Microsoft Teams の情報バリア
Microsoft Purview Information Barriers (IB) は、個人またはグループが相互に通信できないように管理者が構成できるポリシーです。 たとえば、ある部署が他の部署と共有すべきではない情報を処理している場合に役立ちます。 また、グループを分離する必要がある場合や、そのグループ以外のユーザーと通信できないようにする必要がある場合にも、BLOB が役立ちます。 Microsoft Teamsの共有チャネルは、情報バリアによってサポートされます。 共有の種類によっては、情報バリア ポリシーによって特定の方法で共有が制限される場合があります。 共有チャネルと情報バリアの動作の詳細については、「 情報バリアと共有チャネル」を参照してください。
Microsoft Teamsの場合、情報バリアは、次の種類の未承認のコラボレーションを決定し、防止できます。
- チームまたはチャネルへのユーザーの追加
- チームまたはチャネル コンテンツへのユーザー アクセス
- 1:1 とグループ チャットへのユーザー アクセス
- 会議へのユーザー アクセス
- 参照と検出を防ぎます。ユーザーはユーザー 選択ウィンドウに表示されません。
注:
- テナント間で情報バリア グループを作成することはできません。
- ボット、アプリのMicrosoft Entra、アクティビティ フィード通知を送信する API、およびユーザーを追加するための一部の API は、バージョン 1 ではサポートされていません。
- プライベート チャネルは、構成する情報バリア ポリシーに準拠しています。
- Teams に接続されている SharePoint サイトのバリアのサポートについては、「 Microsoft Teams サイトに関連付けられているセグメント」を参照してください。
背景
BLOB の主要なドライバーは、金融サービス業界から来ています。 金融業界規制庁 (FINRA) は、メンバー企業内の IP と利益相反をレビューし、そのような競合の管理に関するガイダンスを提供します (FINRA 2241、 債務調査規制に関する通知 15-31)。
しかし、BLOB の導入以降、他の多くの領域で役に立つことがわかりました。 その他の一般的なシナリオは次のとおりです。
- 教育: ある学校の生徒は、他の学校の生徒の連絡先の詳細を調べることができません。
- 法務: 1 人のクライアントの弁護士によって取得されたデータの機密性を維持し、別のクライアントを代表する同じ会社の弁護士がアクセスできないようにします。
- 政府: 情報へのアクセスと制御は、部門やグループ間で制限されています。
- プロフェッショナル サービス: 会社のユーザー グループは、顧客エンゲージメント中にゲスト アクセスを介してクライアントまたは特定の顧客とチャットすることしかできません。
たとえば、Enrico は銀行セグメントに属し、Pradeep は財務アドバイザー セグメントに属します。 Enrico と Pradeep は、organizationの IB ポリシーによってこれら 2 つのセグメント間の通信とコラボレーションがブロックされるため、相互に通信できません。 ただし、Enrico と Pradeep は HR で Lee と通信できます。
情報バリアを使用する場合
次のような状況で、BLOB を使用する必要がある場合があります。
- チームが特定の他のチームとデータを通信または共有できないようにする必要があります。
- チームは、チーム外のユーザーとデータを通信したり共有したりしてはなりません。
情報バリア ポリシー評価サービスは、通信が IB ポリシーに準拠しているかどうかを判断します。
情報バリア セグメントの管理
IB セグメントは、Microsoft Purview ポータル、Microsoft Purview コンプライアンス ポータル、または PowerShell コマンドレットを使用して管理されます。 詳細については、「手順 2: organization内のユーザーをセグメント化する」を参照してください。
重要
ユーザーを複数のセグメントに割り当てるサポートは、組織が Legacy モードでない場合にのみ利用できます。 organizationがレガシ モードであるかどうかを判断するには、「organizationの IB モードを確認する」を参照してください。
Legacy モードの組織では、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されています。
レガシ モードの組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
情報バリア ポリシーの管理
IB ポリシーは、Microsoft Purview ポータル、Microsoft Purview コンプライアンス ポータル、または PowerShell コマンドレットを使用して管理されます。 詳細については、「 手順 3: IB ポリシーを作成する」を参照してください。
