外部ユーザーのアクセスを管理する

  • 4 分

Teams は、Office と SharePoint で利用可能なすべての共同作業の機能を、常設チャットと、カスタマイズ可能で拡張可能な共同作業のツールのセットを使用して、統合されたユーザー操作環境で提供します。

Microsoft 365 のワークロードには、Teams、Microsoft 365 グループ、SharePoint、OneDrive の組織外のユーザーとの共有に影響を与える可能性のあるさまざまな設定があります。 これらの設定は、Azure Active Directory、Microsoft 365、Microsoft Purview コンプライアンス ポータル、Teams、およびSharePoint 管理センターにあります。

Azure Active Directory

Azure AD External Identities とは、組織外のユーザーと安全にやり取りできるすべての方法を指します。 管理者は、External Identities を使用して、どのような方法で外部の共同作業者をゲストとしてテナントに招待できるようにするかを決定することができます。

Microsoft 365 での共有は、Azure Active Directory における B2B 外部コラボレーションの設定 によって最高レベルで管理されます。 Azure AD でゲストの共有が無効になっているか、制限されている場合、この設定により、Microsoft 365 で構成した共有設定が上書きされます。

Azure AD External Identities を使用して、次を制御できます。

  • ディレクトリ オブジェクトのプロパティとメンバーシップへのゲスト アクセス

  • ゲスト招待設定

  • ユーザー フロー経由でゲストのセルフ サービス署名を有効にする

  • 共同作業における制限事項

  • テナント間アクセス

Microsoft Teams の共有チャネルは、チームに参加していないユーザーを招待できるコラボレーション スペースを提供します。 Azure AD テナント間アクセス設定で B2B 直接接続 を構成することにより、組織外のユーザーを共有チャネルに招待できます。

Teams で別の組織と共有チャネルを有効にする場合:

  • 組織内のチーム所有者は、共有チャネルに参加するよう他の組織のユーザーを招待できます。

  • 組織のカスタム (基幹業務) アプリを共有チャネルで利用できます。外部の参加者は、それらのアプリにアクセスできるようになります。

  • 組織のアプリ リストを共有チャネルで利用できます。外部の参加者は、それらのアプリにアクセスできるようになります。

    共有チャネルを外部ユーザーと共有するスクリーンショット。

Microsoft Purview コンプライアンス ポータル

管理者は秘密度ラベルを使用して、チームへのゲスト アクセスを制御できます。 ゲスト アクセスを許可しないラベルで作成された Teams は、組織内のユーザーのみが使用できます。 組織外のユーザーをチームに追加することはできません。

秘密度ラベルを使用すると、次のラベル設定を使用して、Microsoft Teams サイト、Microsoft 365 グループ、および SharePoint サイトのコンテンツを保護できます。

  • チーム サイトおよび Microsoft 365 グループのプライバシー (パブリックまたはプライベート)
  • 外部ユーザーのアクセス
  • SharePoint サイトからの外部共有
  • 非管理対象デバイスからのアクセス
  • 認証コンテキスト (プレビュー段階)
  • SharePoint サイトの既定共有リンク (PowerShell のみの構成)
  • プレビュー中: サイト共有設定 (PowerShell 専用構成)

Microsoft 365

Teams は、チームのメンバーシップに Microsoft 365 グループを使用します。Teams でゲスト アクセスを機能させるには、Microsoft 365 グループのゲスト設定をオンにする必要があります。

Microsoft 365 管理センターを使用して、次を制御できます。

  • ユーザーが組織に新しいゲストを追加できるようにする

  • グループ所有者が組織外のユーザーをグループに追加できるようにする

  • 組織の外部のグループ メンバーがグループのコンテンツにアクセスできるようにする

Teams

Teams では、自分の Teams 組織においてゲストのエクスペリエンスを有効にするか無効にするかを管理できます。 この設定は、Teams のテナント レベルで適用されます。 オーディオ/ビデオの設定や画面共有機能など、チームのゲストのアクセス許可を構成することもできます。

Teams 管理センターを使用して、次を制御できます。

  • 外部アクセス

  • ゲスト アクセス (通話、会議、およびメッセージング)

  • 匿名ユーザーの会議エクスペリエンス

SharePoint および OneDrive

ファイル、フォルダー、リストなどの Teams コンテンツはすべて SharePoint および OneDrive に保存されます。 ゲストが Teams でこれらのアイテムにアクセスできるようにするには、SharePoint 組織レベルの共有設定でゲストとの共有が許可されている必要があります。

SharePoint 管理センターを使用して、次を制御できます。

  • 外部共有

  • ファイルとフォルダーのリンク

ゲスト アクセス認可の依存関係

次の図では、Azure Active Directory、Microsoft 365、Teams、および SharePoint との間でゲスト アクセスの認可の依存関係がどのように与えられているか、および組み合わされているかを示します。 この依存関係は、チェーン内の任意の場所でゲスト アクセスを無効にした場合、その下にあるすべてのアプリに制限が継承され、自分で新しい Teams を作成したり、ユーザーに作成させたりできなくなることを意味します。

ゲスト アクセス承認の依存関係を示す図。

ゲスト ユーザーを削除する

ゲストは Teams 内からいつでもチームを離れることができ、所有者は自分のチームからゲスト アカウントを手動で削除できます。

Teams クライアントからゲストを削除するスクリーンショット。

ただし、チームから脱退しても、組織/ディレクトリからゲスト アカウントを削除したことにはなりません。 これは、Microsoft 365 グローバル管理者または Azure AD 管理者が行う必要があります。

Microsoft 365 グローバル管理者または Azure AD 管理者は、次の場所からゲスト ユーザーを削除できます。

  • Microsoft 365 管理センター。
  • Azure AD 管理センター。