Microsoft 365 グループ、Teams、および SharePoint でのアクセスの管理
ユーザーがグループ、チーム、および SharePoint のリソースにアクセスする方法を管理できるコントロールは多数あります。 これらのオプションを確認し、ビジネス ニーズに対応する方法、データの機密性、ユーザーが共同作業を行う必要があるユーザーの範囲を検討します。
次の表に、Microsoft 365 で使用できるアクセス制御のクイック リファレンスを示します。 詳細については、次のセクションで説明します。
メンバーシップ
部署などの条件に基づいて、グループまたはチームのメンバーシップを動的に管理できます。 この場合、メンバーと所有者はチームにユーザーを招待できません。 動的グループは、Microsoft Entra ID で定義したメタデータを使用して、グループのメンバーを制御します。 メタデータが正しくないと、ユーザーがグループから除外されたり、誤ったユーザーが追加されたりする可能性があり、使用しているメタデータが完全かつ最新であることを確認してください。
SharePoint サイトでは、グループまたはチーム メンバーシップとは別に、所有者、メンバー、および訪問者を追加できます。 要件に応じて、サイトにユーザーを招待できるユーザーを制限できます。 また、特定のサイト内の情報の機密性によっては、ファイルとフォルダーを共有できるユーザーを制限することもできます。 これらの制限は、チーム、グループ、またはサイト所有者によって構成されます。
条件付きアクセス
Microsoft 365 では、organization内外のユーザーに多要素認証を要求できます。 ユーザーが認証の 2 番目の要素を求められる状況には、多くのオプションがあります。 organizationに多要素認証をデプロイすることを強くお勧めします。
一部のグループやチームに機密情報がある場合は、グループまたはチームの秘密度ラベルに基づいてデバイス管理ポリシーを適用できます。 アンマネージド デバイスからのアクセスを完全にブロックすることも、制限された Web のみのアクセスを許可することもできます。
SharePoint では、指定したネットワークの場所からサイトへのアクセスを制限できます。
追加情報:
ゲスト アクセス
ゲストは、メール アドレスのドメインに基づいて制限できます。 SharePoint には、organization全体およびサイト固有のドメイン制限設定が用意されています。 グループと Teams では、ドメイン許可リストまたはブロックリストがMicrosoft Entra ID で使用されます。 不要な共有を回避し、一貫性のあるユーザー エクスペリエンスを確保するために、両方の設定を必ず構成してください。
Microsoft 365 では、 すべての 共有リンクを使用して、ファイルとフォルダーを匿名で共有できます。 すべての リンクを転送でき、リンクを持つすべてのユーザーが共有アイテムにアクセスできます。 データの機密性に応じて、すべてのリンクを完全にオフにする、リンクアクセス許可を読み取り専用に制限する、有効期限を設定するなど、 すべての リンクの使用方法を管理することを検討してください。
ファイルまたはフォルダーを共有する場合、ユーザーは複数のリンクの種類から選択できます。 誤って不適切な共有が発生するリスクを減らすために、ユーザーが共有するときに表示される既定のリンクの種類を変更できます。 たとえば、匿名アクセスを許可する [すべてのユーザー] リンクの既定値を organization リンク内のPeopleに変更すると、機密情報の不要な外部共有のリスクを軽減できます。
organizationにゲストと共有する必要がある機密データがあるが、不適切な共有が心配な場合は、ファイルとフォルダーの外部共有を指定されたセキュリティ グループのメンバーに制限できます。 このようにして、外部での共有を特定のユーザー グループに制限したり、セキュリティ グループに追加する前に適切な外部共有に関するトレーニングをユーザーに要求したりできます。
グループと Teams には、ゲスト アクセスを許可または拒否するorganizationレベルの設定があります。 Microsoft PowerShell を使用して特定のチームまたはグループへのゲスト アクセスを制限できますが、秘密度ラベルを使用してこれを行うことをお勧めします。 秘密度ラベルを使用すると、適用されたラベルに基づいてゲスト アクセスを自動的に許可または拒否できます。
グループやチームにゲストを頻繁に招待する環境では、定期的にスケジュールされたゲスト アクセス レビューを設定することを検討してください。 所有者は、グループやチームのゲストを確認し、アクセスを承認または拒否するように求められます。
Microsoft 365 では、さまざまな方法で情報を共有できます。 機密情報があり、共有方法を制限する場合は、共有を制限するためのオプションを確認します。
追加情報:
ユーザーの管理
グループとチームがorganizationで進化するにつれて、チームとグループのメンバーシップを定期的に確認することをお勧めします。 これは、メンバーシップが変更されているチームやグループ、機密情報を含むチームやグループ、ゲストを含むグループに特に役立つ場合があります。 次のチームとグループのアクセス レビューを設定することを検討してください。
多くの組織は、共同作業を深める他の組織や主要ベンダーとビジネス パートナーシップを結びます。 これらのシナリオでは、ユーザーの管理とリソースへのアクセスを管理するのは困難な場合があります。 ユーザー管理タスクの一部を自動化し、一部をパートナー organizationに移行することを検討してください。
Teams のプライベート チャネルを使用すると、チーム メンバーのサブセット間でスコープ付きの会話やファイル共有を行うことができます。 特定のビジネス ニーズに応じて、この機能を許可またはブロックすることができます。
共有チャネルを使用すると、チーム外またはorganization外にいるユーザーを招待できます。 特定のビジネス ニーズと外部共有ポリシーに応じて、この機能を許可またはブロックすることができます。
OneDrive を使用すると、ユーザーが作業しているコンテンツを簡単に保存して共有できます。 ビジネス ニーズに応じて、このコンテンツへのアクセスを、社内の正社員やその他のグループに制限することができます。 その場合は、OneDrive コンテンツへのアクセスをセキュリティ グループのメンバーに制限できます。
一部の機密性の高いチームまたはサイトでは、チームまたはサイト コンテンツへのアクセスをチームのメンバーまたはセキュリティ グループのメンバーに制限することができます。
追加情報:
情報分類
秘密度ラベルを使用して、グループとチームのゲスト アクセス、グループとチームのプライバシー、および管理されていないデバイスによるアクセスを管理できます。 ユーザーがラベルを適用すると、これらの設定はラベル設定で指定されたとおりに自動的に構成されます。
機密情報の種類の検出やトレーニング可能な分類子とのパターン マッチングなど、指定した条件に基づいてファイルと電子メールに秘密度ラベルを自動的に適用するように Microsoft 365 を構成できます。
秘密度ラベルを使用してファイルを暗号化し、暗号化を解除して読み取るアクセス許可を持つファイルのみを許可できます。
追加情報:
ユーザーのセグメント化
情報バリアを使用すると、データとユーザーをセグメント化して、グループ間の望ましくない通信とコラボレーションを制限し、organizationに対する関心の競合を回避できます。 情報バリアを使用すると、organization内のグループ間でファイルコラボレーション、チャット、通話、会議の招待状を許可または禁止するポリシーを作成できます。
データ所在地
Microsoft 365 Multi-Geo を使用すると、データ所在地の要件を満たすために選択した地域の場所に保存データをプロビジョニングして格納できます。 複数地域環境では、Microsoft 365 テナントは、中央の場所 (Microsoft 365 サブスクリプションが最初にプロビジョニングされた場所) と、データを格納できる 1 つ以上のサテライトの場所で構成されます。