我们有一个基于Azure AD安全组的权限系统。通过将员工分配到相应的团队(组),可以控制所有的Azure访问。这可以由分配给团队所有者的项目经理来完成。
我们自动创建组和访问评论,以及与通讯组同步(as mail-enabled security groups cannot be created via graph api,我们需要创建通讯组并进行同步)。
这真的很好-经理对团队负责。直到有人将组策略设置为“该组已开放供所有用户加入”:
从那时起,我们的“自我控制系统”被打破,因为每个人都可以加入他们自己的行列。我们知道,如何更改政策的人还是仍然可以管理该组的所有者。但是我们不希望他们能够更改此政策(即使是错误的)。
问题:无法创建组(或在AD级别)时禁用或禁止组策略选择。好吧,我们认为可以。无论如何,组更改时都会有一个Webhook(更改策略时会被触发),因此我们只需将其改回即可。
但是我找不到任何方法或任何API来执行此操作。这不见了吗?图api entity上没有任何字段。而且也没有cmdlet。
有没有人找到一种以编程方式更改Azure安全组的组策略的方法?
答案 0 :(得分:0)
根据文档,可以在域级别关闭此功能:
“使组可用于用户自助服务登录到Azure AD 管理中心,其帐户是该目录的全局管理员。 选择用户和组,然后选择组设置。组 自助服务组管理已启用。设置用户可以创建 安全组或用户可以将Office 365组创建为“是”。什么时候 这些设置已启用,您目录中的所有用户都被允许 创建新的安全组并将成员添加到这些组。这些新的 组也会在所有其他用户的访问面板中显示。如果 组上的策略设置允许它,其他用户可以创建 要求加入这些团体。 禁用这些设置后,用户 无法创建群组,也无法更改其所属的现有群组 是所有者。 但是,他们仍然可以管理那些会员的会员资格 分组并批准其他用户加入其分组的请求。”
