チーム乱立問題
Microsoft365Teamsは初期設定のままだと、ユーザーが好きにチームを作成できてしまいます。
プロジェクトが終わっても資料が放置されたり、ゲストを招待したままだったり。
それって会社としてどうなのよ?
というわけで、ユーザーによるチーム作成を制御し、「管理者だけがチーム作成できるようにする」ミッション。
これがまたドはまりしたので記録しておきます。
Microsoft 365 グループの作成制御
要はグループを作れないようにすれば良いらしい。
AzureADのEnableGroupCreationをFalseにするという作業。
これを実装するまでが長い道のりでした…。
PowerShellの仕様とか全然わからない素人に、この作業はキビシー!GUIで作ってぇええ。
サポートに問合せて「いいからコレ打っとけ」状態で完全に理解してないけど何とかできました。
PowerShellの初期設定
PowerShellは管理者として実行。
Install-Module -Name AzureADPreview
Azure AD for Graph preview (Azure AD v2 preview)をインストールするために、このコマンドを入力。
Nugetプロバイダーをインストールしますか?
信頼されてないリポジトリを信用しますか?
等の質問系は全部SAY YES~♪で。
Get-InstalledModule
インストールされているモジュールを表示。
AzureADPreviewが表示されていればOK!
Set-ExecutionPolicy RemoteSigned
実行ポリシーの変更。初回のみでOK。
なんで必要なのか分かんないけど、ここもSAY YES~♪で。
この一連の作業はこんな感じ↓
コマンドプロンプトでの作業
お次はコマンドプロンプトを管理者として実行
net start winrm
リモート管理サービスの起動。
サポートに「コマプロで」って言われたけどPowerShellでもOKっぽい??
まぁ仰せの通りにしておこう。
winrm get winrm/config/client/auth
構成の確認。
Basic=tureならOKだそうです。
この一連の作業はこんな感じ↓
PowerShellでEnableGroupCreationをFalseにする
もう良くわかんないけど以下のコマンドを実行
Import-Module AzureADPreview; Connect-AzureAD; $template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b; $setting = $template.CreateDirectorySetting(); $setting["EnableGroupCreation"] = $false; New-AzureADDirectorySetting -DirectorySetting $setting;
Connect-AzureADでMicrosoft365のログイン画面が表示されます。
管理者のIDとパスワードを入れて、ウチは二段階認証を入れているので、スマホに飛んできたコードを入れてOK!!!
(Get-AzureADDirectorySetting).Values
設定確認のコマンド。
無事”EnableGroupCreation” が “False”になりましたー。
この後、じわりじわりとユーザーに設定が反映され「チームに参加またはチームを作成する」を押しても作成ボタンはなく「コードでチームに参加する」しか表示されなくなりました。
ドはまりした一覧
PowerShell ver7ではAzureADに接続できない
Windows11のPCでpowershellを起動したら、「最新にしません?」的な事を言ってきたので、最新にして罠にはまることに…。
こんなん出ました↓
調べても英語サイトの情報しかなく、翻訳かけまくって「ver7はダメなんだなぁ」とぼんやり気が付く。
現にver5ならできたので、そうゆうことなんでしょうね。
Azure AD PowerShell の種類
①Azure AD for Graph (Azure AD v2)
②Azure AD for Graph preview (Azure AD v2 preview)
と似た名前が2つあり、今回必要なのは②の方。
同居NGです。
はい、同居していました~
先に①が入ってたよ。アンインストールして②を入れ直しました。
(Get-AzureADDirectorySetting).Valuesで何も出てこない
AzureADの設定を確認するコマンド。
現在の設定を確認してから”EnableGroupCreation” を “False”にするコマンドを打ちたいじゃないですか。
でも何も起きない。エラーにもならない…。
サポートに問合せたところ、
一度も Microsoft 365 グループの作成制御設定が行われていない場合、何も表示されない仕様です
だそうです。
なので、ぶっつけ本番です(笑)
もうなんかエラーになっちゃう!
Import-Module AzureADPreview; Connect-AzureAD; $template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b; $setting = $template.CreateDirectorySetting(); $setting["EnableGroupCreation"] = $false; New-AzureADDirectorySetting -DirectorySetting $setting;
このコマンドを打つときに、すでにAzureADに接続しているんだから、
Import-Module AzureADPreview;
Connect-AzureAD;
の部分はいらないのかな?と思ってカットしたらダメだった(笑)
仰せの通りに打てば良かった…
いらなかった事
サポートにあれやって、これやってと言われたもので、なくてもできたなぁというヤツ。
Exchange Online PowerShellのインストール
Exchange Online PowerShellならAzureADに接続できるかやってみて。
との事でしたが、できませんでした。
MSOnlineモジュールのインストール
Install-Module -Name MSOnlineを実行
最終的に入ってない環境でもできました。
あってもなくてもヨシ。
以上、大変勉強になりました。
つーか、GUIで作って欲しい。
チーム作成制御なんて皆やりたいよね?
日本人しか必要としてないのか??
コメント