重要
ポリシーを設定または定義する前に、Microsoft Teamsでスコープ付きディレクトリ検索を有効にする必要があります。 情報バリアのポリシーを設定または定義する前に、スコープ付きディレクトリ検索を有効にしてから少なくとも数時間待ちます。 詳細については、「 情報バリア ポリシーを定義する」を参照してください。
情報バリア管理者ロール
IB コンプライアンス管理ロールは、IB ポリシーの管理を担当します。 このロールの詳細については、次を参照してください。
情報バリア トリガー
IB ポリシーは、次の Teams イベントが発生するとアクティブ化されます。
メンバーがチームに追加される: チームにユーザーを追加するたびに、ユーザーのポリシーを他のチーム メンバーの IB ポリシーと照らし合わせて評価する必要があります。 ユーザーが正常に追加されると、ユーザーはそれ以上のチェックを行わずにチーム内のすべての機能を実行できます。 ユーザーのポリシーによって、ユーザーがチームに追加されないようにブロックされている場合、ユーザーは検索に表示されません。
新しいチャットが要求される: ユーザーが 1 人以上の他の ユーザーとの新しいチャットを要求するたびに、チャットは、 IB ポリシーに違反していないことを確認するために評価されます。 会話が IB ポリシーに違反している場合、会話は開始されません。
1:1 チャットの例を次に示します。
グループ チャットの例を次に示します。
ユーザーが会議への参加に招待される: ユーザーが会議への参加に招待されると、そのユーザーに適用される IB ポリシーは、他のチーム メンバーに適用される IB ポリシーに対して評価されます。 違反がある場合、ユーザーは会議への参加を許可されません。
画面が 2 人以上のユーザー間で共有される: ユーザーが他のユーザーと画面を共有する場合は、共有を評価して、他のユーザーの IB ポリシーに違反していないことを確認する必要があります。 IB ポリシーに違反した場合、画面共有は許可されません。
ポリシーを適用する前の画面共有の例を次に示します。
ポリシーが適用された後の画面共有の例を次に示します。 画面共有アイコンと通話アイコンは表示されません。
ユーザーが Teams に電話をかける: ユーザーが (VOIP 経由で) 別のユーザーまたはユーザー のグループに音声通話を開始するたびに、通話が評価され、他のチーム メンバーの IB ポリシーに違反していないことを確認します。 違反がある場合、音声通話はブロックされます。
Teams のゲスト: IB ポリシーは Teams のゲストにも適用されます。 ゲストがorganizationのグローバル アドレス一覧で検出可能である必要がある場合は、「Microsoft 365 グループでゲスト アクセスを管理する」を参照してください。 ゲストが検出可能になったら、 IB ポリシーを定義できます。
ポリシーの変更が既存のチャットに与える影響
IB ポリシー管理者がポリシーに変更を加えた場合、またはユーザーのプロファイルの変更 (ジョブの変更など) によってポリシーの変更がアクティブ化された場合、Information Barrier Policy Evaluation Service は自動的にメンバーを検索して、チームのメンバーシップがポリシーに違反しないようにします。
ユーザー間に既存のチャットまたはその他の通信があり、新しいポリシーが設定されているか、既存のポリシーが変更された場合、サービスは既存の通信を評価して、通信の実行が引き続き許可されていることを確認します。
1:1 チャット: 2 人のユーザー間の通信が許可されなくなった場合 (アプリケーションによる一方または両方のユーザーへの通信をブロックするポリシーのため)、それ以上の通信はブロックされます。 既存のチャット会話は読み取り専用になります。
チャットが表示されていることを示す例を次に示します。
チャットが無効になっていることを示す例を次に示します。
グループ チャット: あるユーザーからグループへの通信が許可されなくなった場合 (たとえば、ユーザーがジョブを変更したため)、参加がポリシーに違反している他のユーザーと一緒にユーザーがグループ チャットから削除される可能性があり、グループとのそれ以上の通信は許可されません。 ユーザーは古い会話を引き続き表示できますが、グループとの新しい会話を表示したり、参加したりすることはできません。 通信を妨げる新しいポリシーまたは変更されたポリシーが複数のユーザーに適用されている場合、ポリシーの影響を受けるユーザーはグループ チャットから削除される可能性があります。 彼らはまだ古い会話を見ることができます。
この例では、Enrico はorganization内の別の部署に移動し、グループ チャットから削除されます。
Enrico はグループ チャットにメッセージを送信できなくなりました。
