ファイル共有セキュリティの 3 つの階層を使用してTeams を構成する
この記事の一部の機能にはMicrosoft Syntexが必要 - SharePoint Advanced Management
このシリーズの記事では、セキュリティとコラボレーションの容易さのバランスを取るファイル保護のために、Microsoft Teams のチームとその関連する SharePoint サイトを構成するための推奨事項を提供します。
この記事では、4 種類の構成を定義しています。最初の構成は公開チームで、最も開放的な共有ポリシーが与えられます。 追加の構成はいずれも、保護において意味のある強化となりますが、Teams 内に保存されているファイルにアクセスし、共同作業を行う能力がチーム メンバーの一部の関係者に限定されます。
この記事で示されている構成は、データ、ID、デバイスを保護するための 3 つの層に関する Microsoft の推奨事項と調和しています。
基準の保護
機密の保護
高機密の保護
コンプライアンス要件を満たす Teams 会議環境の作成については、「 3 つのレベルの保護を使用して Teams 会議を構成する」を参照してください。
3 層の概要
次の表は、各層の構成の要約を示しています。 この構成を出発点として利用し、組織のニーズに合わせて構成を調整してください。 すべての層を必要としない場合があります。
| ベースライン (パブリック) | ベースライン (プライベート) | 機密 | 高機密 | |
|---|---|---|---|---|
| プライベート チームまたはパブリック チーム | パブリック | プライベート | プライベート | プライベート |
| 誰にアクセス権が与えられるか | B2B ゲストを含む、organizationの全員。 | チームのメンバーのみ。 他のユーザーが関連するサイトに対するアクセスを要求できる。 | チームのメンバーのみ。 | チームのメンバーのみ。 |
| プライベート チャネル | 所有者とメンバーがプライベート チャネルを作成できる | 所有者とメンバーがプライベート チャネルを作成できる | 所有者のみがプライベート チャネルを作成できる | 所有者のみがプライベート チャネルを作成できる |
| サイトレベルのゲスト アクセス | 新規および既存のゲスト (既定値)。 | 新規および既存のゲスト (既定値)。 | チームのニーズに応じて、新規および既存のゲストまたは組織内のユーザーのみ。 | チームのニーズに応じて、新規および既存のゲストまたは組織内のユーザーのみ。 |
| サイト レベルの条件付きアクセス | デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可する (既定値)。 | デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可する (既定値)。 | 制限付きの、Web のみのアクセスを許可する。 | カスタム条件付きアクセス ポリシー |
| 既定の共有リンクの種類 | 組織内のユーザーのみ | 組織内のユーザーのみ | 特定のユーザー | 既存のアクセス権をもつユーザー |
| 秘密度ラベル | なし | なし | チームを分類し、ゲスト共有および非管理対象デバイス アクセスを制御するために使用される秘密度ラベル。 | チームの分類、ゲスト共有の制御、条件付きアクセス ポリシーの指定に使用される秘密度ラベル。 既定のファイル ラベルは、ファイルを暗号化するために使用されます。 |
| サイト共有設定 | サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できます。 | サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できます。 | サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できます。 | N/A (サイト レベルの制限付きアクセス制御ポリシーによって制御されます)。 |
| サイト レベルの制限付きアクセス制御ポリシー | なし | なし | なし | チーム メンバーのみ |
ベースライン保護には、パブリック チームとプライベート チームが含まれます。 パブリック チームは、組織内のだれでも検出およびアクセスできます。 プライベート チームは、チームのメンバーのみが検出とアクセスを行うことができます。 これらの構成はいずれも、関連付けられている SharePoint サイトの共有をチームの所有者に制限し、アクセス許可の管理に役立ちます。
機密保護および高機密保護に対するチームは、プライベート チームであり、関連するサイトの共有およびアクセス要求が制限されており、ゲスト共有、デバイス アクセス、コンテンツの暗号化に関するポリシーを設定するために、秘密度ラベルが使用されます。
