SharePoint Online/OneDrive for Business で Office 365 グループの作成を制限する

こんにちは。SharePoint サポートの井上です。

現時点において、既定の状態では SharePoint Online/OneDrive for Business の画面から、Office 365 グループが作成できる動作となっております。

SharePoint Online (https://<テナント>.sharepoint.com/_layouts/15/sharepoint.aspx)

OneDrive for Business

テナントの管理方針によっては Office 365 グループの作成について禁止したいとのご要望もあると考えられますが、Outlook on the Web で Office 365 グループの作成を制限するための Set-OwaMailboxPolicy コマンドは SharePoint Online/OneDrive for Business には有効ではないため、注意が必要です。

SharePoint Online/OneDrive for Business の画面から Office 365 グループ作成を制限するためには、既に Microsoft Planner、Yammer に関する以下の投稿に記載の方法でご実施頂けますのでご参考にしてください。

* それぞれの記事でご案内している方法は同一となります。本方法を実施することにより、Office 365 グループと連携するテナント全体の各種サービスの動作が影響しますので、予めご留意ください。

タイトル : Microsoft Planner にて一般ユーザーによるプラン作成を制限する方法について (V2)
アドレス : https://blogs.technet.microsoft.com/sharepoint_support/2017/03/27/microsoft-planner-plan-creation-restriction-v2/

タイトル : Yammer グループと Office 365 グループの統合について (V2)
アドレス : https://blogs.technet.microsoft.com/sharepoint_support/2017/04/06/manage-yammer-suite-connected-office-365-group-creation-v2/

念のため、具体的な方法については下記に記載いたしました。

事前準備

1. 64 Bit OS が動作している Windows 10/8.1/7、あるいは Windows Server 2016/2012R2/2012/2008R2 を準備します。

2. Windows 7 およびWindows Server 2008 R2 の場合は、前提条件を満たすために、最新のWindows Update をすべて適用します。Windows Update 適用後に再起動を行います。(Windows 8.1 あるいは Windows Server 2012 以降の場合、本手順は不要です。)

3. Windows 7 およびWindows Server 2008 R2 の場合は、下記弊社TechNet ページを参照し、Microsoft Online Services サインイン アシスタントのインストールを行います。(Windows 8.1 あるいは Windows Server 2012 以降の場合、本手順は不要です。)

    タイトル : Office 365 PowerShell への接続
   アドレス : https://technet.microsoft.com/ja-jp/library/dn975125.aspx
   

4. Windows 7 およびWindows Server 2008 R2 の場合は、下記リンクから.NET Framework 4.5 以降をインストールします。必要に応じて再起動を実施します。(Windows 8.1 あるいは Windows Server 2012 以降の場合、本手順は不要です。)

    タイトル : .NET Framework のインストール
   アドレス : https://msdn.microsoft.com/ja-jp/library/5a4x27ek(v=vs.110).aspx
   

5. Windows 7/8.1 および Windows Server 2008 R2/2012/2012 R2 の場合は、下記リンクから Windows Management Framework 5.0 をインストールします。必要に応じて再起動を実施します。(Windows 10 および Windows Server 2016 の場合、本手順は不要です。)

    タイトル : Windows Management Framework 5.0
   アドレス : https://www.microsoft.com/en-us/download/details.aspx?id=50395
   

6. PowerShell を管理者モードで起動し、下記コマンドを実行し、ネットワーク経由で最新版のAzure Active Directory PowerShell Module V2 をインストールします。

    Install-Module AzureADPreview
   

   ※ ここで、「続行するには NuGet プロバイダーが必要です…」、あるいは「NuGet provider is required to continue …」と表示されましたら、Y を入力し、先に進めてください。
   また、続けて「信頼されていないリポジトリ・・」と表示されましたら、Y を入力し、先に進めてください。

7. PowerShell の実行ポリシーを変更していない場合は、続けて下記コマンドを実行します。(すでに変更済みの場合は 7. の手順は不要です。)

    Set-ExecutionPolicy RemoteSigned
   

8. 管理者モードで起動した PowerShell ウィンドウを閉じます。

設定手順

(A) テナント単位で Office 365 グループの作成を無効とする方法

1. PowerShell を起動後、以下のコマンドレットを実行します。

    Import-Module AzureADPreview;
   Connect-AzureAD;
   $template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
   $setting = $template.CreateDirectorySetting();
   $setting[“EnableGroupCreation”] = $false;
   New-AzureADDirectorySetting -DirectorySetting $setting;
   

   ※ 1 行目の Import-Module AzureADPreview にてエラーとなる場合は、Azure Active Directory PowerShell Module V2 が正しくインストールされていないことが原因として考えられます。上記「事前準備手順」を再度ご確認ください。
   ※ 6 行目の New-AzureADDirectorySetting にてエラーとなる場合は、過去に設定オブジェクトを作成している可能性がございます。その場合には、後述いたします手順 「(C) 設定内容を変更する方法」 の “テナントで Office 365 グループの作成を無効としたい場合” をご確認ください。

