社畜の所業

社畜の所業

Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

【Office365参考書】Teamsでチームの作成を禁止させるには?Office365グループの作成を禁止する?

f:id:it-bibouroku:20200412215612p:plain

Microsoft Teams において、チームの作成制限を行う場合、Azure AD 側の機能により Office 365 グループの作成を制限することで、チームの作成権限を制限することが可能です。 

この設定により、"テナント全体でチームの作成を制限し、管理者のみでチーム作成を行う方法" と、"セキュリティグループを指定して、ユーザー単位でチーム作成を許可する方法" の 2 通りの制御が可能となります。 

  

以下にチームの作成制限の手順をご案内させていただきます。 

  

 

 ご留意点 

Office 365 グループの作成について

Microsoft Teams に限らず、Exchange Online や Planner などのサービスでも、設定されたユーザー以外は新規に Office 365 グループの作成が禁止されることをご注意ください。

なお、管理者のアカウントにて各管理センターや Windows PowerShell コマンドレットにて、Office 365 グループの作成が可能です。 

  

ライセンスについて 

管理者のみにチームの作成を許可する場合は、別途ライセンスをご用意いただく必要はありません。 

特定のユーザーにのみチームの作成を許可する場合においては、対象のユーザーには Azure AD Premium P1 以上のライセンスが必要となります。 

  

docs.microsoft.com

  

  

 Office 365 グループ (チーム) の作成制限を行う方法 

  

 事前準備 : Windows PowerShell を Azure AD に接続する 

Windows PowerShell を初めて Azure AD に接続する場合は、以下の手順を実行します。 

  

  1. スタートメニューの Windows PowerShell をマウスで右クリックし、[管理者として実行] をクリックします。

Windows PowerShell が管理者モードで起動します。 

  

  1. 下記コマンドを実行し、ネットワーク経由で最新版の Azure Active Directory PowerShell Module V2 をインストールします。 

  

Install-Module AzureADPreview 

  

  1. 「続行するには NuGet プロバイダーが必要です…」、あるいは「NuGet provider is required to continue …」と表示されましたら、Y を入力し、先に進めてください。

また、続けて「信頼されていないリポジトリ・・」と表示されましたら、Y を入力し、先に進めてください。 

  1. PowerShell の実行ポリシーを変更するため下記コマンドを実行します。

  

Set-ExecutionPolicy RemoteSigned 

  

実行ポリシーを変更しますかと表示されましたら Y を入力し先に進めてください。 

  

Azure AD に接続する

Windows PowerShell を Azure AD に接続するにあたって、以下のコマンドを実行します。 

※ この手順は Azure AD に接続するたびに必要となります。 

  

Import-Module AzureADPreview 

Connect-AzureAD 

  

 

 

テナント全体でチーム (Office 365 グループ) の作成に制限をかけ管理者のみでチーム作成を行う場合 

テナント全体で制限をかけていただいても、Microsoft 365 管理センター上における Office 365 グループの作成は制限されることはありませんので、Microsoft 365 管理センターで作成いただいた Office 365 グループを所有者によって、Microsoft Teams に紐づけることが可能です。 

  

紐づけについては、Microsoft Teams 上で [チームに参加/チームを作成] をクリックし、[既存のグループに追加] をクリックすることで、紐づけ可能な Office 365 グループが表示され、チームを作成することができます。 

すべての Office 365 グループの所有者を管理者としていただくことで、管理者権限のない一般ユーザーは、新規チームの作成および、作成済みの Office 365 グループの紐づけを行うことが制限されます。 

  

上記でご案内いたしました、Azure Active Directory PowerShell Module V2 のインストールが完了している環境であれば、下記コマンドレットで、テナント全体に制限をかけることが可能です。 

  

以下のコマンドレットを実行します。 

  

Import-Module AzureADPreview; 

Connect-AzureAD; 

$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b; 

$setting = $template.CreateDirectorySetting(); 

$setting["EnableGroupCreation"] = $false; 

New-AzureADDirectorySetting -DirectorySetting $setting; 

  

設定値を確認する 

Azure AD に接続された Windows PowerShell から以下のコマンドレットを実行し、"EnableGroupCreation" が "False" に設定されていることを確認します。 

  

<実行するコマンドレット> 

(Get-AzureADDirectorySetting).Values 

  

<出力例> 

Name                          Value 

----                          ----- 

CustomBlockedWordsList 

EnableMSStandardBlockedWords  False 

ClassificationDescriptions 

DefaultClassification 

PrefixSuffixNamingRequirement 

AllowGuestsToBeGroupOwner     False 

AllowGuestsToAccessGroups     True 

GuestUsageGuidelinesUrl 

GroupCreationAllowedGroupId    

AllowToAddGuests              True 

UsageGuidelinesUrl 

ClassificationList 

EnableGroupCreation           False 

  

※ "EnableGroupCreation" がTrue (既定値) の場合は Office 365 グループの作成がテナント全体に対して許可されており、False の場合にはテナント全体に対して禁止されている状態となります。 

