Publicado el |

Office 365 | Gestión de grupos en Office 365 con PowerShell

La aparición de soluciones como Teams, dentro de los planes de Office 365 y Microsoft 365, así como la facilidad de utilización de sus aplicaciones, han multiplicado la creación de grupos de trabajo.

Cierto es que dicha funcionalidad, la de crear grupos en Office 365, ya existía desde hacía tiempo, pues desde Exchange los administradores y usuarios avanzado, podían crear grupos en Office 365 y gestionarlos.

Esta sencillez de la funcionalidad a través de Teams, permite que los usuarios de las organizaciones generen sus propias comunidades, dando como resultado grupos divertidos como el de la cena de navidad, el número de la lotería, entre muchos otros… Grupos que, en la mayoría de las veces, aunque son entretenidos, chocan con las orientaciones y misión de las compañías, así como con el sentido de productividad que se persigue al crear grupos en Office 365. 

Office 365: ¿Por qué se generan grupos?

Como veíamos antes Microsoft Office 365 trabaja con la funcionalidad de “Grupos”. Cuando esta funcionalidad permanece activa (por defecto al crear una organización de Office 365), todos los usuarios pueden crear sitios de SharePoint, Outlook, Yammer, Teams, Planner y Power BI.

Esta sencillez de creación de grupos puede dar más de un quebradero de cabeza a los administradores y gestores de sistemas o del tenant de Office 365, al ver cómo se multiplican los grupos como si la parábola de los panes y los peces se tratase. De la noche a la mañana, una compañía puede llegar a tener 20, 45, 62… Siendo inmanejable su gestión, tratamiento y seguridad de la información. Pues a través de los grupos circulan comunicaciones, archivos y un largo etcétera de información que puede ser sensible para la compañía.

En la actualidad la forma más segura de controlar estos grupos y evitar su creación al libre albedrío y sin control, es utilizando las capacidades de PowerShell.

Para realizar este control de crear grupos en Office 365 es necesario ser usuario administrador. 

Antes de empezar: Instalar PowerShell

Para comenzar esta actividad, es necesario conocer un poco PowerShell. En el caso de ser un usuario iniciado, no hay problema, pues a lo largo de esta página, se van a presentar los pasos que, además, se pueden obtener desde los tutoriales de Microsoft, aunque de una forma menos evidente.

Así que esperamos que las siguientes líneas, os sean de utilidad.

Como PowerShell, al igual que otras soluciones de Microsoft, recibe actualizaciones de forma automática, es recomendable tener instalada la última versión. Si no recordamos cual es, tan solo hay que seguir los siguientes pasos:

  1. Desinstalar versiones anteriores mediante el comando:

            Uninstall-Module AzureAD

  1. Instalar la última versión mediante el comando:

            Install-Module AzureADPreview

Una vez hemos realizado estos dos pasos, vamos al lío  ?

1. Acudir a Azure Active Directory (AD) y crear un grupo de seguridad

azure-ad-grupo-seguridad

Cuando empezamos a planificar un despliegue de soluciones de Office 365, uno de los elementos a tener en cuenta (de los muchos que hay en el proyecto), es la creación de un grupo de seguridad.

Se entiende por un grupo de seguridad un “conjunto” de usuarios preferiblemente administradores de sistemas, que serán los encargados de velar por la integridad y seguridad de la organización, usuarios e información.

Para este primer paso, acudiremos al Directorio Activo de Azure y en la entidad de usuarios, crearemos el grupo de seguridad y añadiremos los usuarios.

2. PowerShell: Conectar el entorno

poweshell-conectar-entorno

Una vez hemos creado nuestro grupo de seguridad (con el nombre en este caso “Seguridad”) acudimos a PowerShell como usuarios administradores.

Escribimos el comando: Connect-AzureAD de forma que podamos abrir la organización de Office 365. Una vez dentro, insertamos nuestras credenciales como usuario administrador.

