emeriks
Goto Top

Entra ID - Delegierung des Rechts zum Erstellen von Gruppen

Hi,
ich finde es zum Verrecken nicht! Auch nicht über die Suche im Web. Das kann man voll vergessen ...
Obwohl: Microsoft Chinesisch kann ich leider nicht ... Vielleicht würde es ja damit funktionieren.

Wir haben seinerzeit bei der Einrichtung unseres Azure Tenants eine Gruppe erstellt und diese Gruppe berechtigt, Gruppen zu erstellen. Das funktioniert auch heute noch.
Irgendwie ist mir so, dass das nur über die PowerShell einzustellen ging und nicht über die GUI.
Doch leider habe ich das damals nicht dokumentiert. D.h. habe ich schon: Welche Gruppe berechtigt ist. Aber nicht, wie wir das eingestellt haben.

Und: Ich meine NICHT die allgemeine Option, ob Benutzer M365- und/oder Sicherheitsgruppen erstellen dürfen. Diese wäre ganz einfach über die GUI zugänglich.

Kann mir das bitte jemand noch mal erklären? Oder einen Link, wo das beschrieben ist?

E.

Content-ID: 667895

Url: https://administrator.de/forum/entra-id-delegierung-des-rechts-zum-erstellen-von-gruppen-667895.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

Dani
Dani 04.09.2024 um 18:05:07 Uhr
Goto Top
Moin,
meinst du etwas PIM Groups?


Gruß,
Dani
Xaero1982
Lösung Xaero1982 04.09.2024 um 21:43:05 Uhr
Goto Top
emeriks
emeriks 05.09.2024 um 08:30:30 Uhr
Goto Top
Zitat von @Dani:
meinst du etwas PIM Groups?
Nein.
emeriks
emeriks 05.09.2024 um 08:45:54 Uhr
Goto Top
Ja, danke!
(Achtung: Die deutsche Fassung ist falsch übersetzt. Besser die "en-us" lesen.)

Wobei es mich gewundert hat, dass ich diese Module erst installieren musste, wo doch der Rechner, an welchem das konfiguriert wurde, seit dem nicht ersetzt oder neu installiert wurde. Also habe ich dann mal danach im Web gesucht und bin auf einen anderen Weg gestoßen, der das selbe macht aber mit anderen Modulen und Kommandos. Und da hat es dann bei mir geklingelt ... face-wink

https://docs.easylife365.cloud/collab/getting-started/control-microsoft- ...
Hier ist zwar nicht genau das beschrieben, was ich suche, aber
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values
liefert die selben Daten wie
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

Und ich erinnere mich, das damals über
Set-AzureADDirectorySetting 
gemacht zu haben.

Danke @Xaero1982!
emeriks
emeriks 05.09.2024 um 12:25:16 Uhr
Goto Top
Der Vollständigkeit wegen hier noch mein Ansatz.

In Ableitung des Scripts aus dem o.g. Link
Import-Module AzureADPreview

Try { 
 $var = Get-AzureADTenantDetail 
} 
Catch [Microsoft.Open.Azure.AD.CommonLibrary.AadNeedAuthenticationException] { 
  Connect-AzureAD
}

$GroupName = "Mein-Gruppenname"  
$AllowGroupCreation = "False"  

$settingsID = (Get-AzureADDirectorySetting | ?{$_.Displayname -eq "Group.Unified"}).Id  

if(!$settingsID)
{
  $params = @{
    templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"  
    values = @(
      @{
        name = "EnableGroupCreation"  
        value = $AllowGroupCreation
      }
    )
  }

  New-AzureADDirectorySetting -DirectorySetting $params
  $settingsID = (Get-AzureADDirectorySetting | ?{$_.Displayname -eq "Group.Unified"}).Id  
}

$groupId = (Get-AzureADGroup -All $true | ?{$_.displayname -eq $GroupName}).ObjectId

$params = @{
  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"  
  values = @(
    @{
      name = "EnableGroupCreation"  
      value = $AllowGroupCreation
    }
    @{
      name = "GroupCreationAllowedGroupId"  
      value = $groupId
	}
  )
}

Set-AzureADDirectorySetting -Id $settingsID -DirectorySetting $params
(Get-AzureADDirectorySetting | ?{$_.Displayname -eq "Group.Unified"}).Values  
Xaero1982
Xaero1982 05.09.2024 um 22:23:38 Uhr
Goto Top
Sehr schön und danke fürs Skript face-smile