この記事では、Microsoft 365 のワークロードについて、Teams、Microsoft 365 グループ、SharePoint、OneDrive の組織外のユーザーとの共有に影響を与える可能性のあるさまざまな設定について説明します。 これらの設定は、Microsoft Entra ID、Microsoft 365、Teams、および SharePoint 管理センターにあります。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Entra ID
管理者ロール: グローバル管理者
Microsoft Entra ID は、Microsoft 365 で使用されるディレクトリ サービスです。 Microsoft Entra 組織関係の設定は、Teams、Microsoft 365 グループ、SharePoint、OneDrive での共有に直接影響します。
注:
これらの設定は、 SharePoint と OneDrive と Microsoft Entra B2B の統合 が構成されている場合にのみ、SharePoint に影響します。 次の表では、この設定が構成されていることを前提としています。
外部コラボレーションの設定
Navigation:Microsoft Entra 管理センター> ID > 外部 ID > 外部コラボレーション設定
![Microsoft Entra の [組織関係の設定] ページのスクリーンショット。](../media/azure-ad-organizational-relationships-settings.png?view=o365-worldwide)
| 設定 | 既定値 | 説明 |
|---|---|---|
| ゲスト ユーザー アクセス | ゲスト ユーザーは、ディレクトリ オブジェクトのプロパティとメンバーシップへのアクセスが制限されています | ゲストが Microsoft Entra ID で持つアクセス許可を決定します。 |
| ゲスト招待の制限 | 組織内のあらゆるユーザーが、ゲストや管理者以外のユーザーを含むゲスト ユーザーを招待できます | ゲスト、メンバー、および管理者がゲストを組織に招待できるかどうかを決定します。 この設定は、Teams や SharePoint などの Microsoft 365 共有エクスペリエンスに影響します。 |
| ユーザー フロー経由でゲストのセルフ サービスのサインアップを有効にする | いいえ | 作成したアプリに誰かがサインアップして新しいゲスト アカウントを作成できるようにするユーザー フローを作成できるかどうかを決定します。 |
| 外部ユーザーの休暇設定 | はい | ゲストが自分を組織から削除できるかどうかを決定します。 |
| 共同作業における制限事項 | 招待を任意のドメインに送信することを許可する | この設定では、共有するドメインの許可またはブロックのリストを指定できます。 許可されたドメインを指定すると、共有の招待をそのドメインにのみ送信できます。 拒否されたドメインが指定されている場合、共有の招待をそれらのドメインに送信することはできません。 この設定は、Teams や SharePoint などの Microsoft 365 共有エクスペリエンスに影響します。 また、SharePoint でドメイン許可リストまたはブロックリストを使用して、 でドメインを許可またはブロックすることもできます。 |
これらの設定は、ユーザーがディレクトリに招待される方法に影響します。 ディレクトリに既に存在するゲストとの共有には影響しません。
テナント間アクセス設定を構成する
Navigation:Microsoft Entra 管理センター> Id > [外部 ID] > [テナント間アクセス設定] > [既定の設定] タブ
既定の設定は、組織固有の設定を持つ組織を除くすべての外部 Microsoft Entra 組織に適用されます。 ゲスト (B2B コラボレーション) と Microsoft Entra B2B 直接接続 ユーザーには個別の設定があります。
特定の組織の設定は、[ 組織の設定 ] タブで構成できます。他のクラウド環境への接続は、[ Microsoft クラウド設定 ] タブで構成できます。
![Microsoft Entra の [テナント間アクセス設定] ページのスクリーンショット。](../media/azure-ad-cross-tenant-default-settings.png?view=o365-worldwide)
受信アクセス設定
受信アクセス設定は、外部の Microsoft Entra 組織のユーザーが組織内のリソースにアクセスできるかどうかを制御します。
| 設定 | 既定値 | 説明 |
|---|---|---|
| B2B コラボレーション - 外部ユーザーとグループ | すべて許可 | 他の Microsoft Entra 組織のユーザーに、ゲストとして組織内のリソースへのアクセス権を付与できるユーザーを決定します。 |
| B2B コラボレーション - アプリケーション | すべて許可 | 組織のゲストにアクセス権を付与できるアプリを決定します。 |
| B2B 直接接続 - 外部ユーザーとグループ | すべてブロック済み | B2B 直接接続を使用して、他の Microsoft Entra 組織のユーザーに組織内のリソースへのアクセスを許可できるかどうかを決定します。 |
| B2B 直接接続 - アプリケーション | すべてブロック済み | 組織内の B2B 直接接続ユーザーにアクセスを許可できるアプリを決定します。 |
| 信頼設定 | 無効 | 条件付きアクセス ポリシーが、それらの組織のユーザーがリソースにアクセスするときに、他の Microsoft Entra 組織からの要求を受け入れるかどうかを決定します。 |
送信アクセス設定
[送信アクセス設定] は、ユーザーが外部組織のリソースにアクセスできるかどうかを制御します。
| 設定 | 既定値 | 説明 |
|---|---|---|
| B2B コラボレーション - 外部ユーザーとグループ | すべて許可 | 他の Microsoft Entra 組織のリソースへのアクセスをゲストとして許可できる組織内のユーザーを決定します。 |
| B2B コラボレーション - アプリケーション | すべて許可 | ユーザーにゲストとしてアクセスを許可できる他の Microsoft Entra 組織のアプリを決定します。 |
| B2B 直接接続 - 外部ユーザーとグループ | すべてブロック済み | B2B 直接接続を介して他の Microsoft Entra 組織のリソースへのアクセスを許可できる組織内のユーザーを決定します。 |
| B2B 直接接続 - アプリケーション | すべてブロック済み | B2B 直接接続を介してユーザーにアクセスを許可できる他の Microsoft Entra 組織のアプリを決定します。 |
テナントの制限
テナント制限設定は、 ユーザーが管理するデバイスでユーザーが使用できる外部アカウントの種類を制御します。
| 設定 | 既定値 | 説明 |
|---|---|---|
| 外部ユーザーとグループ | すべてブロック済み | ユーザーが外部アカウントを使用してネットワークまたはデバイスから外部アプリケーションにアクセスできるかどうかを制御します。 |
| 外部アプリケーション | すべてブロック済み | ユーザーがアクセスできる外部アプリケーションを制御します。 |
Microsoft 365
管理者ロール: グローバル管理