Erstellen von Teams durch Schüler:innen unterbinden
Da die Standardeinstellung in MS Teams zulässt, dass Schüler:innen selbst Teams erstellen können, kann es sinnvoll seine, diese Funktion auf Lehrkräfte und Mitarbeiter:innen zu beschränken. Wenn Schüler:innen selbst Teams erstellen, werden nicht automatisch Lehrkräfte oder Mitarbeiter:innen eingeladen. Somit besteht keine Kontrolle über die geteilten Inhalte.
Wenn es nicht gewollt ist, dass Schüler:innen selbst eigene Teams erstellen können, nutze die folgende Anleitung um nur Lehrkräften (oder Mitglieder einer bestimmten Sicherheitsgruppen) die Möglichkeit zum Erstellen zu geben. Die Änderungen wirken sich neben Teams auf folgende 365-Dienste aus: Outlook, SharePoint, Yammer (abgekündigt), Stream, StaffHub, Planner, PowerBI und Roadmap. Die Umsetzung erfolgt durch die Einschränkung einer Sicherheitsgruppe und wird mit PowerShell durchgeführt. Globale Administratoren werden auch weiterhin Teams und Gruppen über beliebige Mittel erstellen können, beispielsweise im Microsoft 365 Admin Center.
Lizenzierungsanforderungen: Admins und Personen, die die Einstellungen für die Gruppenerstellung konfigurieren sollen, benötigen zugewiesene Azure AD Premium-Lizenzen oder Azure AD Basic EDU-Lizenzen (sind in M365 und O365 A1, A3 und A5 enthalten).
Teil 1: Erstellen einer Sicherheitsgruppe
… für Personen, die 365-Gruppen (Teams) erstellen dürfen:
- Melde dich im Admin Center an (https://admin.microsoft.com).
- Wechsele im Admin Center zur Seite Teams und Gruppen > Aktive Teams und Gruppen.
- Klicke auf Sicherheitsgruppen > Sicherheitsgruppe hinzufügen.
- Wähle einen Namen für die Gruppe. Du benötigst ihn später noch. Zum Beispiel: MSOL-TeamsErsteller.
- Schließe die Einrichtung der Sicherheitsgruppe ab und füge Personen oder andere Sicherheitsgruppen hinzu, die in deiner Organisation Gruppen (und Teams) erstellen können sollen.
Hinweis: Die Personen in dieser Gruppe werden später Teams und Gruppen erstellen dürfen. Personen, die dieser Gruppe nicht angehören, dürfen die nicht mehr.
Teil 2: PowerShell benutzen
Es wird die Vorschau-Version benötigt. Führe PowerShell als Administrator auf deinem PC aus (gib im Suchfenster in der Windows-Taskleiste PowerShell ein und wähle als Administrator ausführen). Installiere das benötigte Modul mit folgendem Befehl: Install-module AzureADPreview.
Kopiere folgendes Skript in einen Editor.
$GroupName = „MSOL-TeamsErsteller„
$AllowGroupCreation = „False“
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value „Group.Unified“ -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq „group.unified“}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value „Group.Unified“ -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy[„EnableGroupCreation“] = $AllowGroupCreation
if($GroupName)
{
$settingsCopy[„GroupCreationAllowedGroupId“] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
else {
$settingsCopy[„GroupCreationAllowedGroupId“] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
Ersetze den Namen der Sicherheitsgruppe, die du zuvor erstellt hast z.B. in $GroupName = „MSOL-TeamsErsteller“. Speichere die Datei unter dem Namen GroupCreators.ps1 ab. Wechsele im PowerShell-Fenster zu dem Speicherort, an dem du die Datei gespeichert hast (gib ggf. CD.. ein). Führe das Skript aus, indem du folgendes eingibst: .\GroupCreators.ps1 (inkl. führender Punkt [.]) und melde dich bei entspr. Aufforderung mit dem Admin-Benutzerdaten an.
Teil 3: Überprüfe, ob alles ordnungsgemäß funktioniert
- Melde dich mit einem Benutzerkonto von Personen in MS Teams an, die nicht in der Lage sein sollen, Gruppen zu erstellen. Also einer Person, die nicht Mitglied der von dir erstellten Sicherheitsgruppe oder ein Administrator ist.
- Wähle links im Menü Teams aus.
- Auf dieser Ansicht sollte es nun keine Möglichkeit mehr geben, ein Team zu erstellen.
- Wiederhole den Vorgang mit einem Mitglied aus der Sicherheitsgruppe, die Teams erstellen darf.
- Hier sollte es nun die Möglichkeit geben, ein Team zu erstellen.
Falls das PowerShell-Skript nicht ausgeführt werden kann
Falls du beim Ausführen von PowerShell-Skripten eine Fehlermeldung (sinngemäß): „… das Ausführen von Skripten ist auf diesem PC deaktiviert“ erhältst, führe folgende Schritte in PowerShell durch:
- Prüfe mit dem Befehl Get-ExecutionPolicy, ob du die Rückmeldung „Restricted“ erhältst. Wenn ja, fahre mit Schritt 2. fort, andernfalls setze dich mit uns (CERTNET) in Verbindung.
- Gib den Befehl Set-ExecutionPolicy RemoteSigned ein. Bestätige die Rückfrage mit j für „Ja“.
- Jetzt solltest du PowerShell-Skripte ausführen können.
- Falls du später wieder zu den Standardeinstellungen zurückkehren möchtest, gib Set-ExecutionPolicy Default ein. Bestätige die Rückfrage mit j für „Ja“. Nun ist die Ausführung wieder deaktiviert.