Teamsの古いチームを自動削除~Microsoft 365グループ有効期限をうまく活用する~ ②

こんにちは。

Microsoft365 Advent Calendar 2022の４日目の記事になります。よろしくお願いします。

前回、以下のような記事を書いてみたのですが、今回は自動化実装のお話になります。

～IT Note～

2022.09.25

Teamsの古いチームを自動削除~Microsoft 365グループ有効期限をうまく活用する~

https://jin-kuro.com/m365groups-lifecycleforteams

こんにちは。約４か月ぶりの更新となりますが、本日の記事内容はタイトルにあります通り、Teamsの古いチームの削除について備忘録として投稿したいと思います。目的は、Microsoft 365グループ有効期限を使いたいがすべてのサービスで使われているMicrosoft365グループを対象にしたくないって場合にほんの少し支えになる記事かもしれません。TeamsのチームとMicrosoft 365グループのおさらい普段からTeamsを利用されている方はなんとなくご存じかと思われますが、Teamsでは個人と個人のチャット以外にも特定のメンバー間でメッセージ(チ...

Azure AD Premium P1 ライセンスを所有している場合に利用が可能となるMicrosoft 365グループの有効期限ポリシーを使ってTeamsの古いチームを自動的に削除することが可能なのですが、この機能はあくまでMicrosoft 365グループに対して適用するポリシーなので、Teamsチーム以外にもSharePointなど、他サービスにも影響が出てしまうことをお話しておりました。

今回はMicrosoft社の機能範囲であまりコストがかけられないというニーズに対し、考えてみた内容になるのでもちろん予算があれば、他社様の素晴らしいサービスを導入してもよいと思います。あくまで参考程度にしてもらえますと幸いです。

今回実装する方法ですが、簡単に言うとすべてのMicrosoft 365グループの有効期限をチェックして定義した期間を過ぎている場合は、期限リセットコマンドを実行するというシンプルなものです。

ただし、今回Microsoft 365グループ有効期限ポリシーの対象としたいのは、Teamsチームなので、チームと紐づいているMicrosoft 365グループは対象外にする必要があります。

Microsoft Graph PowerShellの準備

まずはMicrosoft 365グループの情報を取得するために、Microsoft Graph PowerShellのインストールを行います。その後、自動で実行できるようにサービスプリンシパルの登録などを行います。

このあたりの情報は以下Microsoft社のサポートブログにも掲載されているのでこちらを参考にしてください。

Japan Azure Identity Support Blog

Microsoft Graph PowerShell SDK を使用したライセンス管理操作の紹介

https://jpazureid.github.io/blog/azure-active-directory/operating-license-with-microsoft-graph/

こんにちは、Azure Identity サポートチームの中井です。先日、以下にて米国の Azure Active Directory Identity Blog で公開された Migrate your apps to access the license managements APIs from Microsoft Graph の翻訳ブログを公開いたしました。 Azure AD Grap

MicrosoftTeams PowerShell モジュールの準備

では次に、チームと紐づいているMicrosoft365グループを対象外にすべく、チームリストを取得してMicrosoft 365グループと紐づいていないかをチェックします。
そのためにMicrosoftTeams PowerShell モジュールをインストールします。

これでConnect-Microsoft Teamsが利用できるようになります。

さてさて、当然Connect-Microsoft Teamsも自動で実行できるようにしないといけません。
ついでに言えば、MSGraphで設定したサービスプリンシパルをそのまま利用できればうれしいところです。

2022年12月時点ではありますが、MicrosoftTeams PowerShell によるアプリケーションベースでの認証はバージョン 4.7.1-preview版でサポートされているという情報がありました。

learn.microsoft.com

Connect-MicrosoftTeams (MicrosoftTeamsPowerShell)

https://learn.microsoft.com/en-us/powershell/module/teams/connect-microsoftteams?view=teams-ps#example-4-connect-to-microsoftteams-using-a-certificate-thumbprint

The Connect-MicrosoftTeams cmdlet connects to Microsoft Teams with an authenticated account for use with cmdlets from the MicrosoftTeams PowerShell module. After executing this cmdlet, you can disconnect from MicrosoftTeams account using Disconnect-MicrosoftTeams. Note: With versions 4.x.x or later, enablement of basic authentication is not needed anymore in commercial environments. For GCC High/DoD environments and customers that are, or have previously been enabled for Regionally Hosted Mee...

