Close

Désactiver la création de groupes et d'équipes dans Microsoft Teams

Pour planter le décor, la solution que je vais vous présenter n’est clairement pas celle que je recommande de prime abord à nos clients. En effet, le fait que la plateforme Office 365 autorise la désactivation de la création de groupes, n’implique pas nécessairement que cela soit une bonne pratique à mettre en oeuvre.

De manière générale, je suis plus un partisan d’une modération a posteriori sous la forme d’écrans de contrôle simples et efficaces (Par exemple dans PowerBI), que de modération a priori qui impliquerait un workflow de gestion des demandes de création de groupes avec approbation par un groupe d’administrateurs. Cette seconde option présente en effet certaines contraintes majeures :

  1. L’expérience nous démontre que les modérations a priori représentent un frein important à l’adoption, contrairement à un mode self-service, certes plus contraignant en termes de gouvernance, mais plus agile pour les équipes au quotidien
  2. Les groupes Office 365 étant désormais une brique centrale au sein de la plateforme Office 365 (Intégration avec Outlook, Teams, Yammer…), leur désactivation risque à terme d’impliquer une expérience utilisateur incohérente, voir en contradiction avec la philosophie même de la solution.

Ceci étant, pour de multiples raisons, nos clients nous demandent parfois de réserver la création de groupes à un cercle restreint d’utilisateurs, en particulier pour :

  • Prévenir la création de groupes en doublon ou redondants
  • Appliquer des conventions de nommage sur les groupes lorsqu’elles ne peuvent être mise en place de manière automatisée

Préambule

La méthode employée jusqu’alors pour désactiver la création de groupes reposait sur une politique de boîte aux lettres Outlook. Mais cette technique n’est plus valable, car elle ne désactive que la création de groupes depuis Outlook (Desktop et Web). Or Microsoft permet désormais la création de groupes par d’autres canaux, en particulier de manière indirecte via la création de groupes Yammer, de sites d’équipe SharePoint, ou encore depuis Microsoft Teams. Le caractère désormais central des groupes implique donc d’utiliser une nouvelle méthode plus globale.

La démarche

Prérequis

Pour exécuter le script PowerShell qui va suivre, vous aurez besoin des composants suivants :

Script à exécuter

Ce script est issu de l’excellent article de Wictor Wilén publié ici.

Précisions sur le script

L’objet settings présente différentes options pour paramétrer votre gouvernance de groupes :

  • EnableGroupCreation – Doit être défini à « False » de manière globale. Ils sera overridé à « True » pour le groupe d’administration que vous aurez désigné.
  • GroupCreationAllowedGroupId – L’identifiant du groupe de sécurité qui sera autorisé à créer des groupes.
  • UsageGuidelinesUrl – Une URL optionnelle pointant sur la documentation de votre politique de sécurité pour vos employés.
  • GuestUsageGuidelinesUrl – Une URL optionnelle pointant sur la documentation de votre politique de sécurité à destination des utilisateurs externes à votre entreprise. Ce lien sera visible dans le mail d’invitation des utilisateurs externes, et doit donc être accessible via une URL publique.
  • ClassificationList – Une liste de valeurs optionnelle présentant les options de classification qui seront présentées aux utilisateurs à la création des groupes (La première valeur étant la valeur par défaut proposée à l’utilisateur)

Conclusions

Cette solution Powershell permettra de répondre rapidement à ce type de demandes liées à la gouvernance de manière assez souple, mais une interface de paramétrage dédiée dans les écrans d’administration d’Azure AD serait tout de même la bienvenue pour les allergiques au scripting…

En outre et d’après les derniers tests effectués, bien que ce script prenne en compte un grand nombre de sources possibles de création de groupes (Outlook, Yammer, Planner, Teams, PowerBI, Graph…), la création de groupes depuis StaffHub reste manifestement toujours possible, probablement le temps qu’une mise à jour ne lui permette de prendre en compte ces paramétrages de sécurité.

Pour finir, un merci tout particulier à Etienne Bailly qui avait présenté avec brio les différentes options techniques disponibles, lors de sa session à la dernière conférence SharePoint Days Tunisia.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *