次の方法で共有

Microsoft 365 グループを作成できるユーザーを管理する

既定では、すべてのユーザーが Microsoft 365 グループを作成できます。 これは、ユーザーが IT の支援を必要とせずにコラボレーションを開始できるため、推奨されるアプローチです。

ビジネスでグループを作成できるユーザーを制限する必要がある場合は、Microsoft 365 グループの作成を特定の Microsoft 365 グループまたはセキュリティ グループのメンバーに制限できます。

ユーザーがビジネス標準に準拠していないチームまたはグループを作成することを懸念している場合は、ユーザーにトレーニング コースを完了するように要求してから、許可されたユーザーのグループに追加することを検討してください。

グループを作成できるユーザーを制限すると、次のようなアクセスをグループに依存するすべてのサービスに影響します。

  • Outlook
  • SharePoint
  • Viva Engage
  • Microsoft Teams
  • Planner
  • Power BI (クラシック)
  • Web 用 Project / ロードマップ

この記事の手順では、特定のロールのメンバーがグループを作成できないようにすることはできません。 Microsoft 365 グローバル管理者は、Microsoft 365 管理センター、Planner、Exchange、SharePoint を使用してグループを作成できますが、Teams などの他の場所は作成できません。 その他のロールは、次の表に示すように、限られた方法でMicrosoft 365 グループを作成できます。

役割 グループを作成できる場所
Exchange 管理者 Exchange 管理センター
Microsoft Entra ID
パートナー レベル 1 のサポート Microsoft 365 管理センター
Exchange 管理センター
Microsoft Entra ID
パートナー レベル 2 のサポート Microsoft 365 管理センター
Exchange 管理センター
Microsoft Entra ID
ディレクトリ製作者 Microsoft Entra ID
グループ管理者 Microsoft Entra ID
SharePoint 管理者 SharePoint 管理センター
Microsoft Entra ID
Teams サービス管理者 Teams 管理センター
Microsoft Entra ID
ユーザー管理者 Microsoft 365 管理センター
Microsoft Entra ID

これらの役割のいずれかのメンバーである場合は、制限付きユーザーに対して Microsoft 365 グループを作成し、ユーザーをグループの所有者として割り当てることができます。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。 詳細については、「Microsoft 365 管理センターの管理者ロールについて」を参照してください。

ライセンスの要件

グループを作成するユーザーを管理するには、次のユーザーに割り当てられている Microsoft Entra ID P1 または P2 ライセンスまたは Microsoft Entra Basic Education (EDU) ライセンスが必要です。

  • これらのグループ作成設定を構成する管理者。
  • グループの作成を許可されているグループのメンバー。

注:

Entra ID ライセンスを割り当てる方法の詳細については、「Microsoft Entra管理センターでライセンスを割り当てるまたは削除する」を参照してください。

次のユーザーは、MICROSOFT ENTRA ID P1 または P2 または Microsoft Entra Basic EDU ライセンスを割り当てる必要はありません。

  • Microsoft 365 グループのメンバーであり、他のグループを作成できないユーザー。

手順 1: Microsoft 365 グループを作成する必要があるユーザーのグループを作成する

organization内の 1 つのグループのみを使用して、Microsoft 365 グループを作成できるユーザーを制御できます。 ただし、このグループのメンバーとして、他のグループをネストすることができます。

前述のロールの管理者は、このグループのメンバーである必要はありません。グループを作成する機能を保持します。

  1. Microsoft 365 管理センターで、[グループ] ページに移動します。

  2. [ グループの追加] を選択します

  3. 目的のグループの種類を選びます。 グループの名前を忘れないでください。 後で必要になります。

  4. グループの設定を完了し、グループをメンバー (所有者ではなく) として作成できるようにするユーザーまたは他のグループを追加します。

詳細については、「Microsoft 365 管理センターでのセキュリティ グループの作成、編集、または削除」を参照してください。

手順 2: PowerShell コマンドを実行する

Microsoft Graph PowerShellベータ モジュールを使用して、グループ レベルのゲスト アクセス設定を変更します。

  • ベータ版を既にインストールしている場合は、 Update-Module Microsoft.Graph.Beta を実行して、このモジュールの最新バージョンであることを確認します。

次のスクリプトをテキスト エディター (メモ帳など) または ISE Windows PowerShellにコピーします。

<GroupName> を作成したグループの名前に置き換えます。 例:

$GroupName = "Group Creators"

GroupCreators.ps1 としてファイルを保存します。

PowerShell ウィンドウで、ファイルを保存した場所に移動します (「CD <FileLocation>」と入力します)。

次のように入力してスクリプトを実行します。

.\GroupCreators.ps1

次に、メッセージが表示されたら 、管理者アカウントでサインイン します。

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
Import-Module Microsoft.Graph.Beta.Groups

Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Group.Read.All"

$GroupName = ""
$AllowGroupCreation = "False"

$settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).id

if(!$settingsObjectID)
{
    $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
            @{
                   name = "EnableMSStandardBlockedWords"
                   value = $true
             }
              )
         }
    
    New-MgBetaDirectorySetting -BodyParameter $params
    
    $settingsObjectID = (Get-MgBetaDirectorySetting | Where-object -Property Displayname -Value "Group.Unified" -EQ).Id
}

 
$groupId = (Get-MgBetaGroup -all | Where-object {$_.displayname -eq $GroupName}).Id

$params = @{
    templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    values = @(
        @{
            name = "EnableGroupCreation"
            value = $AllowGroupCreation
        }
        @{
            name = "GroupCreationAllowedGroupId"
            value = $groupId
        }
    )
}

Update-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID -BodyParameter $params

(Get-MgBetaDirectorySetting -DirectorySettingId $settingsObjectID).Values

スクリプトの最後の行には、更新された設定が表示されます。

PowerShell スクリプトの出力のスクリーンショット。

将来、使用するグループを変更する場合は、新しいグループの名前でスクリプトを再実行できます。

グループ作成の制限をオフにし、すべてのユーザーにグループの作成を再度許可する場合は、 $GroupName"" に設定し、 $AllowGroupCreation"$true" してスクリプトを再実行します。

手順 3: 動作することを確認する

変更が有効になるまでに 30 分以上かかることがあります。 次の手順を実行して、新しい設定を確認できます。

  1. グループを作成できないユーザーのユーザー アカウントを使用して Microsoft 365 にサインインします。 つまり、作成したグループまたは管理者のメンバーではありません。

  2. [Planner] タイルを選択します。

  3. Planner では、左側のナビゲーションで [新しいプラン] を選択してプランを作成します。

  4. プランとグループの作成が無効になっていることを示すメッセージが表示されます。

グループのメンバーと同じ手順をもう一度試してください。

注:

グループのメンバーがグループを作成できない場合は、そのグループが OWA メールボックス ポリシーによってブロックされていないことを確認します。