Teamsのチームはデフォルトで誰でも作成可能な状態になっています。
チームの作成を特定メンバーに限定する方法をご紹介します。
一旦、組織全体でチーム作成を禁止にした後、特定メンバーだけ作成権限を付与する形になります。
Azure ADに接続
Graph用Azure Active Directory PowerShellモジュールを使用します。
まずはPowerShellを起動してAzure ADに接続します。
接続方法についてはこちらをご覧ください。
現在の設定を確認
次のコマンドで現在のチーム作成権限が組織全体でどのようになっているか確認します。
(Get-AzureADDirectorySetting).Values
Name Value ---- ----- EnableMIPLabels False CustomBlockedWordsList EnableMSStandardBlockedWords False ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX AllowToAddGuests True UsageGuidelinesUrl ClassificationList EnableGroupCreation True
EnableGroupCreationがTrueの場合、組織内のメンバーが全員チームを作成することができます。
チーム作成を制限
次のコマンドで組織内のメンバー全員がチームを作成できないように制限します。
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting[“EnableGroupCreation”] = $false;
New-AzureADDirectorySetting -DirectorySetting $setting;
正しく、制限がかかっているか再び次のコマンドで確認します。
(Get-AzureADDirectorySetting).Values
EnableGroupCreationがFalseになっていることを確認してください。
セキュリティグループを作成
チームの作成を許可するためにセキュリティグループを作成します。
Microsoft 365 管理センターより
特定のセキュリティグループにチーム作成権限を付与
次のコマンドを実行します。
AzureADDirectorySettingのIDを取得します。
$DirectoryID = (Get-AzureADDirectorySetting).Id
<セキュリティグループ名>には先ほど作成した、セキュリティグループの名称を設定してください。
$groupname = “<セキュリティグループ名>“;
$targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object {$_.DisplayName -eq $groupname};
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting[“EnableGroupCreation”] = $false;
$setting[“GroupCreationAllowedGroupId”] = $targetgroup.ObjectId;
Set-AzureADDirectorySetting -DirectorySetting $setting -Id $DirectoryID;
動作確認
チーム作成権限ありのユーザ
チーム作成権限なしのユーザ