チーム: グループから削除されたユーザーは、チームから削除され、既存の会話や新しい会話を表示したり、参加したりできなくなります。
シナリオ: 既存のチャット内のユーザーがブロックされる
現在、IB ポリシーによって別のユーザーがブロックされた場合、ユーザーには次のシナリオが発生します。
[People] タブ: [People] タブにブロックされたユーザーを表示できません。
Peopleピッカー: ブロックされたユーザーはユーザー ピッカーに表示されません。
[アクティビティ] タブ: ユーザーがブロックされたユーザーの [ アクティビティ ] タブにアクセスした場合、投稿は表示されません。 ([ アクティビティ ] タブにはチャネル投稿のみが表示され、2 人のユーザー間に共通のチャネルは表示されません)。
ブロックされているアクティビティ タブ ビューの例を次に示します。
組織図: ブロックされたユーザーが表示される組織図にユーザーがアクセスした場合、ブロックされたユーザーは組織図に表示されません。 代わりに、エラー メッセージが表示されます。
People カード: ユーザーが会話に参加し、ユーザーが後でブロックされた場合、ブロックされたユーザーの名前にカーソルを合わせると、他のユーザーにカードの代わりにエラー メッセージが表示されます。 カードに一覧表示されているアクション (通話やチャットなど) は使用できません。
推奨される連絡先: ブロックされたユーザーは、候補の連絡先リスト (新しいユーザーに対して表示される最初の連絡先リスト) には表示されません。
チャット連絡先: ユーザーはチャット連絡先リストにブロックされたユーザーを表示できますが、ブロックされたユーザーは識別されます。 ブロックされたユーザーに対してユーザーが実行できる唯一のアクションは、それらを削除することです。 ユーザーは、過去の会話を表示するためにそれらを選択することもできます。
通話連絡先: ユーザーは通話連絡先リストにブロックされたユーザーを表示できますが、ブロックされたユーザーは識別されます。 ブロックされたユーザーに対してユーザーが実行できる唯一のアクションは、それらを削除することです。
通話連絡先リストのブロックされたユーザーの例を次に示します。
通話コンテンツ リストのユーザーに対してチャットが無効になっている例を次に示します。
Skype から Teams への移行: Skype for Businessから Teams への移行中に、IB ポリシーによってブロックされているユーザーであっても、すべてのユーザーが Teams に移行されます。 これらのユーザーは、前に説明したように処理されます。
Teams ポリシーと SharePoint サイト
チームが作成されると、SharePoint サイトがプロビジョニングされ、ファイル エクスペリエンスのために Microsoft Teams に関連付けられます。 情報バリア ポリシーは、既定では、この SharePoint サイトとファイルには適用されません。 SharePoint と OneDrive で情報バリアを有効にするには、「SharePoint で 情報バリアを使用する 」のガイダンスと手順に従います。
情報バリア モードと Teams
情報バリア モードは、チームに追加または削除できるユーザーを強化するのに役立ちます。 Teams で情報バリアを使用する場合、次の IB モードがサポートされます。
- [開く]: この構成は、情報バリアが有効になる前にプロビジョニングされたすべての既存のグループの既定の IB モードです。 このモードでは、IB ポリシーは適用されません。
- 暗黙的: この構成は、情報バリアを有効にした後にチームがプロビジョニングされる場合の既定の IB モードです。 暗黙的モードを使用すると、互換性のあるすべてのユーザーをグループに追加できます。
- 所有者モデレート: このモードは、所有者によってモデレートされる互換性のないセグメント ユーザー間のコラボレーションを許可する場合に、チームで設定されます。 チーム所有者は、IB ポリシーに従って新しいメンバーを追加できます。
テナントで情報バリア ポリシーをアクティブ化する前に作成された Teams は、既定で [ 開く ] モードに自動的に設定されます。 テナントで IB ポリシーをアクティブ化したら、既存のチームが IB に準拠していることを確認するために、既存のチームのモードを Implicit に更新する必要があります。 モードの更新の詳細については、「 PowerShell スクリプトを使用して情報バリア モードを変更する」を参照してください。
セグメントに使用するモードに対応する InformationBarrierMode パラメーターで Set-UnifiedGroup コマンドレットを使用します。 InformationBarrierMode パラメーターに使用できる値の一覧は、Open、Implicit、Owner Moderated です。