2. 設定内容を確認したい場合には、下記のコマンドを実施してください。EnableGroupCreation が “False” に設定されていることを確認します。(下図参照)

    $setting.Values
   

   

3. 設定が反映されるまで、数分～1 時間程度待ちます。

(B)  特定のセキュリティ グループのみ Office 365 グループの作成を許可する

1. 設定に使用するセキュリティ グループを用意します。 (例. AllowedtoCreateGroups)

2. PowerShell を起動後、以下のコマンドレットを実行します。<セキュリティ グループ名> の部分は適宜変更します。新規に設定を行う場合は、下記 9 行のコマンドレットを実行します。
   2 行目の Connect-AzureAD を実行すると、認証ダイアログがポップアップされるので、該当テナントの全体管理者のアカウントとパスワードを入力します。

    Import-Module AzureADPreview;
   Connect-AzureAD;
   $groupname = “セキュリティ グループ名“;
   $targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object { $_.DisplayName -eq $groupname};
   $template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
   $setting = $template.CreateDirectorySetting();
   $setting[“EnableGroupCreation”] = $false;
   $setting[“GroupCreationAllowedGroupId”] = $targetgroup.ObjectId;
   New-AzureADDirectorySetting -DirectorySetting $setting;
   

   ※ 9 行目の New-AzureADDirectorySetting にてエラーとなる場合は、過去に設定オブジェクトを作成している可能性がございます。その場合には、後述いたします手順 「(C) 設定内容を変更する方法」 の  “セキュリティ グループを変更したい場合” をご確認ください。
   ※ 本記事を投稿時点の動作では、指定できるセキュリティ グループは 1 つのみです。

3. 設定内容を確認したい場合には、下記のコマンドを実施してください。EnableGroupCreation が “False” および GroupCreationAllowedGroupId に対象グループのオブジェクト ID が追加されていることを確認します。(下図参照)

    $setting.Values
   

   

4. 設定が反映されるまで、数分～1 時間程度待ちます。

(C) 設定内容を変更する方法

1. PowerShell を起動後、以下の 3 行のコマンドレットを実行します。
   2 行目の Connect-AzureAD を実行すると、認証ダイアログがポップアップされるので、該当テナントの全体管理者のアカウントとパスワードを入力します。

    Import-Module AzureADPreview;
   Connect-AzureAD;
   $setting = Get-AzureADDirectorySetting | Where-Object {$_.TemplateId -eq “62375ab9-6b52-47ed-826b-58e47e0e304b”};
   

2. 変更内容に応じて、下記のコマンドを実施します。テナントで Office 365 グループの作成を無効としたい場合 :

    $setting[“EnableGroupCreation”] = $false;
   $setting[“GroupCreationAllowedGroupId”] = “”;
   Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;
   

   テナントで Office 365 グループの作成を有効としたい場合 :

    $setting[“EnableGroupCreation”] = $true;
   $setting[“GroupCreationAllowedGroupId”] = “”;
   Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;
   

   Office 365 グループの作成を許可するセキュリティ グループを変更したい場合 :

    $groupname = “セキュリティ グループ名” ;
   $targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object { $_.DisplayName -eq $groupname};
   $setting[“EnableGroupCreation”] = $false;
   $setting[“GroupCreationAllowedGroupId”] = $targetgroup.ObjectId
   Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;
   

   ※ 3 行目では EnableGroupCreation を “False” に変更するために記載していますが、もともと設定値を False に設定している場合には実行いただく必要はございません。
   下記手順 3 にて EnableGroupCreation が “False” GroupCreationAllowedGroupId に対象グループのオブジェクト ID が追加されていることを確認してください。

3. 下記のコマンドを実施して設定内容を確認します。

    $setting.Values
   

4. 設定が反映されるまで、数分～1 時間程度待ちます。

参考情報

タイトル : Azure Active Directory cmdlets for configuring group settings
アドレス : /en-us/azure/active-directory/active-directory-accessmanagement-groups-settings-cmdlets

* 8/15 追記 :
現在、SharePoint Online/OneDrive for Business の新機能として "コミュニケーション サイト" サイト コレクションが各テナントに順次展開が開始されております。

"コミュニケーション サイト" におきましても、Office 365 グループと同様に、SharePoint Online/OneDrive for Business の画面から作成が可能な動作となっており、本稿に記載の PowerShell コマンドで Office 365 グループと合わせて作成を制限することが可能です。

現時点では、SharePoint Online については SharePoint 管理センター上の [サイトの作成] メニューから "コミュニケーション サイト" と Office 365 グループの作成を制限することも可能となりますが、OneDrive for Business については PowerShell のみとなります。

また、"コミュニケーション サイト" のみの作成を制限する方法は現時点においては提供されておりません。

タイトル : What is a SharePoint communication site?
アドレス : https://support.office.com/en-us/article/94a33429-e580-45c3-a090-5512a8070732

タイトル : Create a communication site in SharePoint Online
アドレス : https://support.office.com/en-us/article/7fb44b20-a72f-4d2c-9173-fc8f59ba50eb

今回の投稿は以上です。

本情報の内容は、作成日時点でのものであり、予告なく変更される場合があります。