Microsoft Teams において、チームの作成制限を行う場合、Azure AD 側の機能により Office 365 グループの作成を制限することで、チームの作成権限を制限することが可能です。
この設定により、"テナント全体でチームの作成を制限し、管理者のみでチーム作成を行う方法" と、"セキュリティグループを指定して、ユーザー単位でチーム作成を許可する方法" の 2 通りの制御が可能となります。
以下にチームの作成制限の手順をご案内させていただきます。
ご留意点
Office 365 グループの作成について
Microsoft Teams に限らず、Exchange Online や Planner などのサービスでも、設定されたユーザー以外は新規に Office 365 グループの作成が禁止されることをご注意ください。
なお、管理者のアカウントにて各管理センターや Windows PowerShell コマンドレットにて、Office 365 グループの作成が可能です。
ライセンスについて
管理者のみにチームの作成を許可する場合は、別途ライセンスをご用意いただく必要はありません。
特定のユーザーにのみチームの作成を許可する場合においては、対象のユーザーには Azure AD Premium P1 以上のライセンスが必要となります。
Office 365 グループ (チーム) の作成制限を行う方法
事前準備 : Windows PowerShell を Azure AD に接続する
Windows PowerShell を初めて Azure AD に接続する場合は、以下の手順を実行します。
- スタートメニューの Windows PowerShell をマウスで右クリックし、[管理者として実行] をクリックします。
※ Windows PowerShell が管理者モードで起動します。
- 下記コマンドを実行し、ネットワーク経由で最新版の Azure Active Directory PowerShell Module V2 をインストールします。
Install-Module AzureADPreview
- 「続行するには NuGet プロバイダーが必要です…」、あるいは「NuGet provider is required to continue …」と表示されましたら、Y を入力し、先に進めてください。
また、続けて「信頼されていないリポジトリ・・」と表示されましたら、Y を入力し、先に進めてください。
- PowerShell の実行ポリシーを変更するため下記コマンドを実行します。
Set-ExecutionPolicy RemoteSigned
実行ポリシーを変更しますかと表示されましたら Y を入力し先に進めてください。
Azure AD に接続する
Windows PowerShell を Azure AD に接続するにあたって、以下のコマンドを実行します。
※ この手順は Azure AD に接続するたびに必要となります。
Import-Module AzureADPreview
Connect-AzureAD
テナント全体でチーム (Office 365 グループ) の作成に制限をかけ管理者のみでチーム作成を行う場合
テナント全体で制限をかけていただいても、Microsoft 365 管理センター上における Office 365 グループの作成は制限されることはありませんので、Microsoft 365 管理センターで作成いただいた Office 365 グループを所有者によって、Microsoft Teams に紐づけることが可能です。
紐づけについては、Microsoft Teams 上で [チームに参加/チームを作成] をクリックし、[既存のグループに追加] をクリックすることで、紐づけ可能な Office 365 グループが表示され、チームを作成することができます。
すべての Office 365 グループの所有者を管理者としていただくことで、管理者権限のない一般ユーザーは、新規チームの作成および、作成済みの Office 365 グループの紐づけを行うことが制限されます。
上記でご案内いたしました、Azure Active Directory PowerShell Module V2 のインストールが完了している環境であれば、下記コマンドレットで、テナント全体に制限をかけることが可能です。
以下のコマンドレットを実行します。
Import-Module AzureADPreview;
Connect-AzureAD;
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false;
New-AzureADDirectorySetting -DirectorySetting $setting;
設定値を確認する
Azure AD に接続された Windows PowerShell から以下のコマンドレットを実行し、"EnableGroupCreation" が "False" に設定されていることを確認します。
<実行するコマンドレット>
(Get-AzureADDirectorySetting).Values
<出力例>
Name Value
---- -----
CustomBlockedWordsList
EnableMSStandardBlockedWords False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner False
AllowGuestsToAccessGroups True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests True
UsageGuidelinesUrl
ClassificationList
EnableGroupCreation False
※ "EnableGroupCreation" がTrue (既定値) の場合は Office 365 グループの作成がテナント全体に対して許可されており、False の場合にはテナント全体に対して禁止されている状態となります。
セキュリティグループを指定して、ユーザー単位でチーム作成を許可する場合
以下の手順にて、特定のユーザーにのみチーム (Office 365 グループ) を作成できる権限を付与することが可能です。