秘密度ラベル
機密層および高機密層は、秘密度ラベルを使用して、チームとそのファイルをセキュリティで保護します。 これらのレベルを実装するには、秘密度ラベルを有効にして、Microsoft Teams、Microsoft 365 グループ、および SharePoint サイトのコンテンツを保護する必要があります。
ベースラインレベルでは秘密度ラベルは必要ありませんが、"一般的な" ラベルを作成し、すべてのチームにラベルを付ける必要があることを検討してください。 これにより、ユーザーがチームを作成するときに、機密性について意識的な選択を行うことができます。 機密性の高いレベルまたは機密性の高いレベルをデプロイする予定の場合は、ベースライン チームや機密性の低いファイルに使用できる "一般的な" ラベルを作成することをお勧めします。 機密性の高いレベルでは、ドキュメント ライブラリの既定の秘密度ラベルも指定して、Office ファイルやその他の互換性のあるファイルがアップロードされたときに自動的にそのラベルが適用されるようにします。
秘密度ラベルを初めて使用する場合は、最初に「秘密度ラベルの使用を開始する」をお読みください。
組織で既に秘密度レベルを展開している場合は、機密層や高機密層で使用するラベルがラベル戦略全体にどのように適合しているかを検討してください。
SharePoint サイトを共有する
各チームには、ドキュメントが保存されている、関連付けられている SharePoint サイトがあります。 (これは、チーム チャネルの [ファイル] タブにあります。) SharePoint サイトは、独自のアクセス許可管理を保持します。ただし、チームのアクセス許可にリンクされています。 チームの所有者は、サイトの所有者として含まれ、チーム メンバーは関連付けられたサイトのサイト メンバーとして含まれます。
この結果、アクセス許可では次の操作が許可されます。
- チームの所有者がサイトを管理し、サイト コンテンツに対してフル コントロールを持つこと。
- チーム メンバーがサイト上でファイルを作成および編集すること。
既定では、チームの所有者とメンバーは、チームにチーム外のユーザーを実際に追加することなく、サイト自体を共有できます。 ユーザー管理が複雑になり、チームの所有者が認識せずにチーム ファイルにアクセスできないチーム メンバーでないユーザーにつながる可能性があるため、これに対してお勧めします。 これを回避するために、保護の基準レベルから開始して、サイトを直接共有できるのが所有者のみにすることをお勧めします。
チームには読み取り専用のアクセス許可オプションはありませんが、SharePoint サイトではアクセス許可が付与されます。 チーム ファイルを表示できる必要があるが編集できない利害関係者またはパートナー グループがある場合は、表示アクセス許可を持つ SharePoint サイトに直接追加することを検討してください。
機密性の高いレベルでは、サイトへのアクセスをチームのメンバーのみに制限します。 この制限により、チーム外のユーザーとファイルを共有することもできなくなります。
ファイルとフォルダーを共有する
既定では、チームの所有者とメンバーの両方は、チーム外のユーザーとファイルおよびフォルダーを共有できます。 これには、ゲスト共有を許可する場合、organization外のユーザーが含まれる場合があります。 すべての 3 つの層で、偶発的な過剰共有を防ぐために、既定の共有リンクの種類を更新します。 前述のように、機密性の高いレベルでは、ファイル アクセスはチーム メンバーのみに制限されます。
組織外のユーザーとの共有
組織外のユーザーと Teams のコンテンツを共有する必要がある場合は、次の 2 つのオプションがあります。
- ゲスト共有 - ゲスト共有では、Microsoft Entra B2B コラボレーションを使用します。これにより、ユーザーはファイル、フォルダー、サイト、グループ、およびチームをorganization外のユーザーと共有できます。 これらのユーザーは、ゲスト アカウントを使用して、ディレクトリ内の共有リソースにアクセスします。
- 共有チャネル - 共有チャネルでは、Microsoft Entra B2B 直接接続を使用します。これにより、ユーザーはorganization内のリソースを他のMicrosoft Entra組織のユーザーと共有できます。 これらのユーザーは、自分の職場または学校アカウントを使用して、Teams 内の共有チャネルにアクセスします。 組織内にゲスト アカウントは作成されません。
状況に応じて、ゲスト共有と共有チャネルの両方が役立ちます。 それぞれの詳細、および特定のシナリオでどちらを使用するかを決める方法については、「外部コラボレーションを計画する」を参照してください。
