IT 管理者 - Microsoft ID を使用して外部会議を管理し、人や組織とチャットする

• 適用対象:

  Microsoft Teams

Teams の外部アクセス機能を使用すると、organizationのユーザーが、id プロバイダーとして Microsoft を使用しているorganization外のユーザーとチャットしたり、会うことができます。 外部アクセスは、次の方法で構成できます。

• その他の Microsoft 365 組織 (チャットと会議)
• organizationによって管理されていない Teams ユーザー (Microsoft アカウントを持つユーザー) (チャットのみ)
• Skype ユーザー (チャットのみ)

organizationのユーザーは、organization外のユーザーからの受信チャットを受け入れたりブロックしたりできます。 詳細については、「 チャットを送信する組織外のユーザーを承諾またはブロックする」を参照してください。

organizationの外部からのPeopleは、チーム、サイト、またはその他の Microsoft 365 リソースにアクセスできません。 チームとチャネルにアクセスできるようにする場合は、「チーム 内のゲストと共同作業 する」と「 共有チャネルの外部参加者と共同作業する」を参照してください。

注意

ユーザーは、会議やチャットをorganization外のユーザーとホストするときにアプリを追加できます。 また、外部ユーザーが外部でホストされている会議やチャットに参加するときに共有されるアプリを使用することもできます。 ホストしているユーザーの組織のデータ ポリシーと、そのユーザーの組織が共有するサードパーティ アプリのデータ共有の慣行が適用されます。 organization外のユーザーによるアプリの使用について詳しくは、こちらをご覧ください。

関連する設定

Teams には、ゲスト アクセスや匿名アクセスなど、organization外のユーザーとの会議に影響するその他の設定があります。 詳細については、「 Microsoft Teamsの外部参加者との会議の計画 」を参照してください。

会議ロビーでは、organization外のユーザーが会議に参加する方法を制御できます。 詳細については、「 Microsoft Teamsで会議ロビーをバイパスできるユーザーを制御 する」および「 機密性の高い会議用にMicrosoft Teams会議ロビーを構成する」を参照してください。

外部アクセスの組織の設定とユーザー ポリシー

各外部アクセス オプションには、organization設定とユーザー ポリシーの両方があります。 organization設定は、organization全体に適用されます。 ユーザー ポリシーは、organization レベルで構成したオプションを使用できるユーザーを決定します。

organization設定を構成して、許可する外部会議とチャットの種類を指定します。 次に、これらの機能にアクセスする必要があるユーザーのユーザー ポリシーを構成します。 organization設定とユーザー ポリシーの両方が既定でオンになっています。

ユーザーが外部アクセスを使用するには、organization設定とユーザー ポリシーの両方で許可する必要があります。

この記事のタブの手順を使用して、organization設定とユーザー ポリシーを構成します。

組織の設定

このセクションでは、次の構成を行うことができます。

• 信頼できる Microsoft 365 組織との会議とチャット
• organizationによって管理されていない外部 Teams ユーザーとチャットする
• Skype ユーザーとのチャットと通話
• 外部ユーザーをブロックする

PowerShell を使用してこれらの設定を構成することもできます

信頼できる Microsoft 365 組織を指定する

会議や他の Microsoft 365 組織とのチャットでは、信頼するドメインを指定できます。 既定では、すべての外部ドメインが許可されます。 特定のドメインを許可またはブロックして、外部会議やチャットにorganization信頼する組織を定義できます。

外部ドメインのユーザーとチャットして会うには、信頼する組織もorganizationを信頼し、そのユーザーが外部アクセスを有効にする必要があります。 そうでない場合、ユーザーはorganization内のユーザーとチャットできず、organizationによってホストされている会議に参加すると匿名と見なされます。 他の Microsoft 365 組織との会議について詳しくは、こちらをご覧ください。

許可するドメインまたはブロックするドメインを指定できます。 ブロックされたドメインを指定すると、他のすべてのドメインが許可されます。許可されるドメインを指定すると、他のすべてのドメインがブロックされます。 信頼された組織を構成するシナリオは 4 つあります。

• すべての外部ドメインを許可する - Teams の既定の設定であり、organizationのユーザーは、任意のドメインのorganization外部のユーザーとの会議を見つけ、通話、チャット、セットアップできます。

  このシナリオでは、他のorganizationも外部アクセスを有効にしている限り、ユーザーは Teams または Skype for Business を実行しているすべての外部ドメインと通信できます。

• 特定の外部ドメインのみを許可する - 許可 リストにドメインを追加することで、許可されるドメインのみに外部アクセスを制限します。 許可されるドメインの一覧を設定すると、他のすべてのドメインがブロックされます。

