Azure Active Directory - Einstellen ob Benutzer Gruppen erstellen dürfen

Hallo zusammen,

Ich habe kürzlich davon gehört, dass ein Benutzer Security Gruppen im Azure Active Directory erstellen konnte und bin dem ein bisschen nachgegangen.

Dokumentiert wird das ganze auch hier: https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-self-service-management

Wie man auf dem folgenden Screenshot sieht, habe ich keine Azure AD Rollen zugewiesen und bin ganz normaler Benutzer.

Im Azure AD Portal unter den Gruppeneinstellungen gibt es eine Einstellung, welche erlaubt als Benutzer Gruppen zu erstellen. Diese ist Standardmässig aktiviert, was bedeutet, dass Benutzer Security Gruppen im Azure AD erstellen können.

Ich habe das natürlich gleich ausprobiert

Security Gruppen ausgewählt und eine neue Gruppe angelegt

Wie man sieht, wurde die AAD Gruppe erstellt

Das selbe funktioniert auch mit PowerShell und dem AzureAD PowerShell Modul

New-AzureADGroup -DisplayName "AAD-UserCreatedGroupPS2" -MailEnabled $false -MailNickName "NotSet" -SecurityEnabled $true

Anschliessend füge ich da einen Member hinzu

Add-AzureADGroupMember -ObjectId b6a3c663-b3fe-4197-a727-bd901c31f39d -RefObjectId 6db8cdd5-8e93-462d-9907-994406c07f60

Auch hier wurde die Gruppe im AAD erstellt

Nun deaktiviere ich die Erstellung von Security Gruppen für Benutzer und warte 15 Minuten, damit das Setting auch zieht.

Wenn ich nun im AAD Portal eine neue Gruppe erstelle

Kann ich nur noch Office 365 Groups erstellen (das ist das zweite Setting und das ist ja noch erlaubt)

Die Erstellung einer Security Group über das AzureAD PowerShell Modul ist nicht mehr möglich

Fazit:

Ich finde die Standardeinstellung von Microsoft nicht gut. Benutzer können einfach Security Groups erfassen? Das kann in bestimmten Fällen durchaus Sinn machen. Aber als Standard für alle Security Groups. Dies untergräbt meiner Ansicht nach die Kontrolle über das Azure Active Directory.

Also unbedingt konfigurieren, wenn ihr das Verhindern wollt!