[Microsoft 365] Microsoft 365 그룹을 생성할 수 있는 사용자 제한하기

조직에서 Teams를 배포하고 사용할 때 관리자는 그룹(팀) 관리에 고민이 있을 수 있습니다.

예를 들어, 이미 생성된 채널과 채팅만으로도 충분히 사용가능하지만 명확하게 정의되지 않는 팀을 생성하거나

동일한 목적으로 두 번 이상 팀을 생성하는 등 무분별한 Teams 팀 생성으로 관리가 어려워질 수 있습니다.

이를 방지하기 위해 권한이 있는 관리자(또는 사용자)가 아닌 일반 사용자들의 Teams 팀 생성 제한하는 방법 포스팅 합니다.

​

https://docs.microsoft.com/ko-kr/microsoft-365/solutions/manage-creation-of-groups?view=o365-worldwide

 

기본적으로 모든 사용자는 Microsoft 365 그룹을 만들 수 있습니다. 이는 사용자가 IT의 지원을 요청하지 않고도 공동 작업을 시작할 수 있도록 하여 권장되는 접근 방식입니다. 그룹을 만들 수 있는 사용자만 제한해야 하는 경우 이 문서의 절차에 따라 작업을 수행하면 됩니다. 그룹을 만들 수 있는 사용자가 제한될 경우 다음을 포함하여 그룹을 통한 엑세스를 사용하는 모든 서비스에 영향을 미치게 되기때문에 확인이 필요합니다.

​

- 영향을 받는 서비스

Outlook / SharePoint / Yammer / Microsoft Teams / Microsoft Stream / Planner / Power BI(클래식) / 웹용 프로젝트,로드맵

​

- 라이선스 요구 사항

해당 작업을 진행하기 위해서는 그룹 만들기 설정을 구성하는 관리자와 그룹을 만들 수 있는 보안 그룹의 구성원에게 Azure AD Premium 라이선스가 필요합니다.

​

- 작업 순서

1. 보안 그룹 생성 (그룹 만들기 권한을 가진 그룹) -> 해당 보안 그룹에 포함되지 않는 그룹 또는 구성원은 Teams 팀 및 일부 서비스 엑세스 불가)

2. 정상적으로 적용되었는지 확인

​

​

1. 일반 사용자의 팀 만들기 테스트 (팀 생성 제한 전): 보안 그룹생성 전 해당 보안 그룹에 포함되지 않은 사용자 Teams 팀 생성 가능 여부 확인

​

[팀] - [참가 또는 팀 만들기] - [팀 생성]

제약없이 팀을 생성할 수 있으며 Teams 팀 생성 시 아래와 같이 Microsoft 365 그룹이 자동으로 생성됩니다.

​

2. M365 그룹을 만들 수 있는 사용자에 대한 보안 그룹 만들기 (일반 사용자 팀 생성 제한하기)

​

[M365 관리센터] - [활성 그룹] - [그룹 추가] - [보안] - [그룹 만들기]

Teams 팀 생성 권한을 부여할 보안 그룹이 생성되었습니다.

기본적으로 M365관리센터 UI에서는 팀 생성을 제한하는 옵션을 제공하지 않으므로 Powershell 스크립트를 사용해야 합니다.

Powershell 스크립트 명령어를 통해 보안 그룹에 정책을 적용하면 해당 보안 그룹에 포함된 구성원은 엑세스에 자유롭지만 보안 그룹의 구성원이 아닌 사용자는 Microsoft Teams Team 또는 Office 365 그룹을 만들 수 없습니다.

​

3. PowerShell 명령 실행

​

Powershell 프로그램을 관리자 권한으로 실행합니다.

​

AzureADPreview 모듈이 설치되어 있지 않을 경우에는 모듈부터 설치합니다.(Azure ADPreview 모듈 설치)

​

AzureAD(Azure AD PowerShell 모듈)의 2.0 일반 가용성 버전을 설치한 경우에는 PowerShell 세션에서 Uninstall-Module AzureAD를 실행하여 제거하고 Install-Module AzureADPreview를 실행하여 미리 보기 버전을 설치해야 합니다.

