Microsoft Teams の情報バリア

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

Microsoft Purview Information Barriers (IB) は、個人またはグループが相互に通信できないように管理者が構成できるポリシーです。 たとえば、ある部署が他の部署と共有すべきではない情報を処理している場合に役立ちます。 また、グループを分離する必要がある場合や、そのグループ以外のユーザーと通信できないようにする必要がある場合にも、BLOB が役立ちます。 Microsoft Teams の共有チャネルは、情報バリアによってサポートされています。 共有の種類によっては、情報バリア ポリシーによって特定の方法で共有が制限される場合があります。 共有チャネルと情報バリアの動作の詳細については、「 情報バリアと共有チャネル」を参照してください。

Microsoft Teams の場合、情報バリアは、次の種類の承認されていないコラボレーションを決定し、防止できます。

  • チームまたはチャネルへのユーザーの追加
  • チームまたはチャネル コンテンツへのユーザー アクセス
  • 1:1 とグループ チャットへのユーザー アクセス
  • 会議へのユーザー アクセス
  • 参照と検出を防ぎます。ユーザーはユーザー 選択ウィンドウに表示されません。

注:

  • テナント間で情報バリア グループを作成することはできません。
  • ボット、Azure Active Directory (Azure AD) アプリ、アクティビティ フィード通知を送信する API、およびユーザーを追加するための一部の API は、バージョン 1 ではサポートされていません。
  • プライベート チャネルは、構成する情報バリア ポリシーに準拠しています。
  • Teams に接続されている SharePoint サイトのバリアのサポートについては、「 Microsoft Teams サイトに関連付けられているセグメント」を参照してください。

背景

BLOB の主要なドライバーは、金融サービス業界から来ています。 金融業界規制庁 (FINRA) は、メンバー企業内の IP と利益相反をレビューし、そのような競合の管理に関するガイダンスを提供します (FINRA 2241、 債務調査規制に関する通知 15-31)。

しかし、BLOB の導入以降、他の多くの領域で役に立つことがわかりました。 その他の一般的なシナリオは次のとおりです。

  • 教育: ある学校の生徒は、他の学校の生徒の連絡先の詳細を調べることができません。
  • 法務: 1 人のクライアントの弁護士によって取得されたデータの機密性を維持し、別のクライアントを代表する同じ会社の弁護士がアクセスできないようにします。
  • 政府: 情報へのアクセスと制御は、部門やグループ間で制限されています。
  • プロフェッショナル サービス: 会社のユーザー グループは、顧客エンゲージメント中にゲスト アクセスを介してクライアントまたは特定の顧客とチャットすることしかできません。

たとえば、Enrico は銀行セグメントに属し、Pradeep は財務アドバイザー セグメントに属します。 Enrico と Pradeep は、organizationの IB ポリシーによってこれら 2 つのセグメント間の通信とコラボレーションがブロックされるため、相互に通信できません。 ただし、Enrico と Pradeep は HR で Lee と通信できます。

セグメント間の通信を妨げる情報バリアを示す例。

情報バリアを使用する場合

次のような状況で、BLOB を使用する必要がある場合があります。

  • チームが特定の他のチームとデータを通信または共有できないようにする必要があります。
  • チームは、チーム外のユーザーとデータを通信したり共有したりしてはなりません。

情報バリア ポリシー評価サービスは、通信が IB ポリシーに準拠しているかどうかを判断します。

情報バリア セグメントの管理

IB セグメントは、Microsoft Purview コンプライアンス ポータルまたは PowerShell コマンドレットを使用して管理されます。 詳細については、「手順 2: organization内のユーザーをセグメント化する」を参照してください。

重要

複数のセグメントにユーザーを割り当てるサポートは、organizationがレガシ モードでない場合にのみ使用できます。 organizationがレガシ モードであるかどうかを判断するには、「organizationの IB モードを確認する」を参照してください。

ユーザーは、 レガシ モードの組織の 1 つのセグメントにのみ割り当てられることに制限されます。 レガシ モードの組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、 情報バリアのロードマップに関するページを参照してください。

情報バリア ポリシーの管理

IB ポリシーは、Microsoft Purview コンプライアンス ポータルまたは PowerShell コマンドレットを使用して管理されます。 詳細については、「 手順 3: IB ポリシーを作成する」を参照してください。

重要

ポリシーを設定または定義する前に、Microsoft Teams でスコープ付きディレクトリ検索を有効にする必要があります。 情報バリアのポリシーを設定または定義する前に、スコープ付きディレクトリ検索を有効にしてから少なくとも数時間待ちます。 詳細については、「 情報バリア ポリシーを定義する」を参照してください。

