dr.mabuse
Goto Top

Team anlegen in Teams nur für bestimmte User

Moin zusammen,

ich habe da eine Frage und bitte Euch um Bestätigung meiner Vermutung / oder auch nicht face-wink

Es geht um Teams. Damit in Teams kein Wildwuchs entsteht, hatten wir uns bei der Einrichtung darauf geeinigt, dass nur die Admins Teams in MS-Teams anlegen dürfen. (Zu Beachten, wir haben kein Exchange Online)
Nun ist es ja wie immer, huch... Der Abteilungsleiter wurde in seiner "Macht" beschnitten und darf keine TEAMS anlegen face-wink

Egal, ich habe nun soweit recherchiert , dass ich der Meinung bin, dass ich keine Möglichkeit habe einem normalen Nutzer das recht zu geben, Teams anzulegen. Ich verstehe es so, entweder dürfen es alle oder keiner (außer die Admins)

Und wenn ich es richtig verstehe, bekommen die User dann das recht Sicherheitsgruppen in der AAD anzulegen.
Denn es scheint so, dass ein TEAM in Teams tatsächlich nichts anderes als eine Sicherheitsgruppe auf dem Sharepoint ist.

Nun weiß ich nicht wie ich aus dem Dilemma rauskomme. Habt Ihr eine Idee, wie ich nur einem User (bzw. mehreren Usern - entsprechende Abteilungsleiter) das recht zuweisen kann oder ist es so wie oben vermutet, entweder nüx oder alles bzw. Teams Adminrechte!

Auch bin ich mir nicht sicher, wie sicherheitsrelevant es ist, wenn ich User aus der AD die Berechtigung gebe in der Cloud nicht nur entsprechende Gruppen anzulegen, sondern ja auch gleich so halbe Adminrechte bekommen?
Ist MS tatsächlich so b...ert für alles eine Rolle zu haben, aber dafür nicht? Bzw. es gibt nur die Rolle TEAMS-Administrator. um einen User das Recht zu geben Teams anzulegen. Ist doch etwas over sized, oder?

Da meine M365 Erfahrungen auch noch nicht so alt sind, bitte ich meine vielleicht falsch verstandenen Informationen zu entschuldigen und mich auf Pfad der "365er Jünger" zurück zu bringen face-wink face-wink

Content-Key: 23127822422

Url: https://administrator.de/contentid/23127822422

Printed on: June 12, 2024 at 17:06 o'clock

Member: dertowa
Solution dertowa May 21, 2024 at 13:03:12 (UTC)
Goto Top
Salut,
wir hatten begrenzten Wildwuchs und die GL wollte das vollständig eindämmen.
Ich habe mich daraufhin hier zurechtgefunden: https://learn.microsoft.com/de-de/microsoft-365/solutions/manage-creatio ...

Damit hast du eine Gruppe im EntraID deren Mitglieder Teams-Gruppen anlegen dürfen.

Grüße
ToWa
Member: Dr.Mabuse
Dr.Mabuse May 23, 2024 at 05:24:59 (UTC)
Goto Top
Zitat von @dertowa:

Salut,
(...)
Damit hast du eine Gruppe im EntraID deren Mitglieder Teams-Gruppen anlegen dürfen.


Moin, erstmal Danke für den Link.
Den PS Skript hatte mir unser Dienstleister auch vorgeschlagen.

Es ist und bleibt allerdings eine "Krücke" und es nervt mich absolut, das MS soviel Geld jeden Monat haben will und dann so einen Blödsinn abliefert. Ist für mich "von hinten durch die Brust ins Auge"

Schauen wir mal was mich daran stört:
Microsoft.Graph.Beta.Identity.DirectoryManagement und
Microsoft.Graph.Beta.Groups
Beta ! Da muss ich jetzt nicht zu sagen!
Also mit dem genannten Befehl wird ein Modul für die Verwaltung von Identitäts- und Gruppeneinstellungen geladen. OK, das geht dann wohl nicht anders.

Connect-MgGraph -Scopes “Directory.ReadWrite.All”, “Group.Read.All”
Dieser Befehl stellt eine Verbindung zu Microsoft Graph her und fordert Berechtigungen für das Lesen und Schreiben von Verzeichnisdaten und das Lesen von Gruppendaten an.
Wenn ich das richtig verstehe, dann bekommt die Gruppe das Recht komplett Verzeichnisse zu lesen und zu schreiben. Ich verstehe allerdings bei diesem Befehl noch nicht, ob sich das auf alle Verzeichnisse (M365) auswirkt.
Kann der User sich dann theoretisch mit seinem normalen Account an Entra anmelden und im Gruppen Tab rumsurfen? Ich werde es mal testen, vielleicht täusche ich mich ja face-wink

Jedenfalls, da es scheinbar keine andere Lösung gibt, ist das Thema " leider face-wink " gelöst