3. PowerShell: Conectar el entorno

Una vez dentro, veremos una ventana parecida a la que tenemos a continuación con fondo azul que nos recuerda por momentos a aquel antiguo MS DOS. (Qué tiempos!!!. Aunque entonces el fondo de pantalla era en color negro)

poweshell-conectar-entorno-azuread

Como podemos observar, la pantalla nos muestra una información muy básica sobre nuestro usuario (cuenta/account), el entorno en el que nos encontramos y el identificador del tenant, mediante un registro alfanumérico bastante largo.

4. PowerShell: Conectar el entorno

Dado que anteriormente, hemos creado nuestro grupo de “Seguridad”, lo desde Azure, vamos a comprobar que se haya creado también en el panel de administración de Office 365.

En teoría, se tendría que haber creado a los pocos minutos, pues hay una sincronización bidireccional. (Ojo con las organizaciones mixtas o híbridas del tipo nube-onpremise. Estos ejemplos, los estamos viendo sobre un entorno completamente cloud).

poweshell-conectar-entorno-formoct

Una vez hemos accedido y acudimos a la entidad grupos, vemos que efectivamente el grupo existe, por lo que avanzamos con el procedimiento.

5. PowerShell: Buscar nuestro grupo

Llegados a este punto, lo que vamos a hacer es a buscar el grupo que hemos creado desde PowerShell.

Para ello utilizamos el comando: Get-AzureADGroup -SearchString «<nombre_del_grupo>»

Donde pone «<nombre_del_grupo>», lo sustituiremos por “Seguridad”. Que es el nombre del grupo que hemos creado. En la siguiente imagen, obtenemos el siguiente resultado.

poweshell-buscar-grupo

Si nos fijamos un poco más en la imagen, vemos que aparece un campo llamado descripción. Rellenarlo es opcional, pero ciertamente muy recomendable, pues siempre arrojará información al resto de usuarios administradores de nuestra organización. (Además de ser una actitud de compañerismo, pues ayuda a otros usuarios a conocer la razón de la existencia de dicho grupo)

6. PowerShell: Introducción del script

Ahora que tenemos nuestro entorno preparado, solo nos queda introducir en PowerShell un script, para comprobar que podemos continuar con la configuración. 

$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq ‘Group.Unified’}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting 

Si obtenemos el mensaje de error de la imagen siguiente con párrafos en color rojo tipo: “A conflicting object with one or more….”

Es que el entorno ya estaba preparado, por lo que no hay que asustarse. No hay problema alguno así que continuamos con la tarea.

poweshell-introduccion-script

7. Aplicar la política de restricción grupos

En último lugar, solo nos queda aplicar la restricción de creación de grupos para todos los usuarios.

Esta acción limitará la funcionalidad de crear grupos en Office 365 a los usuarios de la compañía, por lo que ya no habrá descontrol y viviremos más tranquilos…

Solamente los usuarios del grupo de “Seguridad” que hemos creado tendrán ese privilegio. Podrán crear grupos en Office 365, administrarlos y todo lo demás que necesiten.

Para cubrir esta política, escribimos en PowerShell la siguiente sentencia / comandos:

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value “Group.Unified” -EQ).id

$Setting[“EnableGroupCreation”] = $False

$Setting[“GroupCreationAllowedGroupId”] = (Get-AzureADGroup -SearchString «nombre_del_grupo» objectid

Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value “Group.Unified” -EQ).id -DirectorySetting $Setting

(Get-AzureADDirectorySetting).Values

¡Recordar! Donde pone «<nombre_del_grupo>» , lo sustituiremos por “Seguridad”. Que es el nombre del grupo que hemos creado.

$Setting[“EnableGroupCreation”] = $False 

Si en esta sentencia cambiamos $False por $True se podrán volver a crear grupos por parte de todos los usuarios.

8. Comprobar la política de restricción grupos

Una vez hemos ejecutado la sentencia / comandos veremos que se habrá  aplicado la restricción de creación de grupos para todos los usuarios.