たとえば、Microsoft 365 グループの 暗黙的 モードを構成するには、次の PowerShell コマンドを使用します。
Set-UnifiedGroup -InformationBarrierMode Implicit
既存のすべてのチームのモードを [開く] から [暗黙的] に更新するには、この PowerShell スクリプトを使用します。
organizationのコンプライアンス要件を満たすために、既存の Teams に接続されているグループのオープン モード構成を変更する場合は、Teams チームに接続されている関連する SharePoint サイトの IB モードを更新する必要があります。
Teams での IB ポリシー アプリケーション
IB ポリシー アプリケーションは、Teams のバックグラウンド IB プロセッサであり、ユーザー (ポリシーまたはセグメントの変更) またはグループ (モードの変更) に変更があった場合に通知を受け取ります。 次の手順では、処理フローの概要を示します。
- ポリシー アプリケーションは、モードが更新されたときにグループ変更通知を受け取り、更新に適用できるメッセージ スレッドとグループ ID を取得します。
- メッセージ スレッドが存在する場合は、処理がスケジュールされ、すべてのメンバーがチームと基になるグループからフェッチされ、IB 評価のためにダウンストリーム Teams コンポーネントに送信されます。
- グループのモードとユーザーごとの IB ポリシーが評価され、結果がポリシー アプリケーションに送信されます。
- ポリシー アプリケーションは、グループとチームから非準拠ユーザーを削除します。
必要なライセンスとアクセス許可
ライセンスとアクセス許可、プラン、価格の詳細については、情報バリアの サブスクリプション要件 に関するページを参照してください。
使用上の注意
- ユーザーがアドホック会議に参加できない: IB ポリシーが有効になっている場合、会議の名簿のサイズが会議出席制限を超える場合、ユーザーは 会議に参加できません。 根本的な原因は、IB チェックは、ユーザーを会議チャットの名簿に追加できるかどうかに依存し、名簿に追加できる場合にのみ会議に参加できるということです。 会議に参加したユーザーは、そのユーザーを名簿に追加します。したがって、定期的な会議の場合、名簿は速くいっぱいになる可能性があります。 チャットの名簿が 会議出席制限に達すると、追加のユーザーを会議に追加することはできません。 IB がorganizationに対して有効になっていて、チャットの名簿がいっぱいの会議の場合、新しいユーザー (名簿にまだ登録されていないユーザー) は会議に参加できません。 ただし、IB がorganizationに対して有効にされておらず、会議チャットの名簿がいっぱいの場合、新しいユーザー (名簿に登録されていないユーザー) は会議に参加できますが、会議にはチャット オプションは表示されません。 短期的な解決策は、会議チャットの名簿から非アクティブなメンバーを削除して、新しいユーザーのためのスペースを作成することです。 ただし、後日、会議チャットの名簿のサイズを増やします。
- ユーザーがチャネル会議に参加できない: IB ポリシーが有効になっている場合、ユーザーがチームのメンバーでない場合、チャネル会議への参加は許可されません。 根本的な原因は、IB チェックは、ユーザーを会議チャットの名簿に追加できるかどうかに依存し、名簿に追加できる場合にのみ会議に参加できるということです。 チャネル会議のチャット スレッドはチーム/チャネル メンバーのみが使用でき、メンバー以外はチャット スレッドを表示またはアクセスできません。 IB がorganizationに対して有効になっていて、チーム以外のメンバーがチャネル会議に参加しようとすると、そのユーザーは会議に参加できません。 ただし、IB がorganizationに対して有効になっていない場合、チーム以外のメンバーがチャネル会議に参加しようとすると、ユーザーは会議に参加できますが、会議にチャット オプションは表示されません。
- IB ポリシーはフェデレーション ユーザーには機能しません。外部組織とのフェデレーションを許可する場合、それらの組織のユーザーは IB ポリシーによって制限されません。 organizationのユーザーが外部のフェデレーション ユーザーによって整理されたチャットや会議に参加する場合、IB ポリシーでは、organizationのユーザー間の通信も制限されません。
詳細
- BLOB の詳細については、「 情報バリア」を参照してください。
- IB ポリシーを設定するには、「 情報バリアの概要」を参照してください。
- IB ポリシーを編集または削除するには、「 情報バリア ポリシーの管理」を参照してください。
- 情報バリアと共有チャネル
Availability
Teams の情報バリアは、パブリック クラウド、GCC クラウド、GCC - High クラウド、DOD クラウドで利用できます。