※ 特定のユーザーにのみチームの作成を許可する場合、対象のユーザーには Azure AD Premium P1 以上のライセンスが必要となります。
例 ) 全体管理者と一部の 2 ユーザーのみ許可する場合は、3 ライセンス必要となります。
1. Windows PowerShell を Azure AD に接続する
※ 上記<◆ 事前準備 : Windows PowerShell を Azure AD に接続する> の手順にて Azure AD に接続します。
2. テナント全体でチーム (Office 365 グループ) の作成に制限をかける
以下のコマンドレットを実行します。
Import-Module AzureADPreview;
Connect-AzureAD;
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false;
New-AzureADDirectorySetting -DirectorySetting $setting;
3. 設定値を確認する
<実行するコマンド>
(Get-AzureADDirectorySetting).Values
<出力例>
Name Value
---- -----
CustomBlockedWordsList
EnableMSStandardBlockedWords False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner False
AllowGuestsToAccessGroups True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId Aa5299d1-3a98-40c8-b2ab-***********
AllowToAddGuests True
UsageGuidelinesUrl
ClassificationList
EnableGroupCreation False
"EnableGroupCreation" が "True (既定値) " の場合は Office 365 グループの作成がテナント全体に対して許可され、"False" の場合にはテナント全体に対して禁止されている状態となります。
また、"GroupCreationAllowedGroupId" の項目に設定値 (セキュリティ グループのオブジェクト ID) が入っている場合には、特定のセキュリティグループに対して例外的に Office 365 グループの作成が許可されます。
GroupCreationAllowedGroupId が空欄の場合は、以降の手順を実施します。
4. セキュリティ グループを作成する
[Admin Center] または [Exchange 管理センター] でセキュリティ グループを作成し、Office 365 グループの作成を許可するメンバーを登録します。
- 管理者権限のあるアカウントで Microsoft 365 管理センター (https://portal.office.com/adminportal/home#/homepage) にサインインします。
- 左ペインのメニューより [グループ] - [グループ] の順に開きます
- [グループの追加] をクリックします
- [種類] の [セキュリティ] を選択し、任意の [名前] を入力します。
- [追加] をクリックします
- グループの一覧より作成したセキュリティ グループを選択します
- メンバーの [編集] をクリックします。
- [+ メンバーの追加] をクリックし、Office 365 グループの作成を許可するメンバーを追加し、[保存] - [閉じる] の順にクリックします。
- メンバーの追加が完了しましたら、[閉じる] をクリックし、Microsoft 365 管理センター からサインアウトします。
5.指定したセキュリティ グループのメンバーにグループの作成を許可する
Azure AD に接続された Windows PowerShell から以下の手順にてコマンドレットを実行し、指定したセキュリティ グループのメンバーによるOffice 365 グループの作成を許可します。
<AzureADDirectorySetting の ID を取得する手順 >
以下のコマンドを実行します。
<構文>
Get-AzureADDirectorySetting | fl
※ Id の値をメモ帳などに記録します。
<設定を読み込むコマンドレット >
$groupname = "セキュリティグループの表示名";
$targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object {$_.DisplayName -eq $groupname};
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false;
$setting["GroupCreationAllowedGroupId"] = $targetgroup.ObjectId;
Set-AzureADDirectorySetting -DirectorySetting $setting -Id "1. で取得した Id"
上記の設定を実施することで、チームの作成が指定したセキュリティグループに参加しているユーザーのみに制限されます。
補足 : テナント全体でチームの作成を許可する方法 (既定の状態に戻す)
以下のコマンドレットを実施することで、設定を既定の状態に戻り、テナント全体でのOffice 365 グループ (チーム) の作成を許可することが可能となります。
<構文>
Import-Module AzureADPreview;
Connect-AzureAD;
$setting = Get-AzureADDirectorySetting | Where-Object {$_.TemplateId -eq "62375ab9-6b52-47ed-826b-58e47e0e304b"};
$setting["EnableGroupCreation"] = $true;
$setting["GroupCreationAllowedGroupId"] = "";
Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;