Azure AD 管理センターでのグループ作成設定の更新

Azure AD 管理センターでのグループ作成設定の更新

管理インターフェイスの作成ギャップを閉じる変更

メッセージ センター通知 MC275349 (8 月 3 日) は、Azure AD 管理センターでグループ作成の設定を確認する必要があることをテナント管理者に通知します。以前は、これらの設定によって、ユーザーが Azure AD 管理センターを通じて新しいセキュリティ グループと Microsoft 365 グループを作成する機能が制御されました。ただし、この設定では、PowerShell やグラフ グループ API などの他の管理インターフェイスは管理されませんでした。新しい設定 (図 1) は、すべての管理インターフェイスをカバーし、現在は適切な場所に配置されています。

  Azure AD 管理センターのグループ作成設定
図 1: Azure AD 管理センターのグループ作成設定

Microsoft では、テナントの設定を確認して、組織がグループを作成する方法に影響を与えていないことを確認することをお勧めします。私は使用しているテナントで何の問題も見ていませんが、確かに良いことです。

グループ固有のコントロール

Azure AD の設定は、管理インターフェイスに適用されます。その他のコントロールは、アプリケーション レベルで存在します。この最も良い例は Microsoft 365 グループです。の既定値 グループ作成を有効にする 設定は True で、すべてのユーザーが新しい Microsoft 365 グループを作成できることを意味します。False の場合、 グループ作成許可グループ ID 設定が遊びに来る。これにより、新しいグループの作成が許可されるグループの GUID が定義されます。

この方法でグループ作成を制御するには、Azure AD P1 Premium ライセンスが必要です。多くの大規模な組織では、これらのライセンスを含む Microsoft 365 プランを用意しているので、通常は問題とはなりません。

ポリシー設定のほとんどを制御する GUI が不足している点が少し問題になる場合があります (名前付けポリシーとブロックされた単語の設定は Azure AD 管理センターで使用できます)。チームのディレクトリ ポリシーが導入されてから 6 年、またはそれ以降、完全な GUI が存在しないため、管理者は PowerShell を使用してグループの作成を含む他のポリシー設定にアクセスし、更新する必要があります。

たとえば、グループの作成が許可されているユーザーのセットと、ポリシーで定義されているグループの名前を調べるには、次のコードを使用します。

$Values = Get-AzureADDirectorySetting | ?{$_.DisplayName -eq "Group.Unified"}
$GroupId = $Values.Values |?{$_.Name -eq "GroupCreationAllowedGroupId" } | Select -ExpandProperty Value
Write-Host ("The name of the group defined by policy to control group creation is {0} and its object identifier is {1}" -f (Get-AzureADGroup -ObjectId $GroupId).DisplayName, $GroupId)
Get-AzureADGroupMember -ObjectId $GroupId

ObjectId                             DisplayName                 UserPrincipalName                     UserType
--------                             -----------                 -----------------                     --------
bff4cd58-1bb8-4898-94de-795f656b4a18 Tony Redmond                Tony.Redmond@office365itpros.com      Member
edc6b121-44b8-4261-9ca7-3603a16caa3e Andy Ruth (Director)        Andy.Ruth@office365itpros.com         Member
43d08764-07d4-418c-8203-a737a8fac7b3 Global Tenant Administrator GblAdmin@office365itpros.com          Member

グループの作成を制御するために使用されるグループを変更するには、ディレクトリポリシーを更新する必要があります。たとえば、このコードは、使用するグループと現在の設定の値を取得し、その値を 設定します。 コマンドレットを使用して、ディレクトリ ポリシーを更新します。

$ObjectId = (Get-AzureADGroup -SearchString "Group Creation Allowed").ObjectId
$Settings = Get-AzureADDirectorySetting | ? {$_.DisplayName -eq "Group.Unified"}
$Settings[“GroupCreationAllowedGroupId”] = $ObjectId
Set-AzureADDirectorySetting -Id $Settings.Id -DirectorySetting $Settings

Outlook の作成

グループ作成が有効 メールボックスに割り当てられた OWA メールボックス ポリシーの設定は、グループ作成の元の制御メカニズムでした (OWA は、2014 年に名前が付けられたように、Office 365 グループをサポートする最初のクライアントでした)。この設定は現在も保持され、ユーザーが Outlook クライアントで新しいグループを作成できるようにするには True にする必要があります。

あまり影響を与えない?

変更は、グループの作成を制御するテナントの多くには影響しないと思います。ユーザーが望むようにグループやチームを作成できるテナントは、おそらく影響を受けませんが、高齢化や時代遅れのグループの割合が高いような対処すべき他の問題があります。いずれにせよ、この変更は、たとえ Microsoft がグループ ディレクトリ ポリシーの GUI の欠如など、他の明らかな欠陥に時間を費やしたいと思っても、導入するのが妥当な変更です。


テナント管理者が利用できる Office 365 データを利用する方法を学習します。 IT 担当者向け Office 365 電子書籍。私たちは物事がどのように機能するかを考え出すのが大好きです。


未分類

Posted by admin