Office 365 グループを作成できるユーザーを管理します。

重要:  この記事は機械翻訳されています。機械翻訳についての「免責事項」をお読みください。この記事の英語版を参照するには、ここをクリックしてください。

投稿者: Diane Faigel
30 年 8 月、2017年を最終更新日

Office 365 グループを作成するのには、ユーザーの簡単なのでの他のユーザーの代理として作成要求が大量の受け取るしていません。によっては、ビジネスただし、たいグループを作成する機能を持つユーザーを制御します。はなぜですか?

この記事では、次のグループを使用するすべての Office 365 サービスでグループを作成できないようにする手順を示します: Outlook、Planner、SharePoint、Yammer、Microsoft Teams。作成したセキュリティ グループ内のユーザーのみが、これらのアプリで Office 365 グループを作成することができます。

Office 365 グループを作成するユーザーを制御するには、Windows PowerShell を使用します。これは、古い DOS 環境における C:\ プロンプトでのコマンド入力とよく似ています。PowerShell を使ったことがない場合は、このタスクが使い始めには最適です。必要な操作について順を追って説明します。

始める前に知っておく必要があること

  • この記事の PowerShell コマンドは、Office 365 グループを作成できるユーザーを変更するだけです。Office 365 の環境の残りの部分には影響しません。

  • この記事の手順は、組織で 1 つのセキュリティ グループに対して一度だけ適用します。別のセキュリティ グループにもう一度適用しようとすると、次のようなエラーが表示されます。

    A conflicting object with one or more of the specified property values is present in the directory.
  • この記事の手順を実行しても、以下の役割のメンバーが Office 365 管理センターで Office 365 グループを作成できなくなることはありません。ただし、アプリからは Office 365 グループを作成できなくなります

    • Office 365 のグローバル管理者

    • メールボックスの管理者

    • パートナー レベル 1 のサポート

    • パートナー レベル 2 のサポート

    • ディレクトリ製作者

    これらの役割のいずれかのメンバーである場合は、制限付きユーザーに対して Office 365 グループを作成し、ユーザーをグループの所有者として割り当てることができます。

  • 手順 1 - ここを制限する Office 365 のグループを作成することができるユーザーで説明するようなセキュリティ グループを使用することが重要です。このため、Office 365 のグループを使用しないでください。Office 365 グループを使用しようとすると、メンバー セキュリティ グループをチェックするために、sharepoint サイトからグループを作成することはできません。

  • Set-MSOLCompanySettings -UsersPermissionToCreateGroupsEnabled $Trueを設定すると、Office 365 のグループではなく、セキュリティ グループを作成するのには、ユーザーのアクセス許可のみできます。このコマンドレットの詳細については、 Set-msolcompanysettingsを参照してください。

  • たとえば、この記事の手順を実行し、ユーザーが Office 365 グループを作成できるようにしたとします。しかし、何らかの理由でそのユーザーは作成することができません。そのような場合は、OWA メールボックス ポリシーに従って、ユーザーがブロックされていないことを確認してください。

Windows PowerShell 用 Azure Active Directory モジュール のプレビュー版をインストールする

重要: この記事で説明する手順を実行するには、PREVIEW バージョン Windows PowerShell 用 Azure Active Directory モジュール が必要です。具体的には、AzureADPreview モジュール バージョン 2.0.0.137 or later. です。

最適な対応方法として、常に最新のバージョンにしておくことをお勧めします。古い AzureADPreview バージョンをアンインストールして、最新のバージョンを取得してから、PowerShell コマンドを実行してください。

  1. 管理者として Windows PowerShell を開きます。

    1. 検索バーに「Windows PowerShell」と入力します。

    2. Windows PowerShell を右クリックし、[管理者として実行] を選びます。

      PowerShell を「管理者として実行」して開く。

    Windows PowerShell ウィンドウが表示されます。プロンプト C:\Windows\system32 は、管理者として開かれたことを意味します。

    最初に PowerShell を開いたときの外観。

  2. AzureADPreview の以前のバージョンをアンインストールするには、次のコマンドを実行します。

    Uninstall-Module AzureADPreview
  3. AzureADPreview の最新のバージョンをインストールするには、次のコマンドを実行します。

    Install-Module AzureADPreview

    信頼できないリポジトリに関するメッセージが表示されたら、「Y」を入力してください。新しいモジュールがインストールされるまで、1 分程度かかります。

手順 1: Office 365 グループを作成する必要があるユーザーのセキュリティ グループを作成する

Office 365 グループを作成できるユーザーを制御するために使用できる組織内のセキュリティ グループは 1 つだけです。ただし、このグループのメンバーとして、他のセキュリティ グループをネストすることができます。たとえば、Allow Group Creation という名前のグループが指定されたセキュリティ グループで、Microsoft Planner Users and Exchange Online Users という名前のグループがそのグループのメンバーであるとします。

