Yammer グループと Office 365 グループの統合について (V2)
こんにちは、SharePoint サポート チームの関 友香です。
先日投稿いたしました ブログ記事 にて、Yammer グループと紐づく Office 365 グループの作成を制限する方法としてテナント上で Office 365 グループの作成を制限する方法をご案内しております。本日 (2017/4/6) 時点で、手順を実施するために必要なモジュールの適用が停止されており、再開の予定がない状態であることを確認しております。該当モジュールが Azure Active Directory PowerShell Module V1 Public Preview (ベータ) 版での提供であったことと、現在最新の Version 2 (V2) を開発、提供中であるためとなります。
既に Azure Active Directory PowerShell Module V1 Public Preview 版をダウンロード済みの方は引き続き同様の手順をご利用可能ですが、これから新規で設定を行う方 (ダウンロード未実施の方) は Azure Active Directory PowerShell Module V2 版を使用する必要があります。
これから設定を行いたい方のために、本記事では Azure Active Directory PowerShell Module V2 版を利用して Office 365 グループを制限する方法をご紹介いたします。
Yammer グループと紐づく Office 365 グループ制限する方法
今回の投稿でも、下記それぞれの方法について手順をご案内させていただきます。なお、以下のいずれの方法を設定した場合においても、全体管理者とユーザー管理の管理者は Office 365 グループ作成制限の設定の影響を受けないため、Yammer グループに紐づく Office 365 グループを作成することが可能です。
(A) テナント単位で Office 365 グループの作成を無効とする方法
・Yammer で作成したグループは Office 365 側には連携されず、Yammer グループに紐づく Office 365 グループは作成されません。
・Office 365 グループ作成の制限は Yammer 上でのグループ作成には影響を及ぼしませんので、すべてのユーザーは引き続き Yammer 上でグループを作成することが可能です。
(B) 特定のセキュリティ グループのメンバーのみ Office 365 グループの作成を制限する方法
・ユーザーが Office 365 グループの作成を許可されたセキュリティ グループのメンバーである場合には、ユーザーが Yammer 上で作成したグループと連携した Office 365 グループが Office 365 上でも作成されます。
・ユーザーが Office 365 グループの作成を許可されたセキュリティ グループのメンバーでない場合には、ユーザーは Yammer 上で引き続きグループを作成することは可能ですが、Yammer グループと連携した Office 365 グループは作成されません。
・Office 365 グループ作成の制限は Yammer 上でのグループ作成には影響を及ぼしませんので、すべてのユーザーは引き続き Yammer 上でグループを作成することが可能です。
設定手順について
以下に記載いたします設定の内容は、公開情報 Azure Active Directory cmdlets for configuring group settings (英語版) をもとに作成しております。
なお、Office 365 グループは Yammer 以外の様々な Office 365 上のサービスでも利用されておりますので、本設定を適用される際には各サービスの管理者様と設定内容について十分にご検討ください。
– 事前準備 –
1. 64 Bit OS が動作している Windows 10/8.1/7、あるいは Windows Server 2016/2012R2/2012/2008R2 を準備します。
2. Windows 7 および Windows Server 2008 R2 の場合は、前提条件を満たすために、最新の Windows Update をすべて適用します。Windows Update 適用後に再起動を行います。(Windows 8.1 あるいは Windows Server 2012 以降の場合は 2. の手順は不要です。)
3. Windows 7 および Windows Server 2008 R2 の場合は、下記弊社 TechNet ページを参照し、Microsoft Online Services サインイン アシスタントのインストールを行います。(Windows 8.1 あるいは Windows Server 2012 以降の場合は 3. の手順は不要です。)
・ Office 365 PowerShell への接続
https://technet.microsoft.com/ja-jp/library/dn975125.aspx
4. Windows 7 および Windows Server 2008 R2 の場合は、下記リンクから .NET Framework 4.5 以降をインストールします。必要に応じて再起動を実施します。(Windows 8.1 あるいは Windows Server 2012 以降の場合は 4. の手順は不要です。)
・ .NET Framework のインストール
https://msdn.microsoft.com/ja-jp/library/5a4x27ek(v=vs.110).aspx
5. Windows 7/8.1 および Windows Server 2008 R2/2012/2012 R2 の場合は、下記リンクから Windows Management Framework 5.0 をインストールします。必要に応じて再起動を実施します。(Windows 10 および Windows Server 2016 の場合は 5. の手順は不要です。)
・ Windows Management Framework 5.0
https://www.microsoft.com/en-us/download/details.aspx?id=50395
