次の方法で共有


Microsoft 365 グループを作成できるユーザーを管理する

既定では、すべてのユーザーが Microsoft 365 グループを作成できます。 これは、ユーザーが IT の支援を必要とせずにコラボレーションを開始できるため、推奨されるアプローチです。

ビジネスでグループを作成できるユーザーを制限する必要がある場合は、Microsoft 365 グループの作成を特定の Microsoft 365 グループまたはセキュリティ グループのメンバーに制限できます。

ユーザーがビジネス標準に準拠していないチームまたはグループを作成することを懸念している場合は、ユーザーにトレーニング コースを完了するように要求してから、許可されたユーザーのグループに追加することを検討してください。

グループを作成できるユーザーを制限すると、次のようなアクセスをグループに依存するすべてのサービスに影響します。

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (クラシック)
  • Web 用 Project / ロードマップ

この記事の手順を実行しても、特定の役割のメンバーがグループを作成できなくなることはありません。 Microsoft 365 グローバル管理者は、Microsoft 365 管理センター、Planner、Exchange、SharePoint を介してグループを作成できますが、Teams などの他の場所は作成できません。 その他のロールでは、以下に示す限られた方法で Microsoft 365 グループを作成できます。

  • Exchange 管理者: Exchange 管理センター、Microsoft Entra ID
  • パートナー層 1 のサポート: Microsoft 365 管理センター、Exchange 管理センター、Microsoft Entra ID
  • パートナー層 2 のサポート: Microsoft 365 管理センター、Exchange 管理センター、Microsoft Entra ID
  • ディレクトリ ライター: Microsoft Entra ID
  • グループ管理者: Microsoft Entra ID
  • SharePoint 管理者: SharePoint 管理センター、Microsoft Entra ID
  • Teams サービス管理者: Teams 管理センター、Microsoft Entra ID
  • ユーザー管理者: Microsoft 365 管理センター、Microsoft Entra ID

これらの役割のいずれかのメンバーである場合は、制限付きユーザーに対して Microsoft 365 グループを作成し、ユーザーをグループの所有者として割り当てることができます。

ライセンスの要件

グループを作成するユーザーを管理するには、次のユーザーに Microsoft Entra ID P1 または P2 ライセンス、または Microsoft Entra Basic EDU ライセンスが割り当てられている必要があります。

  • これらのグループ作成の設定を管理している管理者
  • グループの作成が許可されているグループのメンバー

次のユーザーは、Microsoft Entra ID P1 または P2 または Microsoft Entra Basic EDU ライセンスを割り当てる必要はありません。

  • Microsoft 365 グループのメンバーであり、他のグループを作成できないユーザー。

手順 1: Microsoft 365 グループを作成する必要があるユーザーのグループを作成する

組織内の 1 つのグループのみを使用して、Microsoft 365 グループを作成できるユーザーを制御できます。 ただし、このグループのメンバーとして、他のグループをネストすることができます。

上記の役割の管理者は、このグループのメンバーである必要はなく、グループを作成することができます。

  1. 管理センターで、[グループ] ページに移動します。

  2. [グループの追加] をクリックします。

  3. 目的のグループの種類を選びます。 グループの名前は覚えておいてください。 後で必要になります。

  4. グループの設定を完了し、グループをメンバー (所有者ではなく) として作成できるようにするユーザーまたは他のグループを追加します。

詳細については、「Microsoft 365 管理センターでのセキュリティ グループの作成、編集、または削除」を参照してください。

手順 2: PowerShell コマンドを実行する

Microsoft Graph PowerShellベータ モジュールを使用して、グループ レベルのゲスト アクセス設定を変更します。

  • ベータ版を既にインストールしている場合は、 Update-Module Microsoft.Graph.Beta を実行して、このモジュールの最新バージョンであることを確認します。

下のスクリプトを、Notepad などのテキスト エディターまたは Windows PowerShell ISE にコピーます。

<GroupName> を作成したグループの名前に置き換えます。 例:

$GroupName = "Group Creators"

GroupCreators.ps1 としてファイルを保存します。

PowerShell ウィンドウで、ファイルを保存した場所に移動します (「CD <FileLocation>」と入力します)。

次のように入力してスクリプトを実行します。

.\GroupCreators.ps1

サインインを求められたら、管理者アカウントでサインインします。

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
	  templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	  values = @(
		    @{
			       name = "EnableMSStandardBlockedWords"
			       value = "true"
		     }
	 	     )
	     }
	
    New-MgBetaDirectorySetting -BodyParameter $params
	
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
	templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
	values = @(
		@{
			name = "EnableGroupCreation"
			value = $AllowGroupCreation
		}
		@{
			name = "GroupCreationAllowedGroupId"
			value = $groupId
		}
	)
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

スクリプトの最後の行に、更新された設定が表示されます。

PowerShell スクリプトの出力のスクリーンショット。

将来、使用するグループを変更する場合は、新しいグループの名前でスクリプトを再実行できます。

グループ作成の制限をオフにし、すべてのユーザーにグループの作成を再度許可する場合は、$GroupNameを "" に設定し、$AllowGroupCreationを "$true" に設定し、スクリプトを再実行します。

手順 3: 動作することを確認する

変更が有効になるまでに 30 分以上かかる場合があります。 新しい設定を確認するには、次の操作を行います。

  1. グループを作成できないユーザーのユーザー アカウントを使用して Microsoft 365 にサインインします。 つまり、作成したグループまたは管理者のメンバーではありません。

  2. [Planner] タイルを選択します。

  3. Planner では、左側のナビゲーションで [新しいプラン] を選択してプランを作成します。

  4. プランとグループの作成が無効になっていることを示すメッセージが表示されます。

グループのメンバーと同じ手順をもう一度試してください。

注:

グループのメンバーがグループを作成できない場合は、そのグループが OWA メールボックス ポリシーによってブロックされていないことを確認します。

おすすめのコラボレーション ガバナンス計画

コラボレーション ガバナンス計画を作成する

Office 365 PowerShell の概要

Microsoft Entra ID でセルフサービス グループ管理を設定する

Set-ExecutionPolicy

グループ設定を構成するための Microsoft Entra コマンドレット