  1. Office 365 管理センターで、Security group という種類のグループを作成します。グループの名前は覚えておいてください。後で必要になります。

    管理センターでセキュリティ グループを作成する。

  2. 組織で Office 365 グループのグループを作成できるようにするユーザーまたは他のセキュリティ グループを追加します。

詳細については、作成、編集、または Office 365 管理センターでセキュリティ グループを削除するを参照してください。

手順 2: PowerShell コマンドを実行する

最もよくある間違いは、プレビュー モジュールが含まれていないことと入力ミスです。各コマンドを入力するのではなく、この記事のコマンドと例をコピーして貼り付けてください。実行する前に、左右の方向キーを使ってコマンド内を移動し、上下の方向キーを使って前のコマンドをスクロールして戻ることができます。間違えた場合は、エラーが発生したことを示す一連の赤色のテキストが表示されます。コマンドをもう一度入力してみてください。問題が解決しない場合は、サポートに連絡してください。

次の手順は 2017 年 6 月 23 日に最後のテストが行われ、確認されました。

  1. まだ開いていない場合は、コンピューターで Windows PowerShell ウィンドウを開きます (標準の Windows PowerShell ウィンドウか、[管理者として実行] を選択して開いたウィンドウかは関係ありません)。

  2. 次のコマンドを実行します。コマンドごとに Enter キーを押します。

    Import-Module AzureADPreview
    Connect-AzureAD

    表示された [アカウントにサインインする] 画面に、サービスに接続するための Office 365 管理者アカウントとパスワードを入力して、[サインイン] をクリックします。

    Office 365 の資格情報を入力する
  3. 以下の構文を使って、手順 1 で作成したセキュリティ グループの名前を検索します。

    Get-AzureADGroup -SearchString "<Name of your security group>"

    たとえば、グループに AllowedtoCreateGroups という名前を付けた場合は、次のように実行します。

    Get-AzureADGroup -SearchString "AllowedtoCreateGroups"

    これで、AllowedtoCreateGroups セキュリティ グループのプロパティが表示されます。

    Azure AD PowerShell から得られるグループ情報

    AllowedtoCreateGroups グループの ObjectID プロパティ値が afc88... であることがわかります。セキュリティ グループの ObjectID を書き留める必要はありませんが、後の手順で認識できるようにする必要があります。

  4. 次のコマンドを実行します。

    $Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
  5. 次のコマンドを実行します。

    $Setting = $Template.CreateDirectorySetting()
  6. 次のコマンドを実行します。

    New-AzureADDirectorySetting -DirectorySetting $Setting

    正常に完了すると、コマンドレットは新しい設定オブジェクトの ID を返します。

  7. 次のコマンドを実行します。

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
  8. 次のコマンドを実行します。

    $Setting["EnableGroupCreation"] = $False
  9. 次の構文を使用します。

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "<Name of your security group>").objectid

    たとえば、グループに AllowedtoCreateGroups という名前を付けた場合は、次のコマンドを実行します。

    $Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "AllowedtoCreateGroups").objectid
  10. 次のコマンドを実行します。

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
  11. セキュリティ グループがグループを作成でき、組織内の他のすべてのユーザーは作成できないことを確認するには、次のコマンドを実行します。

    (Get-AzureADDirectorySetting).Values

    結果は次のようになります (ここで、セキュリティ グループの ID 値を認識できる必要があります)。

    完了時に、設定は次のように表示されます。

手順 3: 動作することを確認する

  1. グループを作成できないユーザーのアカウントで Office 365 にサインインします。つまり、作成したセキュリティ グループのメンバーではないユーザーのアカウントを使用します。

  2. [Planner] タイルを選びます。

  3. Planner で、[新しいプラン] を選んでプランを作成します。

    Planner で、[新しいプラン] を選ぶ。

  4. プランを作成できないことを示す以下のメッセージが表示されます。

    プランを作成できないことを示すメッセージ。

動作しない場合はどうすればよいですか。

そのOWA メールボックス ポリシーでブロックされていないことを確認します。

これにより、ヘルプのお問い合わせ問題が解決しない場合。

グループを作成できるユーザーに対する制限を削除する

しばらくしてから、グループを作成できるユーザーに対して指定した制限を削除するとします。次のコマンドを実行します。

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}
Remove-AzureADDirectorySetting –Id $SettingId.Id

グループの管理に関する詳細情報

既定では、すべての Office 365 が Office 365 グループを作成できます。

  • ユーザーはそれぞれ最大 250 個の Office 365 グループを作成できます。

  • Office 365 の管理者が作成できる Office 365 グループの数に制限はありません。

  • 現在、Office 365 組織が所有できる Office 365 グループの既定の最大数は 500,000 ですが、要求に応じて増やすことができます。Office 365 グループの制限の詳細については、「Office 365 グループ - 管理者向けヘルプ」を参照してください。

