La eterna duda con Teams: ¿Debemos limitar quien puede crear equipos en Teams? o, por el contrario ¿debemos dejar libertad para que los usuarios creen los equipos que quieran según la necesidad?
El proceso de adopción de Microsoft 365 en una organización pasa por varias fases y una de las primeras y más típicas es cuando ya tienes compradas tus nuevas licencias 365, pero la organización sigue trabajando más o menos como siempre.
En esta fase inicial, los usuarios van descubriendo y probando funcionalidades de Microsoft 365, algo que está muy bien, ya que es autoaprendizaje y normalmente no se olvida.
Pero conlleva riegos, pues, a pesar de lo que diga su fabricante, Microsoft 365 no es una plataforma sencilla de entender para el usuario medio.
Además, Microsoft 365 es bastante abierto en su configuración inicial «out of the box» y permite que casi todo el mundo pueda hacer casi de todo y este es uno de los riegos principales.
Lo que ocurre en muchas organizaciones
Pasado un tiempo:
- Los usuarios empiezan a crear carpetas y compartirlas en OneDrive sin ningún orden ni control, incluso con usuarios externos.
- Crean y comparten calendarios desde Outlook con poco criterio.
- Crean sitios de SharePoint y empiezan a almacenar archivos en ellos sin que los responsables de sistemas estén al tanto.
- Crean equipos de Teams de prueba o con objetivos variopintos o de dudosa validez.
El resultado suele ser que, pasados unos meses, empieza a cundir el caos y a llegar las desgracias:
- Un usuario ha borrado una carpeta con información técnica valiosa de su OneDrive, sin darse cuenta de que la tenía compartida con otros usuarios.
- Existen 3 calendarios distintos para un mismo proyecto.
- Alguien ha eliminado un sitio de SharePoint en el que un importante cliente había cargado información valiosísima.
- Desde dirección ven con pavor que en solo unos meses, se han creado sin control más de 100 equipos de Teams. Hay 4 equipos privados llamados «Marketing», un equipo público llamado «Nóminas» al que tiene acceso toda la organización y nombres de equipo tan variopintos como «Despedida soltera Luisa», «Porra ciclista 2023» o «Partido solteros contra casados».
Adoptar Microsoft 365 implica cambios importantes en cómo se realizan ciertas tareas, no es tan sencillo como pueda parecer y hacerlo bien, conlleva una reflexión inicial y un plan de adopción por fases.
El problema es que casi nunca hay tiempo para ello y para evitar situaciones como las anteriores, es bueno, de entrada, poner ciertos límites a lo que los usuarios pueden hacer con 365.
Quién debería poder crear equipos de Teams
Si quieres evitar que los usuarios de tu organización creen equipos de Teams sin control alguno, puedes establecer que sólo algunos de ellos puedan hacerlo.
Por defecto, cuando tus usuarios entran por primera vez a Teams, tienen libertad absoluta para crear los equipos que quieran. La idea es limitar que, desde la propia aplicación Teams, los usuarios puedan crear equipos.
Es decir, la idea es que cuando un usuario abre Teams, accede al apartado Equipos y clica abajo en el enlace que dice «Unirse a un equipo o crear uno», el botón «Crear equipo» aparezca deshabilitado.
Digo desde la propia aplicación Teams porque debes saber que, quien tenga permisos de administración de Microsoft 365 en tu organización, siempre va a poder crear equipos desde el portal de administración de 365 y esto es bueno.
Una forma sencilla de hacer esto sería cerrar completamente la creación de equipos desde la aplicación Teams y que únicamente el o los administradores de 365 puedan crearlos desde el portal.
Si quieres que además del administrador o administradores de 365, otros usuarios puedan crear equipos desde la aplicación Teams, también puedes hacerlo y es una buena idea ya que, tiene más sentido que sean las personas responsables de organización en la empresa las que se encarguen de ello y no tanto los responsables de sistemas.
Limitar quien puede crear equipos en Teams
Lo primero, para poder hacer esto, debes tener permisos de administración sobre el tenant Microsoft 365 de tu organización.
Las malas noticias son que hacer esto no es tan sencillo como desactivar una casilla en el portal de administración de Teams.
En realidad, no es complicado, pero requiere ejecutar un script de PowerShell.
Si te has asustado con la frase anterior, quizás es mejor que reenvíes este artículo a un responsable de sistemas de tu organización. Es cierto que Microsoft podría hacerlo más fácil, pero actualmente es lo que hay. No existe otra forma de limitar esto.