6. PowerShell を管理者モードで起動し、下記コマンドを実行し、ネットワーク経由で最新版の Azure Active Directory PowerShell Module V2 をインストールします。
--------
Install-Module AzureADPreview
--------
※ ここで、「続行するには NuGet プロバイダーが必要です…」、あるいは「NuGet provider is required to continue …」と表示されましたら、Y を入力し、先に進めてください。
また、続けて「信頼されていないリポジトリ・・」と表示されましたら、Y を入力し、先に進めてください。
7. PowerShell の実行ポリシーを変更していない場合は、続けて下記コマンドを実行します。(すでに変更済みの場合は 7. の手順は不要です。)
--------
Set-ExecutionPolicy RemoteSigned
--------
8. 管理者モードで起動した PowerShell ウィンドウを閉じます。
– 設定手順 –
(A) テナント単位で Office 365 グループの作成を無効とする方法
1. PowerShell を起動後、以下のコマンドレットを実行します。
--------
Import-Module AzureADPreview;
Connect-AzureAD;
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false;
New-AzureADDirectorySetting -DirectorySetting $setting;
--------
※ 1 行目の Import-Module AzureADPreview にてエラーとなる場合は、Azure Active Directory PowerShell Module V2 が正しくインストールされていないことが原因として考えられます。 上記「事前準備手順」を再度ご確認ください。
※ 9 行目の New-AzureADDirectorySetting にてエラーとなる場合は、過去に設定オブジェクトを作成している可能性がございます。その場合には、後述いたします手順 「(C) 設定内容を変更する方法」 の "テナントで Office 365 グループの作成を無効としたい場合" をご確認ください。
2. 設定内容を確認したい場合には、下記のコマンドを実施してください。EnableGroupCreation が "False" に設定されていることを確認します。(下図参照)
--------
$setting.Values
--------
3. 設定が反映されるまで、数分~1 時間程度待ちます。
– 補足
・ 2017 年 4 月 5 日時点の動作では、上記の設定にて全体管理者とユーザー管理の管理者は Yammer グループに紐づく Office 365 グループを作成することが可能です。
・ 2017 年 4 月 5 日時点の動作では、全体管理者は、Office 365 管理センターの [グループ] メニューから Office 365 グループを作成することが可能ですが、Outlook on the Web 等の Office 365 グループの UI 上からは Office 365 グループを作成することはできません。
・ 2017 年 4 月 5 日時点の動作では、ユーザー管理の管理者は、Office 365 管理センターの [グループ] メニューからセキュリティ グループのみ作成が可能ですが、Outlook on the Web 等の Office 365 グループの UI 上からは Office 365 グループを作成することはできません。
・ Yammer グループ作成後に、全体管理者またはユーザー管理の管理者のユーザーを Yammer グループの管理者に追加後に、グループのアクセスの種類を [パブリック アクセス] あるいは [プライベート アクセス] ([ネットワークのグループ ディレクトリと検索結果にこのグループを表示します。] のチェックあり) に変更した場合、アクセスの種類の変更をトリガーとして Office 365 グループと接続される動作となります。
(B) セキュリティ グループ単位でOffice 365グループの作成を制限する
1. 設定に使用するセキュリティ グループを用意します。 (例. AllowedtoCreateGroups)
2. PowerShell を起動後、以下のコマンドレットを実行します。<セキュリティ グループ名> の部分は適宜変更します。新規に設定を行う場合は、下記 9 行のコマンドレットを実行します。
2 行目の Connect-AzureAD を実行すると、認証ダイアログがポップアップされるので、該当テナントの全体管理者のアカウントとパスワードを入力します。
--------
Import-Module AzureADPreview;
Connect-AzureAD;
$groupname = "セキュリティ グループ名";
$targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object { $_.DisplayName -eq $groupname};
$template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b;
$setting = $template.CreateDirectorySetting();
$setting["EnableGroupCreation"] = $false;
$setting["GroupCreationAllowedGroupId"] = $targetgroup.ObjectId;
New-AzureADDirectorySetting -DirectorySetting $setting;
--------
※ 9 行目の New-AzureADDirectorySetting にてエラーとなる場合は、過去に設定オブジェクトを作成している可能性がございます。その場合には、後述いたします手順 「(C) 設定内容を変更する方法」 の "セキュリティ グループを変更したい場合" をご確認ください。