미리 보기 버전을 이미 설치한 경우에는 Install-Module AzureADPreview를 실행하여 이 모듈의 최신 버전인지 확인합니다.

​

Install-Module AzureADPreview 명령어를 입력하고 모듈을 설치합니다.

[모두 예(A)] 클릭

​

설치가 완료되면 새 스크립트를 생성 후 아래 스크립트를 복사, 맨 첫줄 <"$GroupName = " ">에서 " " 안에 실제 권한을 부여할 보안 그룹의 이름을 입력합니다.

​

$GroupName = "​securitytaylor​"

$AllowGroupCreation = "False"

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id if(!$settingsObjectID)

{

$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}

$settingsCopy = $template.CreateDirectorySetting()

New-AzureADDirectorySetting -DirectorySetting $settingsCopy

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID

$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)

{

$settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -Filter "DisplayName eq '$GroupName'").objectId

} else {

$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName

}

Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

​

해당 스크립트를 다음 위치 C:\User\사용자 계정\Desktop\ 에 다른 파일(.ps1)로 저장하고 새로운 스크립트를 실행합니다.

​

이전에 저장한 파워쉘 스크립트 경로를 입력하고 스크립트 실행 후 전역 관리자 계정으로 로그인 합니다.

​

Install-Module AzureADPreview

​

C:\Users\사용자 계정\Desktop\파일명

​

​

실행하고 나면 아래와 같이 실행된 스크립트를 확인 할 수 있습니다.

스크립트의 맨 아래쪽을 확인해보았을 때 "Name : EnableGroupCreation Value : False" 가 확인된다면 정상적으로 적용된 것 입니다.

​

​

그룹 만들기 제한을 해제하고 모든 사용자가 그룹을 만들 수 있도록 다시 허용하려는 경우 $GroupName "보안 그룹 이름"을 입력하고 $AllowGroupCreation "True"로 설정하고 스크립트를 다시 실행합니다.

​

해당 변경 내용을 적용하는데까지 30분 이상 소요될 수 있습니다.

​

1번 과정에서 보안 그룹에 포함되지 않은 사용자도 팀을 생성할 수 있음을 확인했습니다.

이제 명령을 적용하였으니 보안 그룹에 포함되지 않은 일반 사용자 계정으로 팀을 생성할 수 있는지 확인해보겠습니다.

​

​

4. 일반 사용자의 팀 만들기 테스트 (팀 생성 제한 후): 보안 그룹에 포함되지 않은 구성원 Teams 팀 생성 가능 여부 확인

​

원활한 확인을 위해 1번 과정에서 생성했던 테스트 팀은 삭제하였습니다.(현재 어느 그룹에도 포함되지 않음.)

​

그룹 만들기 권한을 부여한 보안 그룹에 포함되지 않은 사용자이기 때문에 이전과는 다르게 팀을 생성하는 버튼이 사라졌습니다. 그렇다면 M365 그룹(Teams 팀 포함)을 생성할 수 있는 보안 그룹의 구성원에 포함시킨 후 팀을 생성할 수 있는 권한이 생겼는지 확인 해보겠습니다.

​

M365 그룹을 생성할 수 있는 권한이 부여된 보안 그룹에 구성원으로 추가하였습니다.

​

보안 그룹에 구성원으로 포함시키면 다시 팀을 생성할 수 있는 버튼이 확인됩니다.

​

​

마지막으로 해당 작업은 Teams의 팀 생성 제한 뿐만아니라 그룹을 통한 엑세스를 사용하는 (Outlook / SharePoint / Yammer / Microsoft Teams / Microsoft Stream / Planner / Power BI) 일부 서비스에 영향이 있기 때문에 이 부분을 고려 후 작업 진행을 권장합니다.