Microsoft Planner にて一般ユーザーによるプラン作成を制限する方法について


こんにちは、SharePoint サポートの森村です。
本記事では Microsoft Planner (以下 Planner) を使用した場合の動作について、弊社の米国のエンジニアが公開済みの下記ブログ記事の内容についてご案内いたします。

タイトル : Microsoft Planner–a few common support answers
アドレス : https://blogs.msdn.microsoft.com/brismith/2016/06/06/microsoft-plannera-few-common-support-answers/

タイトル : Microsoft Planner: Another look as MsolSettings–and a couple more answers
アドレス : https://blogs.msdn.microsoft.com/brismith/2016/06/07/microsoft-planner-another-look-as-msolsettingsand-a-couple-more-answers/

なお、本日 (2016 年 6 月 24 日) 現在の情報となるため、動作に変更等がある可能性があります。

※9/15 に一部内容を更新しました。

目次
1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法
2. 一部の一般ユーザーにプラン作成を許可する方法
3. 再度一般ユーザーにプラン作成を許可する方法 (設定を変更、削除する方法)
4. 関連情報

1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法
Planner 製品は Office 365 グループの機能を利用しております。
Planner のページから [新しいプラン] をクリックすると、プランの名前の Office 365 グループが作成され、そのグループ用のプランとして Planner 上でプランの編集が可能となります。

しかし、テナントの管理方針によっては、自由に Office 365 グループの作成をさせたくない、ということも考えられます。
Planner の [新しいプラン] メニューでは、Outlook Web Access ページからの Office 365 グループ作成とは異なる機能を使用しているため、Exchange Online の PowerShell にて、Set-OwaMailboxPolicy を使用し Office 365 グループの作成を禁止している場合でも新規にプラン (Office 365 グループ) が作成される動作となります。

このため、自由に Office 365 グループの作成をさせたくない場合は下記手順にて PowerShell を使用することで、テナントの管理者 (全体管理者、ユーザー管理の管理者) 以外の一般ユーザーによるプランの作成 (Office 365 グループの作成) を禁止することが可能です。

※ 9/15 追記
2016/9/15 時点では、「1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法」の設定を行った場合、管理者を含むすべてのユーザーにて Planner ページからのプランの作成、OWA ページからの Office 365 グループの作成が制限されることを確認しております。
Office 365 管理センターの [グループ] のメニューからの Office 365 グループの作成は可能ですので、こちらから作成いただくか、下記の「2. 一部の一般ユーザーにプラン作成を許可する方法」を使用し、管理者ユーザーも作成を許可するセキュリティ グループに追加する運用をご検討ください。
調査が進み次第、本ブログ記事を再度更新予定です。

事前準備手順

  1. 64 Bit OS が動作している Windows 10/8.1/8/7 PC を準備します。
  2. Windows 7 PC で使用する場合は、前提条件を満たすために、最新の Windows Update をすべて適用します。Windows Update 適用後に再起動を行い、その後下記リンクから Windows Management Framework 3.0 をインストールし、 Windows PowerShell 3.0 を使用可能とします。(Windows 8 以降の場合は 2. の手順は不要です。)
    タイトル : Windows Management Framework 3.0
    アドレス : http://www.microsoft.com/en-us/download/details.aspx?id=34595
  3. 下記弊社 TechNet ページを参照し、Microsoft Online Services サインイン アシスタントのインストールを行います。
    タイトル : Connect to Office 365 PowerShell
    アドレス : https://technet.microsoft.com/ja-jp/library/dn975125.aspx
    
  4. 下記のページを開き、AdministrationConfig-V1.1.130.0-Preview.msi ファイルの右側の [単一のファイルをダウンロードする] 列に表示されている [ダウンロード] のリンクをクリックし、今回利用するコマンドレットを含むプレビュー版の Azure Active Directory の PowerShell モジュール (AdministrationConfig.msi) を入手し、インストールを実施します。ページに記載がありますように、9/7 時点でプレビュー版の内容となります。
    なお、利用するコマンドレットはプレビュー版にて追加されたものとなりますため、以前に Azure Active Directory の PowerShell モジュールをインストール済みの環境の場合でも、改めてプレビュー版の入手、およびインストールが必要となります。
    また、ページ内に記載がございますが、同一ページ内からダウンロード可能である AdministrationConfig-V1.1.160.0-GA.msi には今回利用するコマンドレットが含まれていないため、下記手順にはご利用いただけません。プレビュー版の AdministrationConfig-V1.1.130.0-Preview.msi をご利用ください。

    タイトル : Azure Active Directory Connection
    アドレス : http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185
  5. PowerShell の実行ポリシーを変更していない場合は、インストールした Windows PowerShell の Microsoft Azure Active Directory モジュール を管理者権限で起動し、下記コマンドを実行します。(すでに変更済みの場合は 5. の手順は不要です。)
    Set-ExecutionPolicy RemoteSigned

設定手順

  1. インストールした “Microsoft Azure Active Directory Module for Windows PowerShell” をクリックして、コンソールを起動後、以下の 5 行のコマンドレットを実行します。1 行目の Connect-MsolService を実行すると、認証ダイアログがポップアップされるので、該当テナントの管理者アカウントとパスワードを入力します。
    Connect-MsolService;
    $template = Get-MsolSettingTemplate -TemplateId 62375ab9-6b52-47ed-826b-58e47e0e304b;
    $setting = $template.CreateSettingsObject();
    $setting["EnableGroupCreation"] = "false";
    New-MsolSettings -SettingsObject $setting;

