Entra ID - Delegierung des Rechts zum Erstellen von Gruppen

Hi,
ich finde es zum Verrecken nicht! Auch nicht über die Suche im Web. Das kann man voll vergessen ...
Obwohl: Microsoft Chinesisch kann ich leider nicht ... Vielleicht würde es ja damit funktionieren.

Wir haben seinerzeit bei der Einrichtung unseres Azure Tenants eine Gruppe erstellt und diese Gruppe berechtigt, Gruppen zu erstellen. Das funktioniert auch heute noch.
Irgendwie ist mir so, dass das nur über die PowerShell einzustellen ging und nicht über die GUI.
Doch leider habe ich das damals nicht dokumentiert. D.h. habe ich schon: Welche Gruppe berechtigt ist. Aber nicht, wie wir das eingestellt haben.

Und: Ich meine NICHT die allgemeine Option, ob Benutzer M365- und/oder Sicherheitsgruppen erstellen dürfen. Diese wäre ganz einfach über die GUI zugänglich.

Kann mir das bitte jemand noch mal erklären? Oder einen Link, wo das beschrieben ist?

E.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 667895

Url: https://administrator.de/contentid/667895

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

6 Kommentare

Neuester Kommentar

Moin,
meinst du etwas PIM Groups?

Gruß,
Dani

Meinst du das?

https://learn.microsoft.com/de-de/microsoft-365/solutions/manage-creatio ...

Grüße

Zitat von @Dani:
meinst du etwas PIM Groups?

Nein.

Zitat von @Xaero1982:
https://learn.microsoft.com/de-de/microsoft-365/solutions/manage-creatio ...

Ja, danke!
(Achtung: Die deutsche Fassung ist falsch übersetzt. Besser die "en-us" lesen.)

Wobei es mich gewundert hat, dass ich diese Module erst installieren musste, wo doch der Rechner, an welchem das konfiguriert wurde, seit dem nicht ersetzt oder neu installiert wurde. Also habe ich dann mal danach im Web gesucht und bin auf einen anderen Weg gestoßen, der das selbe macht aber mit anderen Modulen und Kommandos. Und da hat es dann bei mir geklingelt ...

https://docs.easylife365.cloud/collab/getting-started/control-microsoft- ...
Hier ist zwar nicht genau das beschrieben, was ich suche, aber

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

liefert die selben Daten wie

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

Und ich erinnere mich, das damals über

Set-AzureADDirectorySetting

gemacht zu haben.

Danke @Xaero1982!

Der Vollständigkeit wegen hier noch mein Ansatz.

In Ableitung des Scripts aus dem o.g. Link

Import-Module AzureADPreview

Try { 
 $var = Get-AzureADTenantDetail 
} 
Catch [Microsoft.Open.Azure.AD.CommonLibrary.AadNeedAuthenticationException] { 
  Connect-AzureAD
}

$GroupName = "Mein-Gruppenname"  
$AllowGroupCreation = "False"  

$settingsID = (Get-AzureADDirectorySetting | ?{$_.Displayname -eq "Group.Unified"}).Id  

if(!$settingsID)
{
  $params = @{
    templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"  
    values = @(
      @{
        name = "EnableGroupCreation"  
        value = $AllowGroupCreation
      }
    )
  }

  New-AzureADDirectorySetting -DirectorySetting $params
  $settingsID = (Get-AzureADDirectorySetting | ?{$_.Displayname -eq "Group.Unified"}).Id  
}

$groupId = (Get-AzureADGroup -All $true | ?{$_.displayname -eq $GroupName}).ObjectId

$params = @{
  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"  
  values = @(
    @{
      name = "EnableGroupCreation"  
      value = $AllowGroupCreation
    }
    @{
      name = "GroupCreationAllowedGroupId"  
      value = $groupId
	}
  )
}

Set-AzureADDirectorySetting -Id $settingsID -DirectorySetting $params
(Get-AzureADDirectorySetting | ?{$_.Displayname -eq "Group.Unified"}).Values  