• 特定のドメインを禁止する - [禁止] リストにドメインを追加すると、禁止したもの以外のすべての外部ドメインと通信することができます。 ブロックされたドメインの一覧を設定すると、他のすべてのドメインが許可されます。

• すべての外部ドメインをブロックする - organizationのユーザーが、任意のドメインのorganization外部のユーザーと会議を検索、呼び出し、チャット、セットアップできないようにします。

注意

ブロックされたドメインからのPeopleは、匿名アクセスが許可されている場合でも匿名で会議に参加できます。 詳細については、「 Teams 会議への匿名参加者アクセスの管理」を参照してください。

特定のドメインを許可するには

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。

2. [Teams] の横にある [外部組織のユーザー Skype for Business] で、[特定の外部ドメインのみを許可する] を選択します。

3. [ 外部ドメインの追加] を選択します。

4. [ ドメイン ] ボックスに、許可するドメインを入力し、[完了] を選択 します。

5. 別のドメインを許可する場合は、別のドメインに「」と入力します。

6. [ 完了] を選択します。

特定のドメインをブロックするには

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。

2. [Teams] の横で、外部組織のユーザーをSkype for Businessし、[特定の外部ドメインのみをブロックする] を選択します。

3. [ 外部ドメインをブロックする] を選択します。

4. [ ドメイン ] ボックスに、許可するドメインを入力し、[完了] を選択 します。

5. 別のドメインをブロックする場合は、別のドメインに「」と入力します。

6. [ 完了] を選択します。

既定では、ドメインをブロックすると、サブドメインはブロックされません。 たとえば、contoso.com をブロックした場合、marketing.contoso.com はブロックされません。 すべてのサブドメインをブロックする場合は、 set-CsTenantFederationConfiguration PowerShell コマンドレットを -BlockAllSubdomains パラメーターと共に使用できます。 次に例を示します。

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

Teams 試用版専用テナントとのフェデレーションをブロックする

PowerShell の -ExternalAccessWithTrialTenants 設定 (少なくともバージョン 6.4.0 が必要) を使用して、Teams 試用版専用テナント (購入したシートを持たない) を使用して、organizationの外部アクセスを制御できます。

この設定の既定値は [ブロック] ですが、次を使用して [ 許可] にオーバーライドできます。 Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"

試用版のみのテナントとの外部通信をブロックするには: Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

[ブロック] に設定すると、これらの試用版のみのテナントのユーザーは、チャット、Teams 通話、会議 (ユーザーの認証済み ID を使用) を介してユーザーを検索して連絡することはできません。また、ユーザーはこれらの試用版専用テナントのユーザーにアクセスできません。 試用版のみのテナントのユーザーも、既存のチャットから削除されます。

試用版のみのテナントのユーザーは、他の Microsoft 365 クラウド環境のユーザーや Microsoft Skype for Business サーバー ユーザーとの外部通信から既定でブロックされます (オーバーライドするオプションはありません)。 -ExternalAccessWithTrialTenants が両方のテナントで許可されている場合、試用版サブスクリプションのみの 2 つのテナントは相互にフェデレーションできます。

診断ツール

管理者の場合は、次の診断ツールを使用して、Teams ユーザーが信頼されたorganizationで Teams ユーザーと通信できるかどうかを検証できます。

1. 下の [テストの実行] を選択すると、Microsoft 365 管理センターに診断が設定されます。

   テストの実行: Teams 信頼された組織

2. [診断の実行] ウィンドウで、[セッション開始プロトコル (SIP) アドレス] と [フェデレーション テナントのドメイン名] を入力してから、[テストの実行] を選択します。

3. テストでは、外部の Teams ユーザーとの通信を妨げている設定またはポリシー構成に対処するための最適な次の手順が返されます。

Skype for Business Online

チャットや通話をユーザーのSkype for Business クライアントに到着させる場合は、TeamsOnly 以外のモードにユーザーを構成します。 詳細については、「Microsoft TeamsとSkype for Businessの共存と相互運用性について」を参照してください。

organizationによって管理されていない外部 Teams ユーザーとのチャットと会議を管理する

外部の管理されていない Teams ユーザー (Microsoft Teams (無料版) など、organizationによって管理されていないユーザー) とのチャットや会議を有効または無効にすることができます。 有効にすると、管理されていない Teams アカウントを持つユーザーがorganizationでユーザーとのチャットや会議を開始できるかどうかを制御することもできます。

注意

外部の管理されていない Teams ユーザーとのチャットと会議は、GCC、GCC High、DOD のデプロイ、またはプライベート クラウド環境では使用できません。

