【管理者向け】Teamsチーム作成できる人を制限する方法

会社でTeamsを使っているといろんな人がチームを作って管理できなくなるという状況に陥ったことはありませんか?

今回の記事ではTeamsの管理者向けにチーム作成を制限する方法を紹介します。

チーム制限後の状態

チームの制限とは、チーム作成を特定のユーザーに限定することです。 この制限を行うと、

  • グループ作成が許可されたセキュリティグループに参加していないユーザーは、Microsoft Teams を含む全ての製品でチームを作れなくなります。
  • 管理者権限を持つユーザーは、Microsoft 365 管理センターおよび各管理センターで、制限を無視してチームを作れます。

という状態になります。

では、制限の方法をご説明します。

グループの作成

まずはMicrosoft365の管理センターから制限する為のグループを作成します。

https://admin.microsoft.com/adminportal/home#/groups

グループの追加

作成するグループ名は英数字で後から見てわかるような名前をお勧めします。

ここでは、グループ名を「teams_create_allow」で作成します。
追加するメンバーにはチーム作成を許可する人を追加してください。

メンバーの追加

作成したグループ名は後で使いますので、覚えておいてください。

AzureAD モジュールインポート

Azure Active Directory PowerShell (AzureAD) というモジュールを使って、グループレベルのアクセス設定をカスタマイズすることができます。

PowreShellの起動

PowerShell では、モジュールという仕組みで様々な機能を追加できます。モジュールを使うには、PowerShell を開いて、インポートという操作を行う必要があります。

まず、Windowsの検索窓から「 powershell 」と検索して右クリックで管理者として実行してください。

PowerShellの起動
Azure AD PowerShellモジュールのインストール

下記コマンドを実行し、ネットワーク経由で最新版の
AzureActive Directory PowerShell Module V2 をインストールします。

Install Module AzureADPreview

「続行するにはNuGet プロバイダーが必要です」と表示されたら、 Y を入力し、先に進めます。

続けて「信頼されていないリポジトリ 」と表示されたら、 Y もしくはAを入力し進めるとモジュールのインストールが始まります。

モジュールのインストール
実行ポリシーを変更

PowerShellの実行ポリシーを変更するため下記コマンドを実行します。

Set-ExecutionPolicy RemoteSigned
実行ポリシーの変更

この後下記コマンドを実行します。

Import Module AzureADPreview
スクリプトを作成・保存

Teamsでのチーム作成の制限をかけるためのスクリプトを作成します。

Microsoftのドキュメントにあるスクリプトをテキストエディター等にコピーします。

https://learn.microsoft.com/ja-jp/microsoft-365/solutions/manage-creation-of-groups?view=o365-worldwide

$GroupName = "<GroupName>"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
} else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

(Get-AzureADDirectorySetting -Id $settingsObjectID).Values

保存する際に1 行目の GroupNameを先ほど作成したグループ名に変更して「GroupCreators.ps1」というファイルで保存してください。

$GroupName = "teams_create_allow"
スクリプトを実行

先ほど作ったファイルがある場所に、PowerShellで移動しましょう。

cd 保存場所
.\GroupCreators.ps1

移動後、コマンドでファイルを実行してください。

スクリプト実行

再度ログイン画面が表示されますので、管理者アカウントでログインしてください。

サインイン

実行後「EnableGroupCreation 」がFalseになっていれば成功です。

実行結果
チーム作成制限の確認

チーム作成が制限されたメンバー(teams_create_allow)以外のアカウントでTeamsを開いてみてください。チーム作成ができなくなっているはずです。

グループ作成の制限をオフにして、もう一度すべてのユーザーがグループを作成できるようにするには、 GroupName を “”に、AllowGroupCreationを”True”に設定して、スクリプトを再実行します。

まとめ

今回はMicrosoft365の全体管理者向けにチームの作成を制限する方法の紹介でした。

チームが乱立して管理しきれないとなっている方はこの設定をお試しください。

デジタルサポートでは、Teamsを使った会計データのやり取り等を行っています。 ご興味のある方は下記ボタンよりお問い合わせください。

会計に関するお問い合わせはこちら

Teamsでのコミュニケーションをスムーズに!Teamsの使い方がよく分かるおすすめ本です!