3. 設定内容を確認したい場合には、下記のコマンドを実施してください。EnableGroupCreation が "False" および GroupCreationAllowedGroupId に対象グループのオブジェクト ID が追加されていることを確認します。(下図参照)
--------
$setting.Values
--------
4. 設定が反映されるまで、数分~1 時間程度待ちます。
– 補足
・ 2017 年 4 月 5 日時点の動作では、上記の設定にて許可したセキュリティ グループのメンバーおよび全体管理者とユーザー管理の管理者は Yammer グループに紐づく Office 365 グループを作成することが可能です。
・ 2017 年 4 月 5 日時点の動作では、上記の設定にて許可したセキュリティ グループのメンバーに含まれていない全体管理者は、Office 365 管理センターの [グループ] メニューから Office 365 グループを作成することが可能ですが、Outlook on the Web 等の Office 365 グループの UI 上からは Office 365 グループを作成することはできません。
・ 2017 年 4 月 5 日時点の動作では、上記の設定にて許可したセキュリティ グループのメンバーに含まれていないユーザー管理の管理者は、Office 365 管理センターの [グループ] メニューからセキュリティ グループのみ作成が可能ですが、Outlook on the Web 等の Office 365 グループの UI 上からは Office 365 グループを作成することはできません。
・ Yammer グループ作成後に、全体管理者、ユーザー管理の管理者または上記の設定にて許可したセキュリティ グループのメンバーに含まれるユーザーを Yammer グループの管理者に追加後に、グループのアクセスの種類を [パブリック アクセス] あるいは [プライベート アクセス] ([ネットワークのグループ ディレクトリと検索結果にこのグループを表示します。] のチェックあり) に変更した場合、アクセスの種類の変更をトリガーとして Office 365 グループと接続される動作となります。
・ 指定できるセキュリティ グループは 1 つのみですが、Office 365 管理センターで、指定したグループに複数のセキュリティ グループを入れ子にすることが可能です。
・ 一度設定したセキュリティ グループを変更する場合は、以下の「(C) 設定内容を変更する方法」 をご実施ください。
(C) 設定内容を変更する方法
1. PowerShell を起動後、以下の 6 行のコマンドレットを実行します。
2 行目の Connect-AzureAD を実行すると、認証ダイアログがポップアップされるので、該当テナントの全体管理者のアカウントとパスワードを入力します。
--------
Import-Module AzureADPreview;
Connect-AzureAD;
$setting = Get-AzureADDirectorySetting | Where-Object {$_.TemplateId -eq "62375ab9-6b52-47ed-826b-58e47e0e304b"};
--------
2. 変更内容に応じて、下記のコマンドを実施します。
テナントで Office 365 グループの作成を無効としたい場合 :
--------
$setting["EnableGroupCreation"] = $false;
$setting["GroupCreationAllowedGroupId"] = "";
Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;
--------
テナントで Office 365 グループの作成を有効としたい場合 :
--------
$setting["EnableGroupCreation"] = $true;
$setting["GroupCreationAllowedGroupId"] = "";
Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;
--------
セキュリティ グループを変更したい場合 :
--------
$groupname = "セキュリティ グループ名" ;
$targetgroup = Get-AzureADGroup -SearchString $groupname | Where-Object { $_.DisplayName -eq $groupname};
$setting["EnableGroupCreation"] = $false;
$setting["GroupCreationAllowedGroupId"] = $targetgroup.ObjectId
Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting;
--------
※ 3 行目では EnableGroupCreation を "False" に変更するために記載していますが、もともと設定値を False に設定している場合には実行いただく必要はございません。
下記手順 3 にて EnableGroupCreation が "False" GroupCreationAllowedGroupId に対象グループのオブジェクト ID が追加されていることを確認してください。
3. 下記のコマンドを実施して設定内容を確認します。
--------
$setting.Values
--------
4. 設定が反映されるまで、数分~1 時間程度待ちます。
[ 参考情報]
タイトル : Azure Active Directory cmdlets for configuring group settings
アドレス : /en-us/azure/active-directory/active-directory-accessmanagement-groups-settings-cmdlets
タイトル : Yammer グループと Office 365 グループの統合について
今回の投稿は以上になります。
本情報の内容は、作成日時点でのものであり、予告なく変更される場合があります。