記事作成時点ではデフォルトの設定の場合、管理者権限のない一般ユーザーでもMicrosoft365グループ、配布リスト、セキュリティグループ、SharePointサイトの作成が可能な設定となっている。一般ユーザーによりグループ、サイトが作成されることで、情報の断片化、管理の煩雑化につながる可能性がある。PowerShellを使用して一般ユーザーが各種リソースを作成できないように設定変更を実施する。
検証環境について
動作確認した検証環境は以下の通り。
OS:Microsoft Windows 11 Enterprise
OSbuildバージョン:10.0.22621
PowerShellのバージョン:7.4.0
GraphPowershellのモジュール名とバージョン
Microsoft.Graph.Authentication 2.12.0
Microsoft.Graph.Beta.Identity.DirectoryManagement 2.12.0
Microsoft.Graph.Beta.Sites 2.12.0サインインアカウントの権限はグローバル管理者。
GraphPowershellのモジュールがBeta版であるため注意すること。
使用するコマンド
Update-MgBetaDirectorySetting
Update-MgPolicyAuthorizationPolicy
ユーザーによる各種リソースの作成を制限する
#GraphPowerShellに接続する
Connect-MgGraph -Scopes `
Directory.ReadWrite.All,`
Policy.ReadWrite.Authorization,`
SharePointTenantSettings.ReadWrite.All `
-NoWelcom
#現在のディレクトリの設定情報を取得する
$directorySetting = Get-MgBetaDirectorySetting | `
Where-Object Id -eq "e605a951-62af-4a94-ae13-4ea2990eaf5e"
$settingId = $directorySetting.Id
$TemplateId = $directorySetting.TemplateId
$values = $directorySetting.values
#Microsoft365グループ作成の作成を制限するようパラメータを指定する
($values | Where-Object Name -eq "EnableGroupCreation" ).Value = $false
#Microsoft365グループの作成を制限するように設定を更新する
Update-MgBetaDirectorySetting `
-DirectorySettingId $settingId `
-TemplateId $TemplateId `
-Values $values
#現在のセキュリティグループに関連する設定を取得する
$DefaultUserRolePermissions = `
(Get-MgBetaPolicyAuthorizationPolicy).DefaultUserRolePermissions
#セキュリティグループの作成を制限するようパラメータを指定する
$DefaultUserRolePermissions.AllowedToCreateSecurityGroups = $false
#セキュリティグループの作成を制限するよう設定を更新する
Update-MgBetaPolicyAuthorizationPolicy `
-AuthorizationPolicyId "authorizationPolicy" `
-DefaultUserRolePermissions $DefaultUserRolePermissions
#SharePointのサイトの作成を制限するようパラメータを指定する
$params = @{
isSiteCreationEnabled = $false
isSiteCreationUIEnabled = $false
}
#SharePointのサイトの作成を制限するよう設定を更新する
Update-MgBetaAdminSharepointSetting -BodyParameter $params
Disconnect-MgGraph
#ExchangeOnlineに接続する
Connect-ExchangeOnline
#ユーザー役割から配布リスト作成可能なポリシーの割り当てを解除する
Remove-ManagementRoleAssignment `
-Identity "MyDistributionGroups-Default Role Assignment Policy" `
-Confirm:$false
Disconnect-ExchangeOnline -Confirm:$false制限できたか確認する
以下リンクに管理者権限のない一般ユーザーアカウントでアクセスし、Microsoft365グループとセキュリティグループの作成ボタンが表示されるか確認する。
My Groups – 概要 (microsoft.com)
以下リンクに管理者権限のない一般ユーザーアカウントでアクセスし[所有する配布グループ]の項目が表示されるか確認する。
https://outlook.office365.com/ecp/MyGroups/PersonalGroups.aspx
以下URL参考に管理者権限のない一般ユーザーアカウントでアクセスし[+サイトの作成]のメニューが表示されるか確認する。
SharePoint にサインインする – Microsoft サポート
参考情報
- Microsoft 365 グループを作成できるユーザーを管理する | Microsoft Learn
- ユーザーによるグループの作成を無効にする – Microsoft Entra ID | Microsoft Learn
- ディレクトリの更新設定 – Microsoft Graph beta | Microsoft Learn
- テンプレート設定 – Microsoft Entra ID | Microsoft Learn
- authorizationPolicy リソースの種類 – Microsoft Graph v1.0 | Microsoft Learn
- セルフサービス グループ管理を設定する – Microsoft Entra ID | Microsoft Learn
- ユーザーが Microsoft 365 で配布グループを作成および管理できないようにする – Exchange | Microsoft Learn
- Exchange Onlineでのロールの割り当てポリシー | Microsoft Learn
- SharePoint のサイト作成を管理する – SharePoint in Microsoft 365 | Microsoft Learn
- sharepointSettings を更新する – Microsoft Graph v1.0 | Microsoft Learn
問い合わせフォーム
リンク切れのご報告や、記載内容に不備がありましたら、お手数をおかけしますが
以下お問い合わせフォームからご報告をお願い致します。
コマンドの仕様確認やエラー内容の確認、対処方法については、ご契約されているMicrosoftかCSPへお問い合わせください。
※いただきました内容は確認させていただきますが、必ずしも回答をお約束するものではございません。
