テナント内の Microsoft 365 グループの作成を制御する方法

テナント内の Microsoft 365 グループの作成を制御する方法 [ad_1]

Azure AD – その後マイクロソフト 365 – そして多分 OWA

最近のメモ グループの作成を制御するために Microsoft が Azure AD 管理センターに加えた変更について、グループ作成の全体的なガバナンスに関する追加の質問がいくつか作成されました。マイクロソフトが過去に過度に複雑だと非難されてきた話題ですが、今では合理的に簡単に思えます。

Azure AD の中心的な役割

Azure AD は、テナント レベルで Microsoft 365 グループに対するガバナンスを実行します。Microsoft 365 グループは Azure AD グループの 1 つの形式であるため、このことは簡単に理解できます。すべての Microsoft 365 グループは Azure AD グループであり、グループ メンバーシップと所有権は Azure AD にあります。Microsoft 365 グループはメールが有効なオブジェクトであるため、Exchange Online には、プロキシ アドレス、メンバーシップ数、SharePoint オンライン URL など、グループの追加プロパティがいくつか格納されます。ただし、Azure AD はレコードのディレクトリであり、グループの基本要素を管理します。

2019 年後半、マイクロソフトは デュアル書き込みメカニズム Microsoft 365 グループに対してクライアントが行った変更を確実に行うには、Exchange オンライン ディレクトリと Azure AD の両方を更新して成功する必要があります。この変更により、同期の不具合が回避され、2 つのディレクトリ間でオブジェクトの整合性が妨げられる場合があります。

グループ作成用の Azure AD の構成

したがって、Azure AD はテナント レベルでグループを “所有" するため、グループ作成用の Azure AD コントロール (図 1) をオンにしてから、アプリまたは管理インターフェイスを通じて Microsoft 365 グループを作成する必要があります。

Azure AD 管理センターでグループを有効にする
図 1: Azure AD 管理センターでグループを有効にする

Azure AD コントロールを使用すると、ユーザーは Azure ポータル、API、または PowerShell を使用して Microsoft 365 グループを作成できます。API とは、Microsoft 365 管理センター、チーム管理センター、および新しい Exchange 管理センターがグループを作成する方法を示す Microsoft グラフ グループ API を意味します。また、チーム、プランナー、Outlook などのグループ対応アプリでの作成についても説明します。PowerShell は、次のようなコマンドレットを使用した作成をカバーしています。 新しい統合グループ そして 新チーム.

アプリケーションによるグループ作成の制御

次のレベルは、アプリによるグループ作成を制御することです。Microsoft 365 では、この目的のために Azure AD ディレクトリ設定ポリシーを使用しています。ポリシーが存在しない場合、アプリは誰でも新しい Microsoft 365 グループを作成できます。ポリシーが存在する場合、アプリは定義済みのポリシー設定を使用します。

Azure AD ポリシーを使用してグループの作成を制御することは、Azure AD プレミアム機能です。ポリシーの範囲内にあるすべてのアカウント (基本的には組織内のすべてのユーザー) には、Azure AD Premium P1 ライセンス (Microsoft 365 プランおよびエンタープライズ モビリティおよびセキュリティ スイートに含まれる) が必要です。

として 昨日注目の場合、Azure AD ポリシーの一部の設定には、Azure AD 管理センターからアクセスできます。グループの作成を制御する設定は行わないため、PowerShell が必要です。必要なコマンドレットは、 Azure AD プレビュー モジュール.PowerShell の例の束は、グループ作成の設定を更新する方法を理解するのに役立ちますが、そのほとんどはに基づいているようです。 マイクロソフトのバージョン..グループコントロールの設定を更新する独自のスクリプトを用意しています (GitHub からダウンロード可能) はパラメータ駆動型で、エラーチェックと検証が多くなります。スクリプトを頻繁に実行することはありませんが、実行内容を報告するようなバージョンを作成するのはうれしいことです。

グループコントロールを構成するために使用される PowerShell コマンドは、単純で比較的簡単です。基本的なアプローチは次のとおりです。

  • を使用する を取得します。 テナントがグループの Azure AD ポリシーをカスタマイズしたかどうかを確認するコマンドレット。[いいえ]の場合は、 新しいディレクトリ設定 コマンドレット。
  • を使用して既存の設定を取得します。 を取得します。 をクリックし、グループの作成を制御するために使用するポリシーの 2 つの設定を更新します。
    • グループ作成を有効にする です $True 誰でも新しいMicrosoft 365グループを作成できる場合、または作成が制限されている場合は$False。
    • グループ作成許可グループ ID には、新しい Microsoft 365 グループの作成を許可するユーザーのセットを保持するグループ (セキュリティ グループまたは Microsoft 365) の Azure AD オブジェクト識別子 (GUID) が含まれています。このプロパティが設定されていない場合は、no on管理者以外は、新しい Microsoft グループを作成できます。
  • を使用してグループの Azure AD ポリシーを更新します。 設定します。 コマンドレット。

