Graph PowerShell SDK を利用して Teams のチーム作成を制限する
MSOnline および Azure AD PowerShell が 2023 年 6 月 30 日で廃止され、今後は Microsoft Graph を利用することになります。今まで利用していた MSOnline や Azure AD PowerShell コマンドを Microsoft Graph PowerShell に置き換える対応をはじめられた方も多くいらっしゃるのではないでしょうか。
私も社内の Microsoft 365 環境を運用する中で使っていたコマンドやスクリプトについて、使うタイミングで徐々に置き換えを行っています。今回はその中で先日置き換えた内容として、Microsoft Graph PowerShell SDK で Teams チームの作成を制限する方法をご紹介します。
※ 設定により、指定したセキュリティ グループに参加しているユーザーのみチーム作成を可能とします。
※ チーム作成制御には Azure AD Premium ライセンスが必要です。
Microsoft Graph PowerShell SDK のインストール
Microsoft Graph PowerShell SDK をインストールします。
Install-Module Microsoft.Graph -Scope CurrentUserインストール後、Microsoft Graph PowerShell SDK の情報を表示して結果を確認してみます。正常にインストールされている場合、バージョンや名前が表示されます。
Get-InstalledModule Microsoft.Graph
すでに Microsoft Graph PowerShell SDK がインストールされている場合に最新にアップデートする際は以下のコマンドを利用します。
Update-Module Microsoft.GraphMicrosoft Graph への接続
- Microsoft Graph PowerShell SDK ベータ版のコマンドが利用できるようにします。
Select-Mgprofile -name beta - Microsoft Graph に接続します。このとき、チームの作成制限に必要なアクセス権を指定します。
【今回の作業に必要な権限】
・ グループの読み取りと書き込み
・ グループ メンバーの読み取りと書き込み
・ ディレクトリ データの読み取りと書き込みConnect-MgGraph -Scopes "Group.ReadWrite.All",
"GroupMember.ReadWrite.All", "Directory.ReadWrite.All" - 管理者アカウントとパスワードを入力し Microsoft 365 にサインインしてください。
- サインイン後、要求されているアクセス許可画面が表示された場合、[承諾] をクリックします。
※ 「組織の代理として同意する」 にはチェックを入れないでください。チェックを入れると、組織のすべてのユーザーに同じアクセス許可が永続的に割り当てられます。
チームの作成制御の設定
-
- ディレクトリ設定の ID を取得します。初期値は空であり、一度でも設定を行っている場合は、ID が割り当てられています。
$DirectorySettingId = (Get-MgDirectorySetting
| Where-object {$_.DisplayName -eq "Group.Unified"}).Id - 取得したディレクトリ設定の ID が空か確認します。空の場合はディレクトリ設定のテンプレートを利用して、ディレクトリ設定を作成します。
if (!$DirectorySettingId) { $templateid = (Get-MgDirectorySettingTemplate | Where-object {$_.displayname -eq "Group.Unified"}).Id $params = @{ TemplateId = $templateid
} New-MgDirectorySetting -BodyParameter $params $ DirectorySettingId = (Get-MgDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id } - ディレクトリ設定の更新する項目と値を指定します。コマンド内の 「セキュリティ グループ名」 は、チームの作成を許可するセキュリティ グループの名前を入力してください。
$params = @{ Values = @( @{ Name = "EnableGroupCreation" Value = $False } @{ Name = "GroupCreationAllowedGroupId" Value = (Get-MgGroup | Where-Object {$_.DisplayName -eq "セキュリティ グループ名"}).Id } ) } - ディレクトリ設定を更新します。
Update-MgDirectorySetting -DirectorySettingId $DirectorySettingId -BodyParameter $params - 更新後、値が正しく反映されていることを確認します。
(Get-MgDirectorySetting -DirectorySettingId $DirectorySettingId) .values
- 作業完了後、Microsoft Graph との接続を切断します。
Disconnect-MgGraph
Microsoft 365 の管理者は Microsoft Graph PowerShell を利用する機会が増えていくと思いますので、今後も運用管理に役に立つ Microsoft Graph PowerShell をご紹介したいと思います。
- ディレクトリ設定の ID を取得します。初期値は空であり、一度でも設定を行っている場合は、ID が割り当てられています。
Microsoft 365 運用 関連コース
-
CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。
-
CI509-H Microsoft 365 デバイス運用管理
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI506-H Microsoft 365 運用管理 – 情報保護編
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。