いくつかの Office 365 サービスでは、特定の機能に対して Office 365 グループを作成できる必要があります。たとえば、プランが Microsoft Planner を使用して作成された場合、グループは自動的に作成されます。これは、ユーザーがプランの作成を試みる際に多くのグループを誤って作成する可能性があることを意味します。

Office 365 グループの作成の制御を強化し、すべてのユーザーが作成できるようにはしない (つまり、Office 365 グループを作成する必要がある Office 365 サービスのユーザーのみが作成できるようにする) ように指定できます。

注: Office 365 グループを作成できるユーザーを制御できても、すべてのライセンス ユーザーが、Planner でのタスクの作成や Outlook​​ での会話への応答などのグループ アクティビティに参加できるかどうかについては影響しないことに注意してください。

既にグループ設定オブジェクトを作成しており、設定の値を変更する (たとえば、別のグループを指定する) 必要がある場合は、次の手順を使用できます。

  1. コンピューターで Windows PowerShell ウィンドウを開き、次のコマンドを実行します。

    Import-Module AzureADPreview
    Connect-AzureAD

    表示された [アカウントにサインインする] 画面に、サービスに接続するための資格情報を入力して、[サインイン] をクリックします。

    Office 365 の資格情報を入力する
  2. Office 365 サービスに接続したら、まず、構成設定を含むグループ設定オブジェクトを参照する必要があります。これを行うには、その ObjectId が必要です。ObjectId がわからない場合は、次のコマンドレットを入力して検索できます。

    Get-AzureADDirectorySetting

    これで、その ObjectId を含む、現在のグループ設定オブジェクトが表示されます。

    表示される値の例 グループ設定オブジェクトを検索する
  3. グループ設定オブジェクトの ObjectID が見つかったら、それを使って設定を含むグループ設定オブジェクトを選ぶことができます。次のコマンドレットを入力します。

    $setting=Get-AzureADDirectorySetting -Id <ObjectId>

    たとえば、上記の ObjectId を使用します。

    $setting=Get-AzureADDirectorySetting -id d634c419-bde2-4ebb-880e-a1dc4a1904cb

    Windows Azure Active Directory モジュールのプロンプトに戻ります。

  4. グループ設定オブジェクトを選んだら、次のように入力して、現在の構成値を確認する必要があります。

    $setting.values
    現在の設定値のリストのスクリーン ショット

    これで、グループ設定オブジェクトの設定値が表示され、Windows Azure Active Directory モジュールのプロンプトに戻ります。上記の例では、EnableGroupCreation が "False" に設定されており、GroupCreationAllowedGroupId には現在、グループが指定されていることに注意してください。

  5. これで、グループ設定値に特定の変更を加えることができます。たとえば、グループの作成を許可する別のグループを指すようにする場合、次のコマンドレットを使用できます。

    $settings["GroupCreationAllowedGroupId"] = "<object ID for the new group>"

    前の手順で設定した AllowedtoCreateGroups グループから、ObjectId 3054dce3-37e6-437a-a817-2363272cac1c で作成した別のグループに変更してみましょう。

    $settings["GroupCreationAllowedGroupId"] = "3054dce3-37e6-437a-a817-2363272cac1c"

    設定を構成したら、Windows Azure Active Directory モジュールのプロンプトに戻ります。

  6. 新しい設定を構成した後で、次のように入力して、グループ設定オブジェクトに直接設定を適用することができます。

    Set-AzureADDirectorySetting -Id <object ID for the new group> -DirectorySetting $Setting

    たとえば、グループ設定オブジェクトの ObjectID を使用して、次のように編集します。

    Set-AzureADDirectorySetting -Id d634c419-bde2-4ebb-880e-a1dc4a1904cb -DirectorySetting $Setting

    Windows Azure Active Directory モジュールのプロンプトに戻ります。

  7. $settings.values コマンドレットを実行し、値を確認して、グループ設定が更新されていることを確認できます。

    値が変更された状態のグループ設定オブジェクト

    GroupCreationAllowedGroupId 設定が新しいグループに変更されているのがわかります。

LinkedIn ラーニングのショート アイコンです。 Office 365 を初めてお使いの場合は
、LinkedIn ラーニングによって提供された Office 365 管理者および IT プロフェッショナル向けの無料のビデオコースをご覧ください。

関連記事

Office 365 PowerShell の概要
Azure AD での Office 365 グループ設定の構成
ブログ記事: グループの設定を構成するための Azure Active Directory コマンドレット Azure Active Directory コマンドレット - MSDN

注: 機械翻訳についての免責事項: この記事の翻訳はコンピューター システムによって行われており、人間の手は加えられていません。マイクロソフトでは、英語を話さないユーザーがマイクロソフトの製品、サービス、テクノロジに関するコンテンツを理解するのに役立てるため、こうした機械翻訳を提供しています。記事は機械翻訳されているため、用語、構文、文法などに誤りがある場合があります。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×