  

  

 

セキュリティグループを指定して、ユーザー単位でチーム作成を許可する場合 

以下の手順にて、特定のユーザーにのみチーム (Office 365 グループ) を作成できる権限を付与することが可能です。 

  

※ 特定のユーザーにのみチームの作成を許可する場合、対象のユーザーには Azure AD Premium P1 以上のライセンスが必要となります。 

  例 ) 全体管理者と一部の 2 ユーザーのみ許可する場合は、3 ライセンス必要となります。 

  

 1. Windows PowerShell を Azure AD に接続する 

※ 上記<◆ 事前準備 : Windows PowerShell を Azure AD に接続する> の手順にて Azure AD に接続します。 

  

 2. テナント全体でチーム (Office 365 グループ) の作成に制限をかける 

以下のコマンドレットを実行します。 

  

Import-Module AzureADPreview; 

Connect-AzureAD; 

$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b; 

$setting = $template.CreateDirectorySetting(); 

$setting["EnableGroupCreation"] = $false; 

New-AzureADDirectorySetting -DirectorySetting $setting; 

  

 3. 設定値を確認する 

  

<実行するコマンド> 

(Get-AzureADDirectorySetting).Values 

  

<出力例> 

Name                          Value 

----                          ----- 

CustomBlockedWordsList 

EnableMSStandardBlockedWords  False 

ClassificationDescriptions 

DefaultClassification 

PrefixSuffixNamingRequirement 

AllowGuestsToBeGroupOwner     False 

AllowGuestsToAccessGroups     True 

GuestUsageGuidelinesUrl 

GroupCreationAllowedGroupId   Aa5299d1-3a98-40c8-b2ab-*********** 

AllowToAddGuests              True 

UsageGuidelinesUrl 

ClassificationList 

EnableGroupCreation           False 

  

"EnableGroupCreation" が "True (既定値) " の場合は Office 365 グループの作成がテナント全体に対して許可され、"False" の場合にはテナント全体に対して禁止されている状態となります。 

また、"GroupCreationAllowedGroupId" の項目に設定値 (セキュリティ グループのオブジェクト ID) が入っている場合には、特定のセキュリティグループに対して例外的に Office 365 グループの作成が許可されます。 

 

GroupCreationAllowedGroupId が空欄の場合は、以降の手順を実施します。 

  

 4. セキュリティ グループを作成する 

[Admin Center] または [Exchange 管理センター] でセキュリティ グループを作成し、Office 365 グループの作成を許可するメンバーを登録します。 

  

  1. 管理者権限のあるアカウントで Microsoft 365 管理センター (https://portal.office.com/adminportal/home#/homepage) にサインインします。
  2. 左ペインのメニューより [グループ] - [グループ] の順に開きます
  3. [グループの追加] をクリックします
  4. [種類] の [セキュリティ] を選択し、任意の [名前] を入力します。
  5. [追加] をクリックします
  6. グループの一覧より作成したセキュリティ グループを選択します
  7. メンバーの [編集] をクリックします。
  8. [+ メンバーの追加] をクリックし、Office 365 グループの作成を許可するメンバーを追加し、[保存] - [閉じる] の順にクリックします。
  9. メンバーの追加が完了しましたら、[閉じる] をクリックし、Microsoft 365 管理センター からサインアウトします。

  

 5.指定したセキュリティ グループのメンバーにグループの作成を許可する 

Azure AD に接続された Windows PowerShell から以下の手順にてコマンドレットを実行し、指定したセキュリティ グループのメンバーによるOffice 365 グループの作成を許可します。 

  

<AzureADDirectorySetting の ID を取得する手順 >

以下のコマンドを実行します。 

  

<構文> 

Get-AzureADDirectorySetting | fl 

  

※ Id の値をメモ帳などに記録します。 

  

<設定を読み込むコマンドレット >

  

$groupname = "セキュリティグループの表示名"; 

$targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object {$_.DisplayName -eq $groupname}; 

$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b; 

$setting = $template.CreateDirectorySetting(); 

$setting["EnableGroupCreation"] = $false; 

$setting["GroupCreationAllowedGroupId"] = $targetgroup.ObjectId; 

Set-AzureADDirectorySetting -DirectorySetting $setting -Id "1. で取得した Id" 

  

上記の設定を実施することで、チームの作成が指定したセキュリティグループに参加しているユーザーのみに制限されます。 

  

 

 補足 : テナント全体でチームの作成を許可する方法 (既定の状態に戻す) 

以下のコマンドレットを実施することで、設定を既定の状態に戻り、テナント全体でのOffice 365 グループ (チーム) の作成を許可することが可能となります。 

  

<構文> 

Import-Module AzureADPreview; 

Connect-AzureAD; 

$setting = Get-AzureADDirectorySetting | Where-Object {$_.TemplateId -eq "62375ab9-6b52-47ed-826b-58e47e0e304b"}; 

$setting["EnableGroupCreation"] = $true; 

$setting["GroupCreationAllowedGroupId"] = ""; 

Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;