グループ作成制御を有効にするコマンドの例を以下に示します。グループ オブジェクト識別子と True/False 設定を保持するために使用される変数 グループ作成を有効にする は事前に設定されています。

$PolicySettingsId = (Get-AzureADDirectorySetting | ? {$_.DisplayName -eq "Group.Unified"}).Id
If (!$PolicySettingsId) { # No policy settings found for the tenant, so create it and extract the identifier
  $PolicyTemplate = Get-AzureADDirectorySettingTemplate | ? {$_.DisplayName -eq "Group.Unified"}
  $PolicySettings = $PolicyTemplate.CreateDirectorySetting()
  New-AzureADDirectorySetting -DirectorySetting $PolicySettings
  $PolicySettingsId = (Get-AzureADDirectorySetting | ? {$_.DisplayName -eq "Group.Unified"}).Id
} # End If

$PolicySettings = Get-AzureADDirectorySetting -Id $PolicySettingsId
$PolicySettings["EnableGroupCreation"] = $OnOffSwitch
$PolicySettings["GroupCreationAllowedGroupId"] = $GroupId
Set-AzureADDirectorySetting -Id $PolicySettingsId -DirectorySetting $PolicySettings

グループの Azure AD ポリシーを更新したら、新しい設定を選択するポリシーをサポートするアプリ (チームやプランナーなど) に少し時間がかかります。Azure AD ポリシーをチェックするコードが含まれず、アプリが設定を尊重しないことをお勧めします。

OWA メールボックス ポリシー

マイクロソフトが 2014 年 11 月に Office 365 グループ (現在のマイクロソフト 365 グループ) を立ち上げた時点で、OWA が最初のクライアントでした。当時、OWA メールボックス ポリシーに、新しいグループを作成できるユーザーを制御する設定を設定することは理にかなっていました。現在、別の OWA 設定は、Azure AD ポリシーで置き換える必要がある時代錯誤です。

いずれにせよ、 グループ作成が有効 設定すると、Outlook ユーザーが新しい Microsoft 365 グループを作成できるかどうかを制御できます。OWA メールボックス ポリシーを割り当てられたユーザー グループ作成が有効 に設定 Azure AD ポリシーによっても許可されている場合は、先に進むことができます。

このコードは、テナントの状況を理解するために、グループの作成を許可する OWA メールボックス ポリシーのセットと、それらのポリシーが割り当てられた一連のメールボックスを報告します。

[array]$OWAPolicies = Get-OWAMailboxPolicy | ? {$_.GroupCreationEnabled -eq $True} | Select -ExpandProperty Identity
Write-Host ""
Write-Host "OWA Mailbox policies allowing group creation:"
Write-Host ""
$OWAPolicies
[array]$Mailboxes = Get-CasMailbox | ? {$_.OWAMailboxPolicy -in $OWAPolicies } | Select DisplayName, OWAMailboxPolicy
Write-Host ""
Write-Host "The OWA Mailbox policy assigned to these mailboxes allows them to create Microsoft 365 Groups:"
$Mailboxes

アカウントに割り当てられた OWA メールボックス ポリシーを変更すると、有効にするのに数時間かかることがあります。OWA が新しいグループを作成するオプションを提供しなくなった場合に、変更が有効な時期を知る必要があります。

グループ作成の管理

Microsoft 365 グループの作成を管理することは難しいことではありません。Azure AD で作成が許可されていることを確認し、すべてのユーザーまたは制限されたセットが新しいグループを作成できるかどうかを決定します。OWA メールボックス ポリシーを必要に応じて調整します。グループが作成を制御するために Azure AD Premium P1 ライセンスが Azure AD ポリシーを使用する必要性は、一部のユーザーにとっては障壁となりますが、おそらく、この機能の恩恵を最も受ける大企業の展開では障壁ではありません。そして、あなたが勇敢に感じている場合は、ユーザーが新しいグループ/チームを要求できるように、Power Appsを使用して独自の承認ワークフローを作成することができます(こちら で始めるのに役立つ記事).

Office 365 が実際にどのように機能するかについては、サブスクリプションを作成してください。 IT 担当者向け Office 365 電子書籍。毎月の更新プログラムでは、Office 365 エコシステム全体で重要な情報を購読者に通知します。

[ad_2]

未分類

Posted by admin