El proceso tiene dos partes:
- Crear un grupo de seguridad en Microsoft 365 desde el portal de administración y añadir como miembros a los usuarios que sí queremos que puedan crear equipos desde la aplicación Teams.
- Ejecutar un script de PowerShell que establece que sólo los miembros de ese grupo de seguridad pueden crear usuarios.
Crear grupo de seguridad en Microsoft 365
Empezamos:
- Desde cualquier navegador web accede al portal Microsoft Office e inicia sesión con una cuenta que tenga permisos de administración
. - Una vez dentro del portal, clica en el menú del gofre y elige la opción Admin. Ten en cuenta que solo verás esa opción si tu usuario tiene permisos de administrador.
- Ya en el portal Admin, elige la opción «Teams y grupos» y luego «Grupos y equipos activos». Allí veras la lista de grupos que existen actualmente en tu tenant. Clica sobre la opción «Agregar un grupo».
- En los tipos de grupo, elige la opción «Seguridad», ponle un nombre a tu grupo y clica en Siguiente hasta terminar de crear el grupo con las opciones por defecto. Yo he nombrado mi grupo «Creadores Equipos Teams».
- De vuelta en la lista de grupos, filtra la lista para que se muestren los grupos de Seguridad y encuentra tu nuevo grupo. Es posible que tengas que recargar la página un par de veces hasta que aparezca.
- Clica sobre tu nuevo grupo y en el panel lateral derecho que aparece, elige «Miembros» y usa la opción «Ver todos los miembros y administrarlos» para añadir los usuarios que quieras al grupo.
Yo he añadido dos usuarios, yo mismo y mi compañero Luis.
Ya tienes creado tu grupo de seguridad. Vayamos a la segunda parte.
Otorgar con PowerShell permisos de creación de equipos al nuevo grupo de seguridad
Para este paso, vamos a utilizar el script oficial de PowerShell creado por Microsoft y que se explica en detalle en esta página (en inglés).
Este es el script:
$GroupName = "<GroupName>"
$AllowGroupCreation = $False
Connect-AzureAD
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
$settingsCopy = $template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $settingsCopy
$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}
$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation
if($GroupName)
{
$settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy
(Get-AzureADDirectorySetting -Id $settingsObjectID).Values- Copia todo su contenido y pégalo en un archivo de texto usando cualquier editor de texto.
- Una vez copiado y pegado, reemplaza en la primera línea, donde dice <GroupName> por el nombre de tu equipo de seguridad, en mi caso esa línea quedaría así:
$GroupName = "Creadores Equipos Teams"- Ya está, guarda el archivo con el nombre LimitarCreaciónEquipos.ps1 y recuerda dónde lo guardas.
- Ahora, necesitamos abrir PowerShell, para ello, en Windows ve al menú inicio, teclea PowerShell y clica sobre PowerShell de entre los resultados de la búsqueda.
- Una vez en PowerShell necesitamos instalar el módulo AzureAD, que es el que permite que nuestro equipo se comunique con nuestro Azure Active Directory en la nube. Teclea:
Install-Module AzureAD- Y responde con una Y (yes) para confirmar que quieres instalarlo.
- Navega hasta la carpeta en la que has guardado el script con el comando «cd Ubicación_del_Script».
- Ejecuta el script escribiendo:
.\LimitarCreacionEquipos.ps1
- La ejecución del script va a provocar que salte una ventana de autenticación de Microsoft 365.
- Inicia sesión con tu usuario y clave de administrador de tu tenant Microsoft 365 (puede ser el mismo con el que accediste al portal de administración).
- Una vez autenticado, se ejecutará el script.
Comprobando el resultado
El resultado de ejecutar el script mostrará la salida del último comando ejecutado, que es el «Get-AzureADDirectorySetting» de la última línea.
Pues bien, fíjate en dos de las líneas que arroja.
- La que dice Name: EnableGroupCreation, que debe tener como Value: False. Esto significa que por defecto nadie puede crear grupos en el tenant, o lo que es lo mismo, equipos en Teams.
- La que dice Name: GroupCreationAllowedGroupID, que debe tener como Value: Código_de_Grupo, o lo que es lo mismo el código interno del grupo cuyos miembros sí pueden crear equipos en Teams y que debería corresponder con el nombre del grupo que hemos metido cuando hemos modificado la primera línea del script.
Pues ya está hecho.
El resultado es que ahora, aquellos usuarios que no sean miembros del grupo de seguridad «Creadores Equipos Teams», verán en Teams el botón «Crear equipo» deshabilitado y no podrán crear equipos, tal como se ve en la imagen.
