日々

Teamsのチーム作成制御の長旅

日々
スポンサーリンク

チーム乱立問題

Microsoft365Teamsは初期設定のままだと、ユーザーが好きにチームを作成できてしまいます。

プロジェクトが終わっても資料が放置されたり、ゲストを招待したままだったり。

それって会社としてどうなのよ?

というわけで、ユーザーによるチーム作成を制御し、「管理者だけがチーム作成できるようにする」ミッション。

これがまたドはまりしたので記録しておきます。

 Microsoft 365 グループの作成制御

要はグループを作れないようにすれば良いらしい。

AzureADのEnableGroupCreationをFalseにするという作業。

これを実装するまでが長い道のりでした…。

PowerShellの仕様とか全然わからない素人に、この作業はキビシー!GUIで作ってぇええ。

サポートに問合せて「いいからコレ打っとけ」状態で完全に理解してないけど何とかできました。

PowerShellの初期設定

PowerShellは管理者として実行。

Install-Module -Name AzureADPreview

Azure AD for Graph preview (Azure AD v2 preview)をインストールするために、このコマンドを入力。

Nugetプロバイダーをインストールしますか?

信頼されてないリポジトリを信用しますか?

等の質問系は全部SAY YES~♪で。

Get-InstalledModule

インストールされているモジュールを表示。

AzureADPreviewが表示されていればOK!

Set-ExecutionPolicy RemoteSigned

実行ポリシーの変更。初回のみでOK。

なんで必要なのか分かんないけど、ここもSAY YES~♪で。

この一連の作業はこんな感じ↓

AzureAD PowerShell

AzureADに接続するための初期設定

コマンドプロンプトでの作業

お次はコマンドプロンプトを管理者として実行

net start winrm

リモート管理サービスの起動。

サポートに「コマプロで」って言われたけどPowerShellでもOKっぽい??

まぁ仰せの通りにしておこう。

winrm get winrm/config/client/auth

構成の確認。

Basic=tureならOKだそうです。

この一連の作業はこんな感じ↓

winrm get winrm/config/client/auth

Basic=tureならOK の意味は分かってないw

スポンサーリンク

PowerShellでEnableGroupCreationをFalseにする

もう良くわかんないけど以下のコマンドを実行

Import-Module AzureADPreview;
Connect-AzureAD;
$template = Get-AzureADDirectorySettingTemplate -Id 
62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false; New-AzureADDirectorySetting 
-DirectorySetting $setting;

Connect-AzureADでMicrosoft365のログイン画面が表示されます。

管理者のIDとパスワードを入れて、ウチは二段階認証を入れているので、スマホに飛んできたコードを入れてOK!!!

(Get-AzureADDirectorySetting).Values

設定確認のコマンド。

無事”EnableGroupCreation” が “False”になりましたー。

(Get-AzureADDirectorySetting).Values

(Get-AzureADDirectorySetting).Valuesの実行結果

この後、じわりじわりとユーザーに設定が反映され「チームに参加またはチームを作成する」を押しても作成ボタンはなく「コードでチームに参加する」しか表示されなくなりました。

スポンサーリンク

ドはまりした一覧

PowerShell ver7ではAzureADに接続できない

Windows11のPCでpowershellを起動したら、「最新にしません?」的な事を言ってきたので、最新にして罠にはまることに…。

こんなん出ました↓

connect AD

何かがおかしい、何かが

調べても英語サイトの情報しかなく、翻訳かけまくって「ver7はダメなんだなぁ」とぼんやり気が付く。

現にver5ならできたので、そうゆうことなんでしょうね。

Azure AD PowerShell の種類

①Azure AD for Graph (Azure AD v2)

②Azure AD for Graph preview (Azure AD v2 preview)

と似た名前が2つあり、今回必要なのは②の方。

同居NGです。

はい、同居していました~

先に①が入ってたよ。アンインストールして②を入れ直しました。

(Get-AzureADDirectorySetting).Valuesで何も出てこない

AzureADの設定を確認するコマンド。

現在の設定を確認してから”EnableGroupCreation” を “False”にするコマンドを打ちたいじゃないですか。

でも何も起きない。エラーにもならない…。

サポートに問合せたところ、

一度も Microsoft 365 グループの作成制御設定が行われていない場合、何も表示されない仕様です

だそうです。

なので、ぶっつけ本番です(笑)

もうなんかエラーになっちゃう!

Import-Module AzureADPreview;
Connect-AzureAD;
$template = Get-AzureADDirectorySettingTemplate -Id 
62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false; New-AzureADDirectorySetting 
-DirectorySetting $setting;

このコマンドを打つときに、すでにAzureADに接続しているんだから、

Import-Module AzureADPreview;
Connect-AzureAD;

の部分はいらないのかな?と思ってカットしたらダメだった(笑)

仰せの通りに打てば良かった…

いらなかった事

サポートにあれやって、これやってと言われたもので、なくてもできたなぁというヤツ。

Exchange Online PowerShellのインストール

Exchange Online PowerShellならAzureADに接続できるかやってみて。

との事でしたが、できませんでした。

MSOnlineモジュールのインストール

Install-Module -Name MSOnlineを実行

最終的に入ってない環境でもできました。

あってもなくてもヨシ。

以上、大変勉強になりました。

つーか、GUIで作って欲しい。

チーム作成制御なんて皆やりたいよね?

日本人しか必要としてないのか??

スポンサーリンク

 

コメント