会社でTeamsを使っているといろんな人がチームを作って管理できなくなるという状況に陥ったことはありませんか?
今回の記事ではTeamsの管理者向けにチーム作成を制限する方法を紹介します。
チーム制限後の状態
チームの制限とは、チーム作成を特定のユーザーに限定することです。 この制限を行うと、
- グループ作成が許可されたセキュリティグループに参加していないユーザーは、Microsoft Teams を含む全ての製品でチームを作れなくなります。
- 管理者権限を持つユーザーは、Microsoft 365 管理センターおよび各管理センターで、制限を無視してチームを作れます。
という状態になります。
では、制限の方法をご説明します。
グループの作成
まずはMicrosoft365の管理センターから制限する為のグループを作成します。
https://admin.microsoft.com/adminportal/home#/groups
作成するグループ名は英数字で後から見てわかるような名前をお勧めします。
ここでは、グループ名を「teams_create_allow」で作成します。
追加するメンバーにはチーム作成を許可する人を追加してください。
作成したグループ名は後で使いますので、覚えておいてください。
AzureAD モジュールインポート
Azure Active Directory PowerShell (AzureAD) というモジュールを使って、グループレベルのアクセス設定をカスタマイズすることができます。
PowerShell では、モジュールという仕組みで様々な機能を追加できます。モジュールを使うには、PowerShell を開いて、インポートという操作を行う必要があります。
まず、Windowsの検索窓から「 powershell 」と検索して右クリックで管理者として実行してください。
下記コマンドを実行し、ネットワーク経由で最新版の
AzureActive Directory PowerShell Module V2 をインストールします。
Install Module AzureADPreview
「続行するにはNuGet プロバイダーが必要です」と表示されたら、 Y を入力し、先に進めます。
続けて「信頼されていないリポジトリ 」と表示されたら、 Y もしくはAを入力し進めるとモジュールのインストールが始まります。
PowerShellの実行ポリシーを変更するため下記コマンドを実行します。
Set-ExecutionPolicy RemoteSignedTeamsでのチーム作成の制限をかけるためのスクリプトを作成します。
Microsoftのドキュメントにあるスクリプトをテキストエディター等にコピーします。
コード(Microsoft公式の記事からコピーしてください。)
Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups
Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"
$GroupName = ""
$AllowGroupCreation = "False"
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableMSStandardBlockedWords"
value = "true"
}
)
}
New-MgBetaDirectorySetting -BodyParameter $params
$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id
$params = @{
templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
values = @(
@{
name = "EnableGroupCreation"
value = $AllowGroupCreation
}
@{
name = "GroupCreationAllowedGroupId"
value = $groupId
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params
(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values保存する際に1 行目の GroupNameを先ほど作成したグループ名に変更して「GroupCreators.ps1」というファイルで保存してください。
例
$GroupName = "teams_create_allow"先ほど作ったファイルがある場所に、PowerShellで移動しましょう。
cd 保存場所
.\GroupCreators.ps1移動後、コマンドでファイルを実行してください。
再度ログイン画面が表示されますので、管理者アカウントでログインしてください。
実行後「EnableGroupCreation 」がFalseになっていれば成功です。
チーム作成が制限されたメンバー(teams_create_allow)以外のアカウントでTeamsを開いてみてください。チーム作成ができなくなっているはずです。
グループ作成の制限をオフにして、もう一度すべてのユーザーがグループを作成できるようにするには、 GroupName を “”に、AllowGroupCreationを”True”に設定して、スクリプトを再実行します。
グループ作成の制限をオフにして、もう一度すべてのユーザーがグループを作成できるようにするには、 GroupName を “”に、AllowGroupCreationを”True”に設定して、スクリプトを再実行します。
まとめ
今回はMicrosoft365の全体管理者向けにチームの作成を制限する方法の紹介でした。
チームが乱立して管理しきれないとなっている方はこの設定をお試しください。
お問い合わせ
みどりデジタルサポートでは、Microsoft365に関する研修を中心に、様々なサポートサービスを提供しています。主に、Power BI、Power Automate、Power Appsといったツールの研修を行っており、Microsoft365を導入していて、ExcelやWord以外のツールも活用したいと考えている方に最適です。
研修やサービスに関する詳細は、以下の記事をご覧ください。
ご不明な点がございましたら、お気軽にお問い合わせください。