ゲスト共有を使用する予定の場合は、共有と管理のエクスペリエンスを最大限に高めるために、SharePoint と OneDrive と Microsoft Entra B2B の統合を構成することをお勧めします。
機密ラベルを使用して、機密性の高い機密性の高いレベルで必要に応じて Teams ゲスト共有を禁止できます。 共有チャネルは既定でオンになっていますが、共同作業を行う組織ごとに組織間の関係を設定する必要があります。 詳細については、「チャネルで外部の参加者と共同作業する」を参照してください。
機密性の高いレベルでは、既定のライブラリ秘密度ラベルを構成して、適用先のファイルを暗号化します。 ゲストがこれらのファイルにアクセスできるようにする必要がある場合は、ラベルを作成するときにアクセス許可を付与する必要があります。 共有チャネルの外部参加者に秘密度ラベルに対するアクセス許可を与えることはできません。また、秘密度ラベルで暗号化されたコンテンツにアクセスすることもできません。
組織外のユーザーと共同作業する必要がある場合は、基準層および機密層または高機密層に対するゲスト共有を有効のままにしておくことを強くお勧めします。 Microsoft 365 のゲスト共有機能を利用すると、メールメッセージの添付ファイルとしてファイルを送信する場合より、より安全で管理可能な共有を行うことができます。 また、ユーザーが管理されていないコンシューマー製品を使用して合法的な外部コラボレーターと共有を行うシャドウ IT のリスクを低減します。
Microsoft Entra ID を使用する他の組織と定期的に共同作業を行う場合は、共有チャネルが適している可能性があります。 共有チャネルは、他のorganizationの Teams クライアントにシームレスに表示され、外部の参加者は、ゲスト アカウントを使用して個別にログインするのではなく、organizationに通常のユーザー アカウントを使用できます。
組織に対して安全で生産性の高いゲスト共有環境を作成するには、次の参考資料をご覧ください。
- 認証されていないユーザーとファイルおよびフォルダーを共有するためのベスト プラクティス
- 組織外のユーザーと共有する場合、ファイルが偶発的に公開されることを制限する
- セキュリティで保護されたゲスト共有環境を作成する
条件付きアクセス ポリシー
Microsoft Entra条件付きアクセスには、場所、リスク、デバイスコンプライアンス、その他の要因に基づく制限など、ユーザーが Microsoft 365 にアクセスする方法を決定するための多くのオプションが用意されています。 条件付きアクセスとは? を読み、組織にとって、どのような追加ポリシーが適切であるかを検討することをお勧めします。
機密性の高い、機密性の高いレベルでは、秘密度ラベルを使用して SharePoint コンテンツへのアクセスを制限します。
機密性の高いレベルの場合は、アンマネージド デバイスの Web 専用へのアクセスを制限します。 (ゲストには、organizationによって管理されるデバイスがないことがよくあります。いずれかのレベルのゲストを許可する場合は、チームやサイトへのアクセスに使用するデバイスの種類を検討し、それに応じて管理されていないデバイス ポリシーを設定します)。
機密性の高いレベルでは、秘密度ラベルMicrosoft Entra認証コンテキストを使用して、ユーザーが SharePoint サイトにアクセスしたときにカスタム条件付きアクセス ポリシーをトリガーし、チームに関連付けます。
Teams 関連サービス間の条件付きアクセス
秘密度ラベルの条件付きアクセス設定は、SharePoint アクセスにのみ影響します。 SharePoint 以外の条件付きアクセスを拡張する場合は、一般的な条件付きアクセス ポリシーを使用できます。代わりに、準拠しているデバイス、Microsoft Entraハイブリッド参加済みデバイス、または多要素認証をすべてのユーザーに要求します。 Microsoft 365 サービス専用にこのポリシーを構成するには、クラウド アプリまたは操作で Office 365 クラウド アプリを選択します。
すべての Microsoft 365 サービスに関連するポリシーを使用すれば、セキュリティが向上し、ユーザー環境を改善することができるようになります。 たとえば、SharePoint だけで管理対象ではないデバイスへのアクセスをブロックすると、ユーザーは管理対象ではないデバイスを使用してチーム内のチャットにアクセスできますが、[ファイル] タブにアクセスしようとするとアクセスできなくなります。Office 365 クラウド アプリを使用すると、サービスの依存関係 に関する問題を回避できます。
次の手順
保護の基準レベルを構成することから開始します。 必要に応じて、 機密性の高い保護 と 機密性の高い保護 を追加することもできます。
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示