管理されていない Teams アカウントでチャットや会議を許可するには:

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
2. 管理されていない Teams アカウントと通信できるorganizationのPeopleをオンにします。
3. 外部の管理されていない Teams ユーザーが会話を開始できるようにする場合は、[organizationでユーザーに連絡できるorganizationによって管理されていない Teams アカウントを持つ外部ユーザー] チェック ボックスをオンにします。
4. [保存] を選択します。

organizationによって管理されていない Teams アカウントを持つ外部ユーザーが自分のorganizationのユーザーに連絡できる場合、管理されていない Teams ユーザーはメール アドレスで検索してorganization内のユーザーを見つけることができません。 管理されていない Teams ユーザーとの通信はすべて、organizationのユーザーによって開始される必要があります。

管理されていない Teams アカウントとのチャットを禁止するには:

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
2. 管理されていない Teams アカウントと通信できるorganizationのPeopleをオフにします。
3. [保存] を選択します。

Skype ユーザーとのチャットと通話を管理する

組織内の Teams ユーザーが Skype ユーザーとチャットや通話をできるようにするには、次の手順を実行します。 この手順を実行すると、Teams ユーザーと Skype ユーザーとが、互いを検索したり、1 対 1 のテキストのみの会話や音声/ビデオ通話を開始したりできるようになります。

Skype ユーザーは会議をサポートしていません。 会議に招待された場合、参加時に匿名と見なされます。

注意

Skype ユーザーとの外部通信は、GCC、GCC High、DOD のデプロイ、またはプライベート クラウド環境では使用できません。

Skype ユーザーとのチャットと通話を構成するには:

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
2. [organizationのユーザーに Skype ユーザーとの通信を許可する] 設定をオンまたはオフにします。
3. [保存] を選択します。

Teams ユーザーと Skype ユーザーが通信できるようにする方法、および適用される制限事項の詳細については、「Teams と Skype の相互運用性」を参照してください。

外部ユーザーをブロックする

特定の外部ユーザーがorganizationとの共同作業をブロックできます。 ユーザーがブロック リストに追加された場合、organizationは 1:1 とグループ チャットをこれらのユーザーと行うことができなくなります。 ユーザーがブロック リストに追加される前にチャットが既に存在する場合、ブロックされたユーザーはチャットから削除されます。 この機能は既定でオフになっています。

ブロックされたユーザーリストを有効にして構成するには:

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。

2. [特定のユーザーが自分のorganization設定でユーザーと通信できないようにブロックする] をオンにします。

3. [ユーザーのブロック] ボタンを選択して、 ブロック リストにユーザーを 追加します。

4. [ユーザー] ボックスに、ブロックするユーザーのメール アドレスを入力し、[ 適用 ] ボタンを選択します。 [ キャンセル ] ボタンを選択して、何も操作せずに終了します。 有効な個々の電子メールまたはメッセージング リソース識別子 (MRI) を入力する必要があります。

   

5. 別のユーザーをブロックする場合は、[ ユーザーの追加 ] を選択し、[ 適用 ] ボタンを選択します。

   

PowerShell を使用してorganization設定を構成する

信頼された組織は、 Set-CSTenantFederationConfiguration コマンドレットを使用して構成できます。

次の表は、信頼された組織の構成に使用されるコマンドレット パラメーターを示しています。

構成	パラメーター
会議を許可または禁止し、他の Teams 組織やSkype for Businessとチャットする	-AllowFederatedUsers
許可されるドメインを指定する	-AllowedDomains
ブロックされたドメインを指定する	-BlockedDomains
サブドメインをブロックする	-BlockAllSubdomains

organizationによって管理されていない Teams ユーザーとチャットし、Set-CSTenantFederationConfiguration コマンドレットを使用して Skype ユーザーを構成できます。

次の表は、Skype およびアンマネージド Teams ユーザーとのチャットを構成するために使用されるコマンドレット パラメーターを示しています。

構成	パラメーター
organizationによって管理されていない Teams ユーザーとのチャットを許可または禁止する	-AllowTeamsConsumer
会話を開始するorganizationによって管理されていない Teams ユーザーを許可または禁止する	-AllowTeamsConsumerInbound
Skype ユーザーとのチャットを許可または禁止する	-AllowPublicUsers

これらのコマンドレットを実行するには、PowerShell に接続Microsoft Teams必要があります。 詳細については、「Microsoft Teams PowerShell を使用した Teams の管理」を参照してください。

