Microsoft 365グループはグループメール、SharePointサイト、タスク管理(Planner)、動画共有(Stream)などがセットになったものです。TeamsのチームもMicrosoft 365グループに紐づけて作成されます。便利な反面、グループに紐づくサービスが複数あるため１つグループを作成すると意図しない範囲に影響を及ぼすことがあります。

　既定ではライセンスを持つユーザーなら誰でも新しいグループを作成することができる状態になっています。ファイル置き場にもなるSharePointサイトなどは個人情報管理の観点から作成を制御したい場面もあるでしょう。この記事ではMicrosoft 365グループを作成できるユーザーを制限する方法をご紹介します。

• 用意するもの
• 制御方法

用意するもの

• Microsoft 365グループの作成を許可するセキュリティグループ
• Graph 用 Azure Active Directory PowerShell

制御方法

PowerShellで以下コマンドを実行します。「セキュリティグループ名」のところは前提条件で用意したセキュリティグループの表示名に置き換えます。

$GroupName = "セキュリティグループ名"
$AllowGroupCreation = $False

Connect-AzureAD

$settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
if(!$settingsObjectID)
{
    $template = Get-AzureADDirectorySettingTemplate | Where-object {$_.displayname -eq "group.unified"}
    $settingsCopy = $template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $settingsCopy
    $settingsObjectID = (Get-AzureADDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id
}

$settingsCopy = Get-AzureADDirectorySetting -Id $settingsObjectID
$settingsCopy["EnableGroupCreation"] = $AllowGroupCreation

if($GroupName)
{
  $settingsCopy["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString $GroupName).objectid
}
 else {
$settingsCopy["GroupCreationAllowedGroupId"] = $GroupName
}
Set-AzureADDirectorySetting -Id $settingsObjectID -DirectorySetting $settingsCopy

反映には30分以上かかることがありますのでご注意ください。