    なお、2 行目の Get-MsolSettingTemplate にてエラーとなる場合は、プレビュー版の Azure Active Directory の PowerShell モジュールをインストールしていないことが原因として考えられます。
    上記「事前準備手順」の手順 4. を再度ご確認ください。

  2. 設定が反映されるまで、数分~1 時間程度待ちます。
  3. テナントの管理者以外の、一般のユーザーにて Planner にアクセスを行い、新規プラン作成を試みるとエラーメッセージが表示され、プランが作成できない動作に変化したことを確認します。

プランが作成できない場合のメッセージ
CannotCreatePlan
「プランを作成できませんでした。少し待ってから、もう一度お試しください。」と表示されます。※ 6/24 現在時点での動作です。

2. 一部の一般ユーザーにプラン作成を許可する方法
上記「1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法」では、すべての一般ユーザーによるプラン作成 (Office 365 グループ作成) を禁止しますが、テナントの管理方針によっては、一部の一般ユーザーにはプラン作成を許可したい、ということも考えられます。

この場合は、上記 1. の方法に少し手順を追加することで、実現が可能です。

設定手順

  1. 上記「1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法」の事前準備手順を実施します。
  2. Office 365 管理センター上にて、セキュリティ グループを作成します。(例 : CanCreateGroups)
  3. プランを作成可能としたいユーザーをセキュリティ グループに追加します。
  4. “Microsoft Azure Active Directory Module for Windows PowerShell” をクリックして、コンソールを起動後、以下のコマンドレットを実行します。<セキュリティ グループ名> の部分は適宜変更します。
    # 新規に設定を行う場合は、下記 7 行のコマンドレットを実行します。
    Connect-MsolService;
    $targetgroup = Get-MsolGroup | Where-Object { $_.DisplayName -eq "<セキュリティ グループ名>"};
    $template = Get-MsolSettingTemplate -TemplateId 62375ab9-6b52-47ed-826b-58e47e0e304b;
    $setting = $template.CreateSettingsObject();
    $setting["EnableGroupCreation"] = "false";
    $setting["GroupCreationAllowedGroupId"] = $targetgroup.ObjectId;
    New-MsolSettings -SettingsObject $setting;
    # 既に「1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法」を実施済みの場合は、
    # 下記 7 行のコマンドレットを実行します。
    Connect-MsolService;
    $targetgroup = Get-MsolGroup | Where-Object { $_.DisplayName -eq "<セキュリティ グループ名>"};
    $currentsetting = Get-MsolAllSettings | Where-Object { $_.TemplateId -eq "62375ab9-6b52-47ed-826b-58e47e0e304b"};
    $value = $currentsetting.GetSettingsValue();
    $value["EnableGroupCreation"] = "false";
    $value["GroupCreationAllowedGroupId"] = $targetgroup.ObjectId;
    Set-MsolSettings -SettingId $currentsetting.ObjectId -SettingsValue $value;

    Get-MsolSettingTemplate や Get-MsolAllSettings 等がエラーとなる場合は、プレビュー版の Azure Active Directory の PowerShell モジュールをインストールしていないことが原因として考えられます。
    上記「事前準備手順」の手順 4. を再度ご確認ください。

  5. 設定が反映されるまで、数分~1 時間程度待ちます。
  6. テナントの管理者以外の、一般のユーザーにて Planner にアクセスを行い、新規プラン作成を試みるとエラーメッセージが表示され、プランが作成できない動作に変化したことを確認します。

3. 再度一般ユーザーにプラン作成を許可する方法 (設定を変更、削除する方法)
一般ユーザーによるプラン作成を禁止した後に、再度プラン作成を許可したい場合は、下記手順にて設定値の変更を行うことで、テナントの設定が変更され、再度プラン作成が可能となります。

設定手順

  1. 上記「1. Microsoft Planner にて管理者以外の一般ユーザーによるプラン作成を制限する方法」の事前準備手順を実施します。
  2. “Microsoft Azure Active Directory Module for Windows PowerShell” をクリックして、コンソールを起動後、以下の 5 行のコマンドレットを実行します。
    Connect-MsolService;
    $currentsetting = Get-MsolAllSettings | Where-Object { $_.TemplateId -eq "62375ab9-6b52-47ed-826b-58e47e0e304b"};
    $value = $currentsetting.GetSettingsValue();
    $value["EnableGroupCreation"] = "true";
    Set-MsolSettings -SettingId $currentsetting.ObjectId -SettingsValue $value;
  3. 設定が反映されるまで、数分~1 時間程度待ちます。
  4. テナントの管理者以外の、一般のユーザーにて Planner にアクセスを行い、新規プラン作成が可能となったことを確認します。
  5. 以降は任意の手順となりますが、”EnableGroupCreation”、”GroupCreationAllowedGroupId” 以外の設定を変更していない場合は、追加で下記 3 行のコマンドレットを実行することで、設定を削除することが可能です。必ず先に 2. の手順にて “EnableGroupCreation” の設定値を変更後に削除をお願いいたします。
    Connect-MsolService;
    $currentsetting = Get-MsolAllSettings | Where-Object {$_.TemplateId -eq "62375ab9-6b52-47ed-826b-58e47e0e304b"};
    Remove-MsolSettings -SettingId $currentsetting.ObjectId;

4. 関連情報
プランの作成の制限方法は 2016 年 6 月の Office 365 の更新で機能追加されております。
詳細につきましては下記でご案内いたしております。

タイトル : What’s new in Office 365 Groups administration—June 2016 update
アドレス : https://blogs.office.com/2016/06/13/whats-new-in-office-365-groups-administration-june-2016-update/

今回の投稿は以上です。


本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

Comments (0)