Microsoft teams を利用して社外のユーザーと共同作業を行うことは少なくないと思います。セキュリティを考えると、きちんとゲストアクセスを設定することが必要となります。
Microsoft teams では、裏側の仕組みとして Azure Active Directory や Microsoft365グループやSharePoint Online を利用しています。そのため、これらの設定の確認も必要になります。
目次
設定する場所
Microsoft teams では、裏側の仕組みとして Azure Active Directory や Office365グループやSharePoint Online を利用しています。
ゲストアクセスの設定は、これらの設定に加えてMicrosoft teamsでの設定も必要になります。
| 設定場所 | 概要 |
| Azure Active Directory(AAD) | Microsoft Teams のアカウント管理 |
| Microsoft365 グループ(Office 365 グループ) | Microsoft Teams のチーム管理 |
| SharePoint Online | Microsoft Teams のチームで共有されたファイルの保存場所 |
| OneDrive for Business | Microsoft Teams のチャットで共有されたファイルの保存場所 |
| Microsoft Teams | ゲストアクセスの設定 |
[参考]
Microsoft Teams のゲスト アクセスのチェックリスト
<https://docs.microsoft.com/ja-jp/microsoftteams/guest-access-checklist>
Azure Active Directory
Microsoft teams のアカウント管理は Azure Active Directory(AAD)で行われます。
Microsoft teams でゲストアクセスを利用する際には、ゲストを招待したタイミングで Azure Active Directory(AAD)にゲスト ユーザーが作成されます。
ここでは、誰がどのようなゲストユーザーを作成できるのかを設定(制限)します。
Azure AD管理センター
Azure AD管理センターに接続します。
Azure AD管理センター
<https://aad.portal.azure.com/>
ユーザー設定
この設定は、Azure AD管理センターのダッシュボードから [Azure Active Directory] – [ユーザ] – [ユーザー設定] から、 [外部ユーザ] の [外部コラボレーションの設定を管理します]にアクセスします。
なお、ここでの設定は Microsoft Teams のみでなく、その他Microsoft365を使う仕組みでゲストユーザーと共有する場合にも適用されます。
| 設定箇所 | 内容 | お勧め |
| ゲストのアクセス許可を制限する | ゲストがテナント内のユーザーやグループを列挙するなどの操作を制限 | はい |
| 管理者とゲスト招待元ロールのユーザーは招待ができる | [Azure Active Directory] – [ロールと管理者] で設定されたロールが適用されたユーザーがゲストを招待できるかを設定 | はい |
| メンバーは招待ができる | 一般ユーザーがゲストを招待できるかを設定。 ・はい :一般ユーザーもゲストを招待できる ・いいえ:管理者やゲスト招待ロールのユーザのみ招待できる |
いいえ |
| ゲストは招待ができる | ゲストがさらにゲストを招待できるかの設定 | いいえ |
| コラボレーションの制限 | ここの設定では、招待できるゲストユーザーをドメインの単位で制限する フリーメールアドレスをブラックリストに置くのが良いでしょう |
ドメイン拒否 |
Microsoft365(Office365) グループ
Microsoft Teams のチームはMicrosoft(Office)365 グループとなっています。
メンバー管理は、この Microsot(Office)365 グループのメンバー管理と紐づけられています。
Microsoft 365 管理センター
Microsoft 365 管理センターに接続します。
Microsoft 365 管理センター
<https://admin.microsoft.com>
グループの設定
この設定には、Microsoft 365 管理センターから、[すべてを表示] – [設定] – [設定] – [サービス] タブ – [Office 365 グループ] とアクセスします。
| 設定箇所 | 内容 |
| 組織外のグループ メンバーがグループ コンテンツにアクセスできるようにします | Microsoft Teams のチームでゲストとファイルを共有したい場合は有効にします。 |
| グループの所有者が組織外のユーザーをグループに追加できるようにします | チーム所有者にチームに含めるゲストの管理を任せたい場合は有効化にします。 |
セキュリティとプライバシー 共有の設定
この設定には、Microsoft 365 管理センターから、[すべてを表示] – [設定] – [設定] – [セキュリティとプライバシー] タブ – [共有] とアクセスします。
| 設定箇所 | 内容 |
| ユーザーが組織に新しいゲストを追加できるようにします | 一般ユーザーが新たにゲストを招待できるかどうかの設定です。AAD で設定した「メンバーは招待ができる」と連動しています。 |
| グループの所有者が組織外のユーザーをグループに追加できるようにします | チーム所有者にチームに含めるゲストの管理を任せたい場合は有効化にします。 |
チームで共有されたファイルは SharePoint Online のドキュメントライブラリに保存がされます。
SharePoint 管理センターに接続します。
SharePoint 管理センター
<https://admin.microsoft.com/sharepoint>
外部共有 コンテンツを共有できる相手
この設定には、SharePoint 管理センターから、 [ポリシー] – [共有] とアクセスします。
ここで、SharePoint と OneDrive のテナント単位での外部共有設定を行うことができます。注意する点は、必ず SharePoint の設定が Microsoft teamsやOneDrive for Business よりも厳しい制限になっていないといけないということです。
| 動設 | 動作 |
| 自分の組織内のユーザーのみ | ゲストがチームのファイルにアクセスしようとすると、エラーを表示 |
OneDrive for Business
チャットで共有されたファイルは 投稿した人のOneDrive for Businessの「Microsoft Teams チャット ファイル」フォルダに保存されます。
下記のwebサイトにあるように、アクセス権に関しては何もする必要はありません。
Microsoft Teams との SharePoint Online と OneDrive for Business の連携
<https://docs.microsoft.com/ja-jp/microsoftteams/sharepoint-onedrive-interact>
| プライベートチャットファイルは、送信者の OneDrive for Business フォルダーに保存され、ファイル共有プロセスの一環としてすべての参加者に対してアクセス許可が自動的に付与されます。 |
Microsoft teams
今までの設定を行ったとしても、Microsoft Teams 自体の設定をしなければ効果はりません。Microsoft teamsの設定を行います。
Microsoft teams管理センター
Microsoft teams管理センターに接続します。
Microsoft teams管理センター
<https://admin.teams.microsoft.com/>
ゲストアクセス
この設定には、Microsoft Teams 管理センターから [組織全体の設定] – [ゲスト アクセス] とアクセスします。
各項目を有効化すると、設定できるオプションが表示されます。ここで検討しないといけないことは「ゲストにどこまで許可するか」です。例えば 1:1 のチャットを利用させたくない場合には「メッセージング」にある「チャット」を無効化にします。
次の操作
次回は、「Microsoft teamsの設定(その2:共有ファイル①)」になります