ユーザー ポリシー

organizationの外部アクセス設定のいずれかを有効にした場合は、外部アクセス ポリシーを使用して、organization内のユーザーが外部アクセス ポリシーを使用してorganizationの外部のユーザーとチャットまたは会うことができるユーザーを指定できます (これらの両方を有効にして、ユーザーがorganization外のユーザーとチャットしたり、ユーザーと会ったりできるようにする必要があります)。

外部アクセスが有効になっていない会議開催者の場合、他の組織の会議出席者は、会議に参加するときに匿名と見なされます。

外部アクセス ポリシーは、organizationの外部アクセス設定によってオーバーライドできます。

Teams 管理センターで外部アクセス ポリシーを構成する

次の手順を実行して、organizationの外部アクセス設定全体を管理できます。

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
2. [ポリシー] タブ を 選択します。
3. ポリシーの一覧で、 組織全体の既定の設定を選択します。
4. 必要に応じて設定を調整します。
5. [保存] を選択します。

カスタム ポリシーを作成する場合は、次の手順を実行します。

1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
2. [ポリシー] タブ を 選択します。
3. [ + 追加] を選択します。
4. ポリシーの名前と説明を入力します。
5. 必要に応じて設定を調整します。
6. [保存] を選択します。

その後、このポリシーを特定のユーザーまたはグループに割り当てることができます。 ユーザーとグループにポリシーを割り当てて削除する方法については、「ユーザーとグループ にポリシーを割り当てる」を参照してください。

PowerShell を使用して外部アクセス ポリシーを構成する

外部アクセス ポリシーは、 Set-CsExternalAccessPolicy コマンドレットを使用して構成されます。

次の表は、organization外のユーザーとチャットして会うことができるユーザーを構成するために使用されるコマンドレット パラメーターを示しています。

構成	パラメーター
会議を許可または禁止し、他の Teams 組織やSkype for Businessとチャットする	-EnableFederationAccess
organizationによって管理されていない Teams ユーザーとのチャットを許可または禁止する	-EnableTeamsConsumerAccess
会話を開始するorganizationによって管理されていない Teams ユーザーを許可または禁止する	-EnableTeamsConsumerInbound
Skype ユーザーとのチャットを許可または禁止する	-EnablePublicCloudAccess

外部会議とチャットを特定のユーザーに制限するには、次の手順を実行する必要があります。

• 既定の組織全体のポリシーのコントロールをオフにします。
• コントロールがオンになっている新しいポリシーを作成し、適切なユーザーを割り当てます。

次のスクリプト例を使用できます。変更するコントロールの パラメーター を置き換え、ポリシーに指定する名前の PolicyName 、および外部アクセスを有効または無効にする各ユーザーの UserName を使用できます。

スクリプトを実行する前に、Microsoft Teams PowerShell モジュールがインストールされていることを確認してください。

Connect-MicrosoftTeams

# Disable external access globally
Set-CsExternalAccessPolicy -<parameter> $false

# Create a new external access policy
New-CsExternalAccessPolicy -Identity <PolicyName> -<parameter> $true

# Assign users to the policy
$users_ids = @("<UserName1>", "<UserName2>")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "<PolicyName>" -Identity $users_ids

外部アクセスを構成するためのパラメーターは次のとおりです。

• EnableFederationAccess - 他の Microsoft 365 組織とのチャットと会議を制御します
• EnableTeamsConsumerAccess - organizationによって管理されていない Teams ユーザーとのチャットを制御します

たとえば、organizationによって管理されていない外部 Teams ユーザーとの通信を有効にするには、次のようにします。

Connect-MicrosoftTeams

Set-CsExternalAccessPolicy -EnableTeamsConsumerAccess $false

New-CsExternalAccessPolicy -Identity ContosoExternalAccess -EnableTeamsConsumerAccess $true

$users_ids = @("MeganB@contoso.com", "AlexW@contoso.com")
New-CsBatchPolicyAssignmentOperation -PolicyType ExternalAccessPolicy -PolicyName "ContosoExternalAccess" -Identity $users_ids

Get-CsExternalAccessPolicy を実行すると、新しいポリシーを確認できます。

ユーザー リストをコンパイルする方法の他の例については、「 New-CsBatchPolicyAssignmentOperation 」を参照してください。

コンプライアンスと外部アクセス

Microsoft 365 のコンプライアンス機能に対する外部アクセスのしくみについては、次のリファレンスを参照してください。

• 外部アクセスとゲスト環境での電子情報開示

• 外部アクセス ユーザーによるメッセージの保持

• データ損失防止とMicrosoft Teams

関連記事

ゲスト アクセスと外部アクセスを使用して、組織外の人々とコラボレーションする

Microsoft Teams でイベントの監査ログを検索する。