Microsoft teamsの設定(その4:「チーム」を作れるのは管理者だけ①)

投稿者: | 2020年6月16日

Microsoft teams で「チーム」作成の制限をかけて、一版ユーザは「チーム」を作成できなくするものです。
この操作は、契約するMicrosoft 365のライセンス(Azure ADのライセンス)によりできることが変わります

今までのシリーズはこちらから。
Microsoft teamsの設定(その1:ゲストアクセス)
Microsoft teamsの設定(その2:共有ファイル①)
Microsoft teamsの設定(その2:共有ファイル②)
Microsoft teamsの設定(その3:Teams の使用容量の上限①)
Microsoft teamsの設定(その3:Teams の使用容量の上限②)
Microsoft teamsの設定(その4:「チーム」を作れるのは管理者だけ①)

「チーム」作成の制限とは

Microsoft teamsでの「チーム」作成は、Microsoft 365 グループを作成することになります。そのため、”teamsでの「チーム」作成制限” は、”Microsoft 365 グループの作成制限” となります。

AzureADライセンス

AzureADのライセンス(Microsoft365のライセンス)によって、制限の範囲が異なります。多くの機能は「AzureAD Premium ライセンス(P1、P2)」が必要となります。

Microsoft365 でいうと「Business」「E1」「E3」「E5」の契約が必要となります。「Basic」ではAzureAD P1 はついてきません。

Azure Active Directory Premium P1 のフル機能を Microsoft 365 Business に追加
<https://blogs.windows.com/japan/2020/04/08/azure-active-directory-premium-p1-is-coming-to-microsoft-365/>

そのため、powershellのコマンドレットもつかるものと使えないものがあります。

グループの設定を構成するための Azure Active Directory コマンドレット
<https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-settings-cmdlets#template-settings>

AzureAD P0 (Microsofr365 Basic)の場合

AzureAD P0 (Microsofr365 Basic)の場合はMicrosoft365グループ操作でできることは以下になります。

①ディレクトリで管理者以外のユーザーによる Office 365 グループの作成を許可するかどうか
②ゲスト ユーザーが Office 365 グループのコンテンツにアクセスできるかどうか

「チーム」を作れるのは管理者だけ設定

「チーム」を作れるのは管理者(グローバル管理者)だけの設定をします。

①”AzureADPreview” モジュールのインストール
”AzureADPreview モジュールのインストール” が必要となります。インストール方法はこちらを参照ください。

②AzureADに接続
AzureADへの接続方法はこちらを参照ください。

③テンプレートの確認
DirectorySettings コマンドレットでは、使用する SettingsTemplate の ID を指定する必要があります。 そのため、まずIDを確認します。コマンドは「Get-AzureADDirectorySettingTemplate」です。

PS> Get-AzureADDirectorySettingTemplate

Id DisplayName Description
-- ----------- -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Office 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

ここで使用するのは ”Group.Unified” テンプレートです。

④現在の設定確認
現在の設定を確認します。

PS>#方法①
PS> $Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}
PS> $Setting.Values

PS>#方法②
PS> (Get-AzureADDirectorySetting).Values


PS>#結果
Name Value
---- -----
EnableMIPLabels False
CustomBlockedWordsList
EnableMSStandardBlockedWords False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner False
AllowGuestsToAccessGroups True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests True
UsageGuidelinesUrl https://guideline.example.com
ClassificationList
EnableGroupCreation True

ここで「EnableGroupCreation」の値を確認します。

EnableGroupCreationの値 動作
True 一版ユーザは「チーム」を作成できる
False 管理者は「チーム」を作成できる
一版ユーザは「チーム」を作成できない

④設定の更新
一般ユーザが「チーム」作成できないように設定をします。

PS> #Group.Unified SettingsTemplate から現在の設定を取得
PS> $Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}

PS>#設定を確認
PS> $Setting.Values

PS>#「チーム」作れない
PS> $Setting["EnableGroupCreation"] = "False"

PS>#保存
PS> Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

PS>#設定を確認
PS> $Setting.Values

設定してすぐ反映されるわけではなくて、1時間くらいかかる場合があります。
また、一般ユーザが「チーム」を作成できるようにするには以下のようにします。

PS>#「チーム」作れる
PS> $Setting["EnableGroupCreation"] = "True"

⑤MS Onlineから切断
作業が終わったら無駄なセッションを残さないために切断しましょう。
なお、powershellコンソールをとじただけだとセッションは残ります(timeout後に削除されます)。コマンドは「Disconnect-AzureAD」です。

PS> Disconnect-AzureAD

参考

グループの設定を構成するための Azure Active Directory コマンドレット
<https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-settings-cmdlets>

次の操作

次回は、「Microsoft teamsの設定(その4:「チーム」を作れるのは管理者だけ②)」になります。

コメントを残す

メールアドレスが公開されることはありません。