Teams チャット、グループ、ファイルをセキュリティで保護するためのポリシーの推奨事項
この記事では、Microsoft Teams のチャット、グループ、ファイルや予定表などのコンテンツを保護するために、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを実装する方法について説明します。 このガイダンスは、Teams 固有の追加情報を含 む、一般的な ID とデバイスのアクセス ポリシーに基づいています。 Teams は他の製品と統合されるため、「SharePoint サイトとファイルをセキュリティで保護するためのポリシーの推奨事項」と「電子メールをセキュリティで保護するためのポリシーの推奨事項」も参照してください。
これらの推奨事項は、ニーズの細分性に基づいて適用できる Teams のセキュリティと保護の 3 つの異なるレベル (開始点、エンタープライズ、特殊なセキュリティ) に基づいています。 これらのセキュリティレベルと、これらの推奨事項によって参照される推奨ポリシーの詳細については、「 ID とデバイスのアクセス構成」を参照してください。
Teams の展開に固有のその他の推奨事項は、organization外のユーザーなど、特定の認証状況に対応するためにこの記事に含まれています。 完全なセキュリティ エクスペリエンスを実現するには、このガイダンスに従う必要があります。
他の依存サービスの前に Teams の概要
Microsoft Teams の使用を開始するために依存サービスを有効にする必要はありません。 これらのサービスはすべて "単に動作" します。ただし、次のサービス関連の要素を管理する準備が必要です。
- Microsoft 365 グループ
- SharePoint チーム サイト
- OneDrive for Business
- Exchange メールボックス
- ビデオとPlannerプランをStreamする (これらのサービスが有効になっている場合)
Teams を含むように一般的なポリシーを更新する
Teams でチャット、グループ、コンテンツを保護するために、次の図は、共通 ID とデバイス アクセス ポリシーから更新するポリシーを示しています。 更新するポリシーごとに、Teams と依存するサービスがクラウド アプリの割り当てに含まれていることを確認します。
これらのサービスは、Teams 用クラウド アプリの割り当てに含める依存サービスです。
- Microsoft Teams
- SharePoint および OneDrive for Business
- Exchange Online
- Skype for Business Online
- Microsoft Stream (会議の記録)
- Microsoft Planner (タスクと計画データのPlanner)
次の表に、再検討する必要があるポリシーと、すべての Office アプリケーションに広いポリシーが設定されている 共通 ID とデバイス アクセス ポリシーの各ポリシーへのリンクを示します。
| 保護レベル | ポリシー | Teams の実装に関する詳細情報 |
|---|---|---|
| 開始点 | サインインのリスクが中、または高のときに MFA を要求する | Teams と依存するサービスがアプリの一覧に含まれていることを確認します。 Teams には、ゲスト アクセスと外部アクセスの規則も考慮する必要があります。これらの規則の詳細については、この記事の後半で説明します。 |
| 先進認証をサポートしないクライアントはブロックする | クラウド アプリの割り当てに Teams と依存サービスを含めます。 | |
| 高リスク ユーザーはパスワードを変更する必要がある | アカウントに対してリスクの高いアクティビティが検出された場合、サインイン時に Teams ユーザーにパスワードの変更を強制します。 Teams と依存するサービスがアプリの一覧に含まれていることを確認します。 | |
| アプリ データ保護ポリシーを適用する | Teams と依存するサービスがアプリの一覧に含まれていることを確認します。 各プラットフォーム (iOS、Android、Windows) のポリシーを更新します。 | |
| エンタープライズ | サインインのリスクが 低、中、または高のときに MFA を要求する | Teams には、ゲスト アクセスと外部アクセスの規則も考慮する必要があります。これらの規則の詳細については、この記事の後半で説明します。 このポリシーには、Teams と依存サービスを含めます。 |
| デバイス コンプライアンス ポリシーを定義する | このポリシーには、Teams と依存サービスを含めます。 | |
| 準拠した PC とモバイル デバイスが必要 | このポリシーには、Teams と依存サービスを含めます。 | |
| 特殊なセキュリティ | 常に MFA が必要 | ユーザー ID に関係なく、MFA はorganizationによって使用されます。 このポリシーには、Teams と依存サービスを含めます。 |
Teams 依存サービスのアーキテクチャ
