Jaa


[Skype for Business Online] 会議における組織外ユーザーに対する機能の制限

こんにちは、Japan Lync/Skype Support チームの三木です。

 

Skype for Business Online では、組織外のユーザーとの IM や通話、会議を行う機能があります。
本機能をご利用いただくことで、組織外のユーザーとのより柔軟なコミュニケーションが可能となる一方、セキュリティ上のリスクなどを懸念される方も多いのではないかと思います。

そのため今回は、組織外ユーザーとの会議において会議資料などのファイルの不用意な流出を懸念される場合に、Skype for Business Online でどういった制御が可能なのかをご紹介いたします。

 

なお、フェデレーション ユーザー (通信が許可されている外部組織のユーザー)  との P2P セッションの IM (他のユーザーとの 1 対 1 の IM) におけるファイル転送の制限につきましては、以下の記事をご参照ください。

Title : [Skype for Business Online] フェデレーション ユーザーとの P2P ファイル転送を禁止する (ExternalUserCommunicationPolicy のリリース)

URL : https://blogs.msdn.microsoft.com/lync_support_team_blog_japan/2017/06/23/blockp2pft-with-fedusers/

 

 

機能制限の概要

Skype for Business Online では、会議ポリシー (ConferencingPolicy) を用いることで、会議において組織外ユーザー (*) のファイル保存や録音を制限することが可能となります。
* 組織外ユーザーには、フェデレーション ユーザーおよび匿名 (ゲスト) ユーザーの双方が含まれます。

 

会議ポリシーには、組織外ユーザーの制御を実現するパラメーターと制限の内容は以下の通りとなります。

パラメーター名 概要
AllowExternalUserControl デスクトップの共有、およびウィンドウの共有 (プログラムの共有) で組織外ユーザーに画面の制御を渡すことを制限します。会議ポリシー新規作成 (New-CsConferencingPolicy) 時のデフォルト値は False となります。
AllowExternalUsersToSaveContent ユーザーが会議中にアップロードした (添付または PowerPoint 共有) ファイルを組織外ユーザーがダウンロードすることを制限します。会議ポリシー新規作成 (New-CsConferencingPolicy) 時のデフォルト値は True となります。
AllowExternalUsersToRecordMeeting 組織外ユーザーが会議のレコーディングを行うことを制限します。レコーディングでは、会議の音声やビデオ、IM、共有された画面や PowerPoint ファイルなどのコンテンツなどを動画ファイルとして保存できます。会議ポリシー新規作成 (New-CsConferencingPolicy) 時のデフォルト値は False となります。

 

<補足>

なお、「組織外ユーザーが参加する会議で、組織内もしくは組織外のユーザーがファイルをアップロードすることを制限したい」といったご要望をいただくことがありますが、残念ながら、この要件に該当する制限を行う機能はありません。

 

Skype for Business では、”組織内のユーザーのみが参加する会議” であるか “組織外ユーザーが参加する (参加可能な) 会議” であるかを判別し、その種類によって振る舞いを変える機能の実装がありません。そのため、「”組織外ユーザーが参加する会議で”、組織内もしくは組織外のユーザーがファイルをアップロードすることを制限する」ことはできません。

一方、”組織内のユーザーのみが参加する会議” であるか “組織外ユーザーが参加する (参加可能な) 会議” であるかに関わらず、「すべての会議で組織内/組織外のすべてのユーザーのファイル アップロードを制限する」ことは可能です。この制限を行った場合、当然ながら、組織内ユーザー間で開催する会議でもファイル アップロードを利用できなくなりますが、セキュリティ上の理由により厳しく制限を行う必要がある場合には、以下の設定の利用をご検討ください。

パラメーター名 概要
EnableFileTransfer ユーザーが会議中にファイルをアップロードすること (添付または PowerPoint 共有) を制限します。本制限は、組織内ユーザーか組織外ユーザーかに関わらず、会議に参加するすべてのユーザーに対する制限となります。

 

 

動作イメージ

以下に各制限の動作イメージについて、ご紹介します。

 

AllowExternalUserControl の動作

- 許可した場合 (AllowExternalUserControl = True の場合)

以下のスクリーンショットのように、デスクトップの共有もしくウィンドウの共有時に組織外ユーザー側のクライアントで「制御を要求する」というメニューが表示されます。

組織外ユーザーは、「制御を要求する」をクリックし、共有されたデスクトップやウィンドウを操作する権限を要求できます。また、デスクトップやウィンドウを共有している側のユーザーが、他のユーザーに制御を渡すことを承諾することで、組織外ユーザーは、共有されたデスクトップやウィンドウを操作できるようになります。

なお、この場合は、デスクトップやウィンドウを共有している側のユーザーが、組織外ユーザーを指定して制御を渡すこともできます。

 

- 制限した場合 (AllowExternalUserControl = False の場合)

以下のスクリーンショットのように、デスクトップ共有もしくウィンドウの共有時に組織外ユーザー側のクライアントで「制御を要求する」というメニューが表示されません。

なお、この場合は、デスクトップやウィンドウを共有している側のユーザーが組織外ユーザーを指定して制御を渡すこともできません。

 