Como podemos comprobar en la imagen, la funcionalidad “EnableGroupCreation” destinada a crear grupos en Office 365 aparece con valor “False”. De forma que solamente los miembros del grupo “Seguridad” que hemos creado, tendrán ese privilegio.

politica-restriccion-grupos

Esta acción, tiene como vemos varios resultados:

  • Directamente: Limitamos a todos los usuarios la creación de grupos, que puede ser enorme y generar sin querer brechas de seguridad, basura digital (archivos almacenados por doquier y que caen en el olvido), consumos de espacios, comunicaciones que no aporten valor… Y un sinfín de cosas más.
  • Indirectamente: Por desgracia, lo usuarios y miembros de negocio no suelen ser conscientes de que las funcionalidades “no son gratis”. Esto es, adquirir un plan de Office 365 es un activo que, a modo de software, es una inversión en productividad para las organizaciones y sus miembros por lo que, como tales, deben ser orientadas a tal fin. De esta forma, redundará en el beneficio común y su retorno, se verá claramente identificado.

Lo ideal es que los grupos estén de alguna forma sustentados por las necesidades del negocio, bien para perseguir un proyecto de forma conjunta; generar un espacio de entendimiento y puesta en común de ideas, etc. Cuya creación sea autorizada por los equipos de de TI y responsables de negocio. No con fines de fiscalización, no. Sino de apoyo, ayuda y sobre todo, seguridad.

9. Resultados: Teams

Como veíamos al principio del artículo, los resultados en las aplicaciones de Office 365 son inmediatas. En el caso de Teams, veamos qué sucede.

office365-teams

Si entramos a la organización de Office 365 con un usuario básico (no administrador) y ejecutamos Teams podremos ver que el botón “Unirse a un equipo o crear un equipo”, no permite crear equipos.

Los usuarios solo podrán unirse a un equipo, cuando alguien de administración les invite o les ofrezca el código de acceso al mismo.

10. Resultado: Planner

Si entramos a la organización de Office 365 con un usuario básico (no administrador) y ejecutamos Planner podremos ver tras pulsar el botón “Crear Plan”  no se podrán crear planes.

Aparece además el siguiente mensaje: “El administrador ha desactivado la creación de nuevos grupos”. Los usuarios no podrán crear planes.

office365-planner

11. Resultado: Outlook

office365-outlook

Si entramos a la organización de Office 365 con un usuario básico (no administrador) y ejecutamos Outlook web podremos ver tras pulsar el botón “Crear Grupo”  ha desaparecido.

Los usuarios no podrán crear grupos.

Tan solo podrán consultar aquellos en los que han sido incluidos, visualizar los miembros y los propietarios.

12. Resultado: SharePoint

office365-sharepoint

Si entramos a la organización de Office 365 con un usuario básico (no administrador) y ejecutamos SharePoint Online podremos ver que el botón “Crear Sitio”  ha desaparecido.

Los usuarios no podrán crear sitios.

Y en el caso de querer publicar algo, deberá tener permisos de edición concedidos por administración.

César Hassen-Bey es Microsoft 365 Manager y Power BI Lead en EQM.

Enterprise Quality Management

Como Partner Gold de Microsoft, somos la compañía experta en consultoría, implantación, integración, soporte y formación de Microsoft Office 365 y resto de productos de Microsoft para tu organización.

Nuestra metodología y aproximación a la resolución de tus problemas, la realizamos desde el conocimiento de tus procesos de negocio, para identificar la solución que realmente permita resolver tus necesidades.

Accede a más información acerca de los productos de Microsoft que implantamos en EQM, desde el apartado “Soluciones”, disponible en la cabecera de esta página web.

Contáctanos a través de nuestro formulario de contacto, para recibir rápidamente la información y asesoramiento adecuados, sin compromiso.

Vuelve al inicio