Office 365 Groups 作成権限を特定ユーザーに限定する

どうも、Miyaです。

Office365をユーザー展開するにあたって、検討しなければならない事項の一つとして、ライセンスに含まれるサービスの有効/無効があるかと思います。
ライセンスに含まれているサービスであれば、是非利用したいサービスですが、TeamsやPlanner、StreamなどからOffice 365 グループの作成が一般ユーザーから作成できてしまうため、管理者からグループの管理が難しい状況になります。

Office365管理ポータルやExchange Onlineの管理コンソールから余計なグループが大量に作られてしまうため、Office365グループの作成を特定したユーザーに限定させたい!なんてご要望をよくいただきます。
Office 365 Groups

各サービスを展開したいけど、Office365グループの作成は制限したい!なんて時に役立つコマンドがありますので、よければご参考下さい。

スポンサーリンク




Office 365グループの作成を特定のユーザーに限定する

Office 365 グループの作成権限を限定するには、いくつかのコマンドを実行しなければなりません。
また、操作対象はAzure ADとなり、PowershellGetが必須となりますので、搭載されていない方は下記リングからご準備下さい。

Title:Azure PowerShell 最新版のインストール手順 (v3.8.0 現在)
https://blogs.technet.microsoft.com/jpaztech/2017/05/02/azure-powershell-3-8-0-install/

まず、AzureADに接続するために、AzureADPreviewモジュールをインストールしておきましょう。

Office 365 Groups

次に、Office 365グループの作成を許可させたいセキュリティグループを作成しておきましょう。
Office 365 Groups

準備が出来ましたら、PowershellからOffice365、AzureADへ接続しましょう。

認証ウィンドウが表示されるので、全体管理者権限が付与されたユーザーアカウントの資格情報を入力しましょう。
Office 365 Groups

下記コマンドを実行して、Office365グループの作成権限をセキュリティグループに限定します。

これらの各行を解説しておきます。
$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq ‘Group.Unified’}
規定で用意されているGroup.Unified テンプレートを取得しています。

$Setting = $Template.CreateDirectorySetting()
テンプレートに基づいて新しい Settings オブジェクトを作成します。

$Setting[“EnableGroupCreation”] = $False
テンプレートで定義されているEnableGroupCreationに対してFalseを設定することで、Office365グループ作成の拒否を設定します。
尚、各属性の説明に関しては、下記に公開情報があるのでご参考下さい。

Title:グループの設定を構成するための Azure Active Directory コマンドレット
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-accessmanagement-groups-settings-cmdlets

$Setting[“GroupCreationAllowedGroupId”] = (Get-AzureADGroup -SearchString “<グループの表示名>“).ObjectId
次に、特定グループに対して許可を設定しています。

New-AzureADDirectorySetting -DirectorySetting $Setting
最後に、$Settingオブジェクトに基づいて、新しいテンプレートを作成します。

問題なく実行できれば、下記コマンドで正しく設定できたかをを確認します。
画像の赤枠で示す通り、EnableGroupCreationがFalseで、GroupCreationAllowedGroupIdが許可グループGUIDとなっていればOKです。

Office 365 Groups

これにて、作業終了となります。お疲れさまでした。

Planner

設定後、Ofice365グループの作成権限を持たないユーザーから、プラン作成をしようとすると、下記のようなメッセージが表示され、グループを作成することが出来ませんでした。
Office 365 Groups

OWA

OWAからグループの新規作成をしようとすると、Planner同様、メッセージが表示され、グループ作成が行えません。
Office 365 Groups

Teams

こちらはチームの追加をおしてもPlannerのようにメッセージが表示されることは無く、何も反応しないようです。んー、微妙!笑
Office 365 Groups

Stream

StreamはUIがきちっと非表示となっています。イー感じですね。
Office 365 Groups

一方で、先の手順で設定したセキュリティグループの場合ですと、グループ作成が行えることが確認できました。

おわりに

Office 365 グループを使いこなすことで、グループ単位で行われる業務利用に役立ちますが、ユーザーを管理したい日本文化にはあまり受け入れはよくありませんね。
そのため、Office 365グループが作成できるサービスをDisableとしている企業が多いように見受けられます。
そこで、本設定を導入して、グループ作成には申請が必須であったり、プロジェクト終了後にはグループの削除する等のルールを設けて運用すればご活用できるのではないでしょうか?

それでは、良いOffice 365ライフをっ♪

スポンサーリンク

コメント

コメントを残す

*