 

AllowExternalUsersToSaveContent の動作

- 許可した場合 (AllowExternalUsersToSaveContent = True の場合)

以下のスクリーンショットの1枚目のように、組織外ユーザー側のクライアントでは、添付ファイルを確認すると一番左に眼のアイコンが表示されます。このアイコンをクリックするとファイルをダウンロードして開くことができます。

また、2枚目では、一番右の ”…” のアイコンをクリックして表示されるメニューに「名前を付けて保存」という項目が確認できます。このメニューをクリックするとファイルに名前を付けて任意の場所に保存できます。

 

- 制限した場合 (AllowExternalUsersToSaveContent = False)

以下のスクリーンショットのように、組織外ユーザー側のクライアントで添付ファイルを確認すると、眼のアイコンが表示されません。

また、“…” のアイコンをクリックして表示されるメニューに「名前を付けて保存」という項目が表示されません。そのため、組織外ユーザーは、ファイルをダウンロードして開いたり、任意の場所に保存できません。

 

 

AllowExternalUsersToRecordMeeting の動作

- 許可した場合 (AllowExternalUsersToRecordMeeting = True)

以下のスクリーンショットのように、組織外ユーザー側のクライアントの右下の “…” のアイコンをクリックすると「レコーディングの開始」という項目があります。このメニューをクリックするとレコーディングを開始できます。

- 制限した場合 (AllowExternalUsersToRecordMeeting = False)

以下のスクリーンショットのように、組織外ユーザー側のクライアントの右下の “…” のアイコンをクリックすると「レコーディングの開始」という項目が表示されません。そのため、組織外ユーザーは会議をレコーディングできません。

 

 

機能制限の設定方法

以下に上記の機能制限を行う設定の手順をご案内いたします。

なお、会議ポリシー (ConferencingPolicy) の作成や変更、割り当てには Skype for Business Online PowerShell を使用します。Skype for Business Online PowerShell を利用したことがない場合には、以下の URL を参照いただき、まずはじめに Skype for Business Online PowerShell の実行環境をご準備ください。

Title : Skype for Business Online PowerShell の導入について
URL : https://answers.microsoft.com/ja-jp/msoffice/wiki/msoffice_sfb-mso_winother/skype-for-business-online-powershell/54f64801-05bf-4c11-9e65-bdb61a3efe97

 

1. PowerShell を起動します。

2. 次のコマンドを実行して、Skype for Business Onlineに接続します。

> Import-Module LyncOnlineConnector
> $credential = Get-Credential   #資格情報入力のダイアログが表示されるため、Skype for Business Online の管理者ユーザーのユーザー名/パスワードを入力してください。
> $session = New-CsOnlineSession -Credential $credential
> Import-PSSession $session

3. 任意の設定で新しい会議ポリシーを作成します。

> New-CsConferecingPolicy -Identity <ポリシー名> -AllowExternalUserControl <任意の設定> -AllowExternalUsersToSaveContent <任意の設定> -AllowExternalUsersToRecordMeeting <任意の設定>
* <任意の設定> では $True もしくは $False を指定します。また、パラメーターを明示的に指定しない場合は、デフォルト値が設定されます。

例1. AllowExternalUserControl を有効化する設定の作成
> New-CsConferencingPolicy -Identity Policy1 - AllowExternalUserControl $True

例2. AllowExternalUsersToSaveContent を無効化、AllowExternalUsersToRecordMeeting を有効化する設定の作成
> New-CsConferencingPolicy -Identity Policy2 -AllowExternalUsersToSaveContent $False -AllowExternalUsersToRecordMeeting $True

4. 手順 3 で作成した会議ポリシーをユーザーに割り当てます。

> Grant-CsConferencingPolicy -Identity <ユーザー> -PolicyName <ポリシー名>
* Identity パラメーターでは、ユーザーの UPN、表示名、SIP アドレスのいずれかの方法でユーザーを指定可能です。

 

 

制限の適用範囲

これまでに紹介した会議ポリシーを使用した方法で、自組織のユーザーが開催する会議における制限を行うことが可能です。
しかし、逆に、他組織ユーザーの開催する会議に、自組織のユーザーがフェデレーション ユーザーもしくは匿名ユーザーとして参加する場合は、自組織側の管理者が動作を制御することはできません。

会議ポリシーによる制限は、原則として、当該ポリシーが適用されたユーザーが開催する会議に対して適用されます。
そのため、他組織ユーザーの開催する会議に自組織のユーザーがフェデレーション ユーザーもしくは匿名ユーザーとして参加する場合は、当該会議における動作は、会議を開催する他組織ユーザーに適用された会議ポリシーの設定内容に基づきます。

例えば、自組織ユーザー側でレコーディングを許可する AllowConferenceRecording を False (=制限する) に設定していても、会議を開催する他組織ユーザー側で AllowExternalUsersToRecordMeeting が True (=許可) に設定されていれば、当該会議でレコーディングを行うことが可能です。

 

 

Microsoft UC 製品を今後ともどうぞよろしくお願いします。

 

 

免責事項:
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。