Teams PowerShell モジュールでのアプリケーションベースの認証
アプリケーションベースの認証は、バージョン 4.7.1-preview 以降の Teams PowerShell モジュールでサポートされるようになりました。
現在、この認証モードは商用環境でのみサポートされています

したがって、以下コマンドにてプレビュー版(最新バージョン)をインストールする必要があります。

Install-Module -Name MicrosoftTeams –AllowPrerelease

もし、AllowPrerelease が利用できないようなメッセージが表示された場合は、以下のコマンドを使ってPowershellGetモジュールを最新にしてみましょう。

Install-Module PowerShellGet -Scope CurrentUser -Force -AllowClobber

上記インストール後、一度コンソールを閉じればもう一度MicrosoftTeams –AllowPrereleaseを実行してみてください。

スクリプトの準備

続いてはスクリプトの準備です。
最初に言っておくと、私はPowerShell含めてプログラミングが全く得意ではないので突っ込みどころ満載かと思います。
導入の際にご自身でカスタマイズしてご利用ください。

######事前準備######################### 
$ClientId = "サービスプリンシパルのアプリケーションIDを入れる"
$CertificateThumbprint = "証明書の拇印を入れる"
$TenantID = "AzurADのテナントIDを入れる"

$folder =  "C:\work\Microsoft365grouptest\"  
$filename = Get-Date -Format "yyyy-MMdd-HHmm"   
[string]$txtFile1 = "Microsoft365GroupExtensionResult_" + $filename + ".txt"   
[string]$txtFile2 = "Microsoft365Not_ExtensionResult_" + $filename + ".txt"  
[string]$txtPath1 = Join-Path $folder $txtFile1  
[string]$txtPath2 = Join-Path $folder $txtFile2 
$TargetGroup= @()
#############################################

######延長を行う条件となる期間（期限の何日前に？）###### 
$AddDay = 100
$ExpirationDate =  (Get-Date).AddDays($AddDay)  
######################################################## 

#Connect to MgGraph   
Connect-MgGraph -Clientid $ClientId -TenantId $TenantID -CertificateThumbprint $CertificateThumbprint 
 
#Connect to Microsoft Teams 
Connect-MicrosoftTeams -CertificateThumbprint $CertificateThumbprint -ApplicationId $ClientId -TenantId $TenantID 
 
#グループ情報の取得 
$ExtensionGroupList = Get-MgGroup -all | where-object{$_.GroupTypes -like "Unified"}  
 
#Teamsのチーム一覧の取得 
$TeamsList = Get-team 
 
#有効期限がAddDayを切ったグループを TargetGroupに格納
foreach($ExtensionTargetGroup in $ExtensionGroupList){ 
　if($ExtensionTargetGroup.ExpirationDateTime -lt $ExpirationDate) 
　{ 
$TargetGroup += $ExtensionTargetGroup 
　} 
　else{ 
#対象外のグループをテキストに出力
Write-Output ($ExtensionTargetGroup.DisplayName + "は対象外です。") | Out-File $txtPath2 -Encoding default -Append 
　　　} 
} 

#上述でTargetGroupに格納されたグループのIDがTeamsのチームリストに含まれていないものに対してリセットコマンド実行
foreach($TargetM365Group in $TargetGroup){ 
　if(-! $TeamsList.GroupId.Contains($TargetM365Group.Id)) 
　{ 
#対象のグループをテキストに出力
Write-Output ($TargetM365Group.DisplayName + "に対して設定します。") | Out-File $txtPath1 -Encoding default -Append 

#リセットコマンド実行
Invoke-MgRenewGroup -GroupId $TargetM365Group.Id -PassThru  
　}
 
else{
#対象外のグループをテキストに出力
Write-Output ($TargetM365Group.DisplayName + "は対象外です。") | Out-File $txtPath2 -Encoding default -Append
　　}
} 
Remove-Variable TargetGroup 
Disconnect-MgGraph
Disconnect-MicrosoftTeams

条件分岐の部分に注目して補足すると、以下のようになるはずです。