チーム単位のゲストアクセス許可・禁止の設定方法

管理者向け
スポンサーリンク

チーム単位でゲストアクセスの許可・禁止を設定する方法を解説いたします。

前提条件

チーム単位でゲストアクセスの許可・禁止を設定するにはAzure AD Premiumが必要です。

詳細は以下のページに記載されています。

PowerShell を使用したグループ設定の構成 - Microsoft Entra ID
Microsoft Entra コマンドレットを使ってグループの設定を管理する方法

以下のような注意書きがあり、Azure AD Premiumが必要なことが書かれています。

〇 重 要  - 部 の 設 定 に は 、 Azure Active Directory Premium PI ラ イ セ ン ス が 必 要 で す 。 詳 細 に つ い て は 、  定 」 の 表 を 参 照 し て く だ さ い 。  「 テ ン プ レ ー ト 設

テンプレート設定の場所に以下のように記載されています。

こ の デ ィ レ ク ト リ に ケ ス ト を 追 加 す る こ と が 許 可 さ れ て い る か と う か を 示 す プ - ル 値 。  AllowAddGuests  ゴ 曇 B00 尾 an  BF-IW*True

ちなみに、実際に使用する際はAllowAddGuestsではなくAllowToAddGuestsが正しいです。

テナント全体の設定

Teams管理センターで「Teamsへのゲストアクセスの許可する」をオンにしておく必要があります。

△  MicrosoftTeams 管 理 セ ン タ -  タ ッ シ ュ ホ - ド  デ バ イ ス  位 者  ュ - ザ -  ケ ス ト ア ク セ ス  Teams の ケ ス ト ア ク セ ス で 、 組 織 外 の ユ - ザ - が チ - ム や チ ア ネ ル に ア ク セ ス で き ま す 。 下 の 設 定 を 使 用 し て 、 ケ ス ト ユ -  ザ - が 使 用 て き る / 使 用 で き な い 機 能 を 管 理 で き ま す 。 詳 細 情 報  Teams へ の ケ ス ト ア ク セ ス を 寺 可 す る

テナント全体で許可し、チーム単位で禁止をする形式となります。

チーム単位でのゲストアクセスの禁止方法

禁止前の状態

ゲストアクセスが許可されている状態からスタートします。

現状の動作を確認します。

メンバー追加の画面です。

ケ ス ト ア ク セ ス 禁 止 チ - ム に メ ン バ - を 追 加  チ - ム に 三 自 加 す る た め に 名 前 、 配 市 リ ス ト 、 ま た は セ キ ュ リ テ ィ ク ル - プ を 入 力 し て  く た さ い 。 メ - ル ア ト レ ス を 入 力 す る こ と て 、 組 を 外 の ユ - ザ - を 這 加 す る こ と も て  き ま す 。  名 前 ま た は ク ル - プ を 入 力 し て く た さ い  閉 し る

「メールアドレスを入力することで、組織外のユーザーを追加することもできます。」と書かれています。

これがゲストアクセスが許可されていることを示しています。

メールアドレスを入れると以下のようになり、追加できます。

ケ ス ト ア ク セ ス 禁 止 チ - ム に メ ン バ - を 追 加  チ - ム に 三 自 加 す る た め に 名 前 、 配 市 リ ス ト 、 ま た は セ キ ュ リ テ ィ ク ル - プ を 入 力 し て  く た さ い 。 メ - ル ア ト レ ス を 入 力 す る こ と て 、 組 を 外 の ユ - ザ - を 這 加 す る こ と も て  き ま す 。  user@example.com を ケ ス ト と し て 追 加  閉 し る

PowerShellの準備

PowerShellの接続準備です。

PowerShellを管理者として実行します。

Office 365に接続する際のお約束コマンドですが、まだやってない場合は以下のコマンドを実行します。

Set-ExecutionPolicy RemoteSigned

最新になっていない場合は最新のAzureADのモジュールをインストールします。

Uninstall-Module AzureADPreview
Uninstall-Module AzureAD
Install-Module AzureADPreview

Azure ADに接続します。

Connect-AzureAD

特定のチームをゲストアクセス禁止にする

詳細は以下のページに書いてあります。

PowerShell を使用したグループ設定の構成 - Microsoft Entra ID
Microsoft Entra コマンドレットを使ってグループの設定を管理する方法

ここではこれを実行すればすぐできるというようにまとめました。YourGroupNameをチーム名に合わせて変更してください。

$Template1 = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "Group.Unified.Guest"}
$SettingCopy = $Template1.CreateDirectorySetting()
$SettingCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $SettingCopy

実行すると即座に該当のチームがゲストアクセス禁止になります。一瞬で変わります。

DocsのページではAllowAddGuestsと誤って記載されていますが、AllowToAddGuestsが正しいです。

Get-AzureADDirectorySettingTemplateでGroup.Unified.Guestのテンプレート設定の中身を見てみると以下のようになっています。

禁止後の状態

ゲストアクセスを禁止にしたチームのメンバーの追加画面です。

ケ ス ト ア ク セ ス 禁 止 チ - ム に メ ン バ - を 追 加  チ - ム に 三 自 加 す る た め に 名 前 、 配 市 リ ス ト 、 ま た は メ - ル が 有 効 な セ キ ュ リ テ ィ ク ル  - プ の 入 力 を 始 め ま す 。  名 前 ま た は ク ル - プ を 入 力 し て く た さ い  閉 し る

「メールアドレスを入力することで、組織外のユーザーを追加することもできます。」という記載がなくなっています。

当然メールアドレスを入力しても追加できません。

ケ ス ト ア ク セ ス 禁 止 チ - ム に メ ン バ - を 追 加  チ - ム に 三 自 加 す る た め に 名 前 、 配 市 リ ス ト 、 ま た は メ - ル が 有 効 な セ キ ュ リ テ ィ ク ル  - プ の 入 力 を 始 め ま す 。  - 致 す る も の が 見 つ か り ま せ ん で し た 。  閉 し る

禁止の取り消し

以下のコマンドを実行すれば禁止したものが取り消されます。YourGroupNameをチーム名に合わせて変更してください。Docsには更新する手順が書いてありますが、削除する方が楽だしすっきりします。

$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
Remove-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -ID (Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups).ID

おわりに

既定がゲストアクセス許可になるため、チームの作成をエンドユーザーに開放していると、チーム作成直後にゲストアクセスの招待をできてしまいます。

そのため、チームの作成をIT部門でコントロールする運用をしていないとチーム単位でゲストアクセスの許可・禁止を設定することはあまり意味がありませんのでご注意ください。

タイトルとURLをコピーしました