参考までに、次の図は Teams が依存しているサービスを示しています。 詳細と図については、「 Microsoft Teams および IT アーキテクト向け Microsoft 365 の関連する生産性サービス」を参照してください。
Teams のゲストと外部アクセス
Microsoft Teams では、次のアクセスの種類が定義されています。
ゲスト アクセスは、チームのメンバーとして追加でき、チームのコミュニケーションとリソースに対するすべてのアクセス許可を持つゲストまたは外部ユーザーに対して、Microsoft Entra B2B アカウントを使用します。
外部アクセスは、Microsoft Entra B2B アカウントを持たない外部ユーザーを対象とします。 外部アクセスには、招待や通話、チャット、会議への参加を含めることができますが、チーム メンバーシップとチームのリソースへのアクセスは含まれません。
条件付きアクセス ポリシーは、対応する Microsoft Entra B2B アカウントがあるため、Teams のゲスト アクセスにのみ適用されます。
Microsoft Entra B2B アカウントを持つゲスト ユーザーと外部ユーザーのアクセスを許可するための推奨ポリシーについては、「ゲストおよび外部 B2B アカウントアクセスを許可するためのポリシー」を参照してください。
Teams でのゲスト アクセス
管理者は、ビジネスやorganizationの内部にいるユーザーに対するポリシーに加えて、ゲスト アクセスを有効にして、ユーザーごとに、ビジネス外部のユーザー、またはorganization Teams リソースにアクセスしたり、グループ会話、チャット、会議などの内部ユーザーと対話したりできます。
ゲスト アクセスとその実装方法の詳細については、「 Teams ゲスト アクセス」を参照してください。
Teams の外部アクセス
外部アクセスはゲスト アクセスと混同される場合があるため、これら 2 つの非内部アクセス メカニズムが異なる種類のアクセスであることを明確にすることが重要です。
外部アクセスは、外部ドメイン全体の Teams ユーザーが Teams でユーザーとの会議を検索、通話、チャット、セットアップする方法です。 Teams 管理者は、organization レベルで外部アクセスを構成します。 詳細については、「 Microsoft Teams で外部アクセスを管理する」を参照してください。
外部アクセス ユーザーは、ゲスト アクセスを介して追加された個人よりもアクセスと機能が少なくなります。 たとえば、外部アクセス ユーザーは Teams で内部ユーザーとチャットできますが、チーム チャネル、ファイル、またはその他のリソースにはアクセスできません。
外部アクセスでは B2B ユーザー アカウントMicrosoft Entra使用されないため、条件付きアクセス ポリシーは使用されません。
Teams ポリシー
上記の一般的なポリシーの外部には、さまざまな Teams の機能を管理するために構成できる Teams 固有のポリシーがあります。
Teams とチャネルのポリシー
Teams とチャネルは、Microsoft Teams で一般的に使用される 2 つの要素であり、チームとチャネルを使用するときにユーザーができることと実行できないことを制御するためのポリシーがあります。 グローバル チームを作成できますが、organizationに 5,000 人以下のユーザーがいる場合は、組織のニーズに合わせて、特定の目的に合わせて小規模なチームとチャネルを用意すると便利です。
既定のポリシーを変更するか、カスタム ポリシーを作成することをお勧めします。ポリシーの管理の詳細については、「 Microsoft Teams でのチーム ポリシーの管理」のリンクを参照してください。
メッセージング ポリシー
メッセージング (チャット) は、既定のグローバル ポリシーまたはカスタム ポリシーを使用して管理することもできます。これにより、ユーザーがorganizationに適した方法で相互に通信するのに役立ちます。 この情報は、「 Teams でのメッセージング ポリシーの管理」で確認できます。
ミーティング ポリシー
Teams 会議に関するポリシーを計画して実装しなければ、Teams のディスカッションは完了しません。 会議は Teams の不可欠な要素であり、ユーザーが一度に多くのユーザーに正式に会って発表したり、会議に関連するコンテンツを共有したりできます。 会議に関するorganizationに適切なポリシーを設定することが不可欠です。
詳細については、「 Teams で会議ポリシーを管理する」を参照してください。
アプリのアクセス許可ポリシー
Teams では、チャネルや個人用チャットなど、さまざまな場所でアプリを使用することもできます。 コンテンツが豊富な環境を維持するために、追加および使用できるアプリと場所に関するポリシーを持つことは、セキュリティで保護された環境を維持するために不可欠です。
アプリのアクセス許可ポリシーの詳細については、「Microsoft Teams でアプリのアクセス許可ポリシーを管理する」をチェック。
次の手順
次の条件付きアクセス ポリシーを構成する:
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示