情報バリア管理者ロール

IB コンプライアンス管理ロールは、IB ポリシーの管理を担当します。 このロールの詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

情報バリア トリガー

IB ポリシーは、次の Teams イベントが発生するとアクティブ化されます。

  • メンバーがチームに追加される: チームにユーザーを追加するたびに、ユーザーのポリシーを他のチーム メンバーの IB ポリシーと照らし合わせて評価する必要があります。 ユーザーが正常に追加されると、ユーザーはそれ以上のチェックを行わずにチーム内のすべての機能を実行できます。 ユーザーのポリシーによって、ユーザーがチームに追加されないようにブロックされている場合、ユーザーは検索に表示されません。

    チームに追加する新しいメンバーを検索し、一致するものが見つからない場合のスクリーンショット。

  • 新しいチャットが要求される: ユーザーが 1 人以上の他の ユーザーとの新しいチャットを要求するたびに、チャットは、 IB ポリシーに違反していないことを確認するために評価されます。 会話が IB ポリシーに違反している場合、会話は開始されません。

    1:1 チャットの例を次に示します。

    1:1 チャットでブロックされた通信を示すスクリーンショット。

    グループ チャットの例を次に示します。

    グループ チャットを示すスクリーンショット。

  • ユーザーが会議への参加に招待される: ユーザーが会議への参加に招待されると、そのユーザーに適用される IB ポリシーは、他のチーム メンバーに適用される IB ポリシーに対して評価されます。 違反がある場合、ユーザーは会議への参加を許可されません。

    ユーザーが会議をブロックしたことを示すスクリーンショット。

  • 画面が 2 人以上のユーザー間で共有される: ユーザーが他のユーザーと画面を共有する場合は、共有を評価して、他のユーザーの IB ポリシーに違反していないことを確認する必要があります。 IB ポリシーに違反した場合、画面共有は許可されません。

    ポリシーを適用する前の画面共有の例を次に示します。

    ユーザー チャットを示すスクリーンショット。

    ポリシーが適用された後の画面共有の例を次に示します。 画面共有アイコンと通話アイコンは表示されません。

    ブロックされた設定のユーザー文字を示すスクリーンショット。

  • ユーザーが Teams に電話をかける: ユーザーが (VOIP 経由で) 別のユーザーまたはユーザー のグループに音声通話を開始するたびに、通話が評価され、他のチーム メンバーの IB ポリシーに違反していないことを確認します。 違反がある場合、音声通話はブロックされます。

  • Teams のゲスト: IB ポリシーは Teams のゲストにも適用されます。 ゲストがorganizationのグローバル アドレス一覧で検出可能である必要がある場合は、「Microsoft 365 グループでゲスト アクセスを管理する」を参照してください。 ゲストが検出可能になったら、 IB ポリシーを定義できます。

ポリシーの変更が既存のチャットに与える影響

IB ポリシー管理者がポリシーに変更を加えた場合、またはユーザーのプロファイルの変更 (ジョブの変更など) によってポリシーの変更がアクティブ化された場合、Information Barrier Policy Evaluation Service は自動的にメンバーを検索して、チームのメンバーシップがポリシーに違反しないようにします。

ユーザー間に既存のチャットまたはその他の通信があり、新しいポリシーが設定されているか、既存のポリシーが変更された場合、サービスは既存の通信を評価して、通信の実行が引き続き許可されていることを確認します。

  • 1:1 チャット: 2 人のユーザー間の通信が許可されなくなった場合 (アプリケーションによる一方または両方のユーザーへの通信をブロックするポリシーのため)、それ以上の通信はブロックされます。 既存のチャット会話は読み取り専用になります。

    チャットが表示されていることを示す例を次に示します。

    ユーザー チャットが使用可能であることを示すスクリーンショット。

    チャットが無効になっていることを示す例を次に示します。

    ユーザー チャットが無効になっていることを示すスクリーンショット。

  • グループ チャット: あるユーザーからグループへの通信が許可されなくなった場合 (たとえば、ユーザーがジョブを変更したため)、参加がポリシーに違反している他のユーザーと一緒にユーザーがグループ チャットから削除される可能性があり、グループとのそれ以上の通信は許可されません。 ユーザーは古い会話を引き続き表示できますが、グループとの新しい会話を表示したり、参加したりすることはできません。 通信を妨げる新しいポリシーまたは変更されたポリシーが複数のユーザーに適用されている場合、ポリシーの影響を受けるユーザーはグループ チャットから削除される可能性があります。 彼らはまだ古い会話を見ることができます。

