Zenn
🤖

【AzureAD/Teams】Teamsのチーム作成を制限する方法とは?

2021/12/12に公開
PowerShell
Microsoft 365
Office 365
Azure AD
Teams
tech

はじめに

Teamsでのチームの作成を制限する方法についてアウトプットしたいと思います。
※以前の記事では、確認方法のみアウトプットしております。

【AzureAD/Teams】Teamsのチーム作成が制限されているか確認する方法とは?(備忘録)

前提

  • Office365 E5に登録済みであり、初期設定が完了している状態
  • Windows10にAzureADのPowerShellモジュールをインストールしている状態

※以下手順を実施済みの状態になります。
【PowerShell】のPowerShellモジュールをインストールする方法(備忘録)

チームとは?

MicrosoftTeamsにて複数人のグループを作成し、やり取りができる機能です。

主に以下の用途で使用します。

  • プロジェクト間のやり取り/周知
  • 部署内のやり取り/周知

作業手順

AzureADPreviewをインストールしたPowerShellにて作業をしていきます。

事前準備

  • AzureADへ接続
コマンド
Import-Module AzureADPreview
Connect-AzureAD
実行例
PS C:\Windows\system32> Import-Module AzureADPreview
PS C:\Windows\system32> Connect-AzureAD

Account                                 Environment TenantId                             TenantDomain          AccountT
                                                                                                               ype
-------                                 ----------- --------                             ------------          --------
admin@xxxxxxxxxxxxxxx.onmicrosoft.com AzureCloud  2d0115e4-c533-400b-a73e-97f9731a4ff0 xxxxxxxxxxxxxxx.net User


PS C:\Windows\system32>
  • 事前設定値確認
コマンド
(Get-AzureADDirectorySetting).Values

EnableGroupCreationの値がTrueであることを確認

実行例
PS C:\Windows\system32> (Get-AzureADDirectorySetting).Values

Name                          Value
----                          -----
EnableMIPLabels               False
CustomBlockedWordsList
EnableMSStandardBlockedWords  False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner     False
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl
ClassificationList
EnableGroupCreation           True


PS C:\Windows\system32>

※元々チーム作成制限をしていない場合は、何も表示されない。

  • テンプレート有無確認
コマンド
Get-AzureADDirectorySettingTemplate

Group.UnifiedのIDを使用する。(コピー&ペーストは不要)

実行例
PS C:\Windows\system32> Get-AzureADDirectorySettingTemplate

Id                                   DisplayName                          Description
--                                   -----------                          -----------
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest                  Settings for a specific Unified Group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application                          ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings               ...
80661d51-be2f-4d46-9713-98a2fcaec5bc Prohibited Names Settings            ...
aad3907d-1d1a-448b-b3ef-7bf7f63db63b Prohibited Names Restricted Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings               ...
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified                        ...
dffd5d46-495d-40a9-8e21-954ff55e198a Consent Policy Settings              ...


PS C:\Windows\system32>

チーム作成制限

設定

  • EnableGroupCreationTrueからFalseに変更する。
    以下のコマンドを丸ごと実行する。
コマンド
#Group.Unified SettingsTemplate から現在の設定を取得
$Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}

#設定を確認
$Setting.Values

#「チーム」の作成拒否
$Setting["EnableGroupCreation"] = "False"

#保存
Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

#設定を確認
$Setting.Values
  • 設定確認
コマンド
(Get-AzureADDirectorySetting).Values

EnableGroupCreationFalseに変更されたことを確認。

実行例
PS C:\Windows\System32> (Get-AzureADDirectorySetting).Values

Name                          Value
----                          -----
EnableMIPLabels               False
CustomBlockedWordsList             
EnableMSStandardBlockedWords  False
ClassificationDescriptions         
DefaultClassification              
PrefixSuffixNamingRequirement      
AllowGuestsToBeGroupOwner     False
AllowGuestsToAccessGroups     True 
GuestUsageGuidelinesUrl            
GroupCreationAllowedGroupId        
AllowToAddGuests              True 
UsageGuidelinesUrl                 
ClassificationList                 
EnableGroupCreation           False



PS C:\Windows\System32>

Teams画面確認

  • 管理者(Teams管理者)

チーム作成ボタンが表示されない状態になっていることを確認。

  • 一般ユーザー

チーム作成ボタンが表示されない状態になっていることを確認。

チーム作成制限解除

設定

  • EnableGroupCreationFalseからTrueに変更する。
    以下のコマンドを丸ごと実行する。
コマンド
#Group.Unified SettingsTemplate から現在の設定を取得
$Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}

#設定を確認
$Setting.Values

#「チーム」の作成許可
$Setting["EnableGroupCreation"] = "True"

#保存
Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

#設定を確認
$Setting.Values
  • 設定確認
コマンド
(Get-AzureADDirectorySetting).Values

EnableGroupCreationFalseに変更されたことを確認。

実行例
PS C:\Windows\System32> (Get-AzureADDirectorySetting).Values

Name                          Value
----                          -----
EnableMIPLabels               False
CustomBlockedWordsList             
EnableMSStandardBlockedWords  False
ClassificationDescriptions         
DefaultClassification              
PrefixSuffixNamingRequirement      
AllowGuestsToBeGroupOwner     False
AllowGuestsToAccessGroups     True 
GuestUsageGuidelinesUrl            
GroupCreationAllowedGroupId        
AllowToAddGuests              True 
UsageGuidelinesUrl                 
ClassificationList                 
EnableGroupCreation           True



PS C:\Windows\System32>

Teams画面確認

  • 管理者(Teams管理者)

チーム作成ボタンが表示されていることを確認。

  • 一般ユーザー

チーム作成ボタンが表示されていることを確認。

※設定反映まで時間がかかるようです。

さいごに

今回の設定をまとめると、以下になります。

EnableGroupCreationの値 動作
True テナント全体のユーザーが「チーム」作成可能
False テナント全体のユーザーが「チーム」作成不可

ゲストユーザーに対する権限等、細かい設定もできるようなので、今後アウトプットしていきたいと思います。

参考

【Office365参考書】Teamsでチームの作成を禁止させるには?Office365グループの作成を禁止する?
Microsoft teamsの設定(その4:「チーム」を作れるのは管理者だけ①)

Discussion