres d'un groupe.

Ce groupe de sécurité peut-être créé directement en ligne sur votre tenant. Sinon, il peut s'agir d'un groupe de sécurité Active Directory synchronisé sur votre tenant à l'aide d'Autre AD Connect. Ce groupe peut contenir les utilisateurs en direct ou d'autres groupes : à vous de voir.

Attention : le blocage ne restreint pas seulement la création des équipes Teams, mais tout ce qui touche aux groupes Office 365. En effet, il n'est pas possible de bloquer seulement la création d'équipes Teams. La restriction basée sur ce groupe va empêcher les utilisateurs qui ne sont pas dans ce groupe de créer des équipes Teams d'une part, mais aussi des groupes Outlook, Planner, Yammer ou encore SharePoint.

Pour rappel, au sein du client Teams, la création d'une équipe s'effectue en cliquant sur le bouton "Créer une équipe".

Si vous êtes prêt, alors c'est parti nous allons voir comment procéder.

II. Le module AzureAD Preview

La documentation indique qu'il est nécessaire d'utiliser le module Azure AD de PowerShell dans sa version Preview, et non avec la version stable (2.X).

Pour regarder si la version stable est installée sur votre machine, exécutez la commande suivante :

Get-Module -ListAvailable | Where{ $_.Name -eq "AzureAD" }

Si le résultat de la commande est vide, c'est tout bon. Sinon vous devez désinstaller le module avec la commande suivante :

Uninstall-Module AzureAD

Ensuite, installez la version Preview du module, comme ceci :

Install-Module AzureADPreview

Lorsque c'est fait, vous pouvez passer à la suite.

III. Autoriser un groupe à créer des équipes Teams

Ouvrez PowerShell ISE ou votre éditeur de code préféré et insérez le code suivant :

$GroupName = "<SecurityGroupName>"
$AllowGroupCreation = "False"

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
  $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
  $settingsCopy = $template.CreateDirectorySetting()
  New-AzureADDirectorySetting -DirectorySetting $settingsCopy
  $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
else {
  $settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

Dans ce script, vous devez modifier une seule valeur : il s'agit du nom du groupe de sécurité qui contient les utilisateurs autorisés à créer des équipes Teams (première ligne).

Le script va désactiver la création des équipes Teams sur votre environnement et autoriser votre groupe. Si vous êtes prêt, vous pouvez l'exécuter.

Lors de l'exécution, il sera nécessaire de vous authentifier sur votre tenant avec un compte Administrateur du tenant Microsoft 365 : une fenêtre va apparaître à l'écran, comme ceci :

A la suite de l'opération, le résultat retourné est le suivant :

Une fois l'opération réalisée, lorsque l'on essaie de créer une équipe Teams à partir d'un compte utilisateur qui n'est pas membre du groupe de sécurité, le message "Vous n'êtes pas autorisé" s'affiche dans Teams. Le blocage est opérationnel !

Nous venons de voir comment empêcher les utilisateurs de créer des équipes Teams sur votre tenant Office 365, en attendant que Microsoft propose une gestion directement dans le panneau d'administration Teams.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2458 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.