    この例では、Enrico はorganization内の別の部署に移動し、グループ チャットから削除されます。

    ユーザーが削除されたグループ チャットのスクリーンショット。

    Enrico はグループ チャットにメッセージを送信できなくなりました。

    ユーザーがグループから削除されたため、グループ チャットにメッセージを送信できないスクリーンショット。

  • チーム: グループから削除されたユーザーは、チームから削除され、既存の会話や新しい会話を表示したり、参加したりできなくなります。

シナリオ: 既存のチャット内のユーザーがブロックされる

現在、IB ポリシーによって別のユーザーがブロックされた場合、ユーザーには次のシナリオが発生します。

  • [People] タブ: [People] タブにブロックされたユーザーを表示できません。

  • Peopleピッカー: ブロックされたユーザーはユーザー ピッカーに表示されません。

    ポリシーによって別のユーザーの情報が表示されないようにユーザーに警告する Teams のスクリーンショット。

  • [アクティビティ] タブ: ユーザーがブロックされたユーザーの [ アクティビティ ] タブにアクセスした場合、投稿は表示されません。 ([ アクティビティ ] タブにはチャネル投稿のみが表示され、2 人のユーザー間に共通のチャネルは表示されません)。

    ブロックされているアクティビティ タブ ビューの例を次に示します。

    ブロックされているアクティビティ タブを示すスクリーンショット。

  • 組織図: ブロックされたユーザーが表示される組織図にユーザーがアクセスした場合、ブロックされたユーザーは組織図に表示されません。 代わりに、エラー メッセージが表示されます。

  • People カード: ユーザーが会話に参加し、ユーザーが後でブロックされた場合、ブロックされたユーザーの名前にカーソルを合わせると、他のユーザーにカードの代わりにエラー メッセージが表示されます。 カードに一覧表示されているアクション (通話やチャットなど) は使用できません。

  • 推奨される連絡先: ブロックされたユーザーは、候補の連絡先リスト (新しいユーザーに対して表示される最初の連絡先リスト) には表示されません。

  • チャット連絡先: ユーザーはチャット連絡先リストでブロックされたユーザーを表示できますが、ブロックされたユーザーは識別されます。 ブロックされたユーザーに対してユーザーが実行できる唯一のアクションは、それらを削除することです。 ユーザーは、過去の会話を表示するためにそれらを選択することもできます。

  • 通話連絡先: ユーザーは通話連絡先リストでブロックされたユーザーを表示できますが、ブロックされたユーザーは識別されます。 ブロックされたユーザーに対してユーザーが実行できる唯一のアクションは、それらを削除することです。

    通話連絡先リストのブロックされたユーザーの例を次に示します。

    ユーザー ユーザー チャットを示すスクリーンショット。

    通話コンテンツ リストのユーザーに対してチャットが無効になっている例を次に示します。

    チャットからブロックされたユーザーを示すスクリーンショット。

  • Skype から Teams への移行: Skype for Businessから Teams への移行中に、IB ポリシーによってブロックされているユーザーであっても、すべてのユーザーが Teams に移行されます。 これらのユーザーは、上記のように処理されます。

Teams ポリシーと SharePoint サイト

チームが作成されると、SharePoint サイトがプロビジョニングされ、ファイル エクスペリエンスのために Microsoft Teams に関連付けられます。 情報バリア ポリシーは、既定では、この SharePoint サイトとファイルには適用されません。 SharePoint と OneDrive で情報バリアを有効にするには、「SharePoint で 情報バリアを使用する 」のガイダンスと手順に従います。

情報バリア モードと Teams

情報バリア モードは、チームに追加または削除できるユーザーを強化するのに役立ちます。 Teams で情報バリアを使用する場合、次の IB モードがサポートされます。

  • [開く]: この構成は、情報バリアが有効になる前にプロビジョニングされたすべての既存のグループの既定の IB モードです。 このモードでは、IB ポリシーは適用されません。
  • 暗黙的: この構成は、情報バリアを有効にした後にチームがプロビジョニングされる場合の既定の IB モードです。 暗黙的モードを使用すると、互換性のあるすべてのユーザーをグループに追加できます。
  • 所有者モデレート: このモードは、所有者によってモデレートされる互換性のないセグメント ユーザー間のコラボレーションを許可する場合に、チームで設定されます。 チーム所有者は、IB ポリシーに従って新しいメンバーを追加できます。

テナントで情報バリア ポリシーをアクティブ化する前に作成された Teams は、既定で [ 開く ] モードに自動的に設定されます。 テナントで IB ポリシーをアクティブ化したら、既存のチームが IB に準拠していることを確認するために、既存のチームのモードを Implicit に更新する必要があります。 モードの更新の詳細については、「 PowerShell スクリプトを使用して情報バリア モードを変更する」を参照してください。

セグメントに使用するモードに対応する InformationBarrierMode パラメーターで Set-UnifiedGroup コマンドレットを使用します。 InformationBarrierMode パラメーターに使用できる値の一覧は、OpenImplicitOwner Moderated です

たとえば、Microsoft 365 グループの 暗黙的 モードを構成するには、次の PowerShell コマンドを使用します。

Set-UnifiedGroup -InformationBarrierMode Implicit

既存のすべてのチームのモードを [開く] から [暗黙的] に更新するには、この PowerShell スクリプトを使用します。

既存の Teams に接続されたグループのオープン モード構成を変更して、organizationのコンプライアンス要件を満たす場合は、[IB モードの更新]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-modes-as-an-administrator-with-sharepoint-powershell) を Teams チームに接続する必要があります。

Teams での IB ポリシー アプリケーション

IB ポリシー アプリケーションは、Teams のバックグラウンド IB プロセッサであり、ユーザー (ポリシーまたはセグメントの変更) またはグループ (モードの変更) に変更があった場合に通知を受け取ります。 次の手順では、処理フローの概要を示します。

  • ポリシー アプリケーションは、モードが更新されたときにグループ変更通知を受け取り、更新に適用できるメッセージ スレッドとグループ ID を取得します。
  • メッセージ スレッドが存在する場合は、処理がスケジュールされ、すべてのメンバーがチームと基になるグループからフェッチされ、IB 評価のためにダウンストリーム Teams コンポーネントに送信されます。
  • グループのモードとユーザーごとの IB ポリシーが評価され、結果がポリシー アプリケーションに送信されます。
  • ポリシー アプリケーションは、グループとチームから非準拠ユーザーを削除します。

必要なライセンスとアクセス許可

ライセンスとアクセス許可、プラン、価格の詳細については、情報バリアの サブスクリプション要件 に関するページを参照してください。

使用上の注意

  • ユーザーがアドホック会議に参加できない: IB ポリシーが有効になっている場合、会議の名簿のサイズが会議出席制限を超える場合、ユーザーは 会議に参加できません。 根本的な原因は、IB チェックは、ユーザーを会議チャットの名簿に追加できるかどうかに依存し、名簿に追加できる場合にのみ会議に参加できるということです。 会議に参加したユーザーは、そのユーザーを名簿に追加します。したがって、定期的な会議の場合、名簿は速くいっぱいになる可能性があります。 チャットの名簿が 会議出席制限に達すると、追加のユーザーを会議に追加することはできません。 IB がorganizationに対して有効になっていて、チャットの名簿がいっぱいの会議の場合、新しいユーザー (名簿にまだ登録されていないユーザー) は会議に参加できません。 ただし、IB がorganizationに対して有効にされておらず、会議チャットの名簿がいっぱいの場合、新しいユーザー (名簿に登録されていないユーザー) は会議に参加できますが、会議にはチャット オプションは表示されません。 短期的な解決策は、会議チャットの名簿から非アクティブなメンバーを削除して、新しいユーザーのためのスペースを作成することです。 ただし、後日、会議チャットの名簿のサイズを増やします。
  • ユーザーがチャネル会議に参加できない: IB ポリシーが有効になっている場合、ユーザーがチームのメンバーでない場合、チャネル会議への参加は許可されません。 根本的な原因は、IB チェックは、ユーザーを会議チャットの名簿に追加できるかどうかに依存し、名簿に追加できる場合にのみ会議に参加できるということです。 チャネル会議のチャット スレッドはチーム/チャネル メンバーのみが使用でき、メンバー以外はチャット スレッドを表示またはアクセスできません。 IB がorganizationに対して有効になっていて、チーム以外のメンバーがチャネル会議に参加しようとすると、そのユーザーは会議に参加できません。 ただし、IB がorganizationに対して有効になっていない場合、チーム以外のメンバーがチャネル会議に参加しようとすると、ユーザーは会議に参加できますが、会議にチャット オプションは表示されません。
  • IB ポリシーはフェデレーション ユーザーには機能しません。外部組織とのフェデレーションを許可する場合、それらの組織のユーザーは IB ポリシーによって制限されません。 organizationのユーザーが外部のフェデレーション ユーザーによって整理されたチャットや会議に参加する場合、IB ポリシーでは、organizationのユーザー間の通信も制限されません。

詳細情報

Availability

Teams の情報バリアは、パブリック クラウド、GCC クラウド、GCC - High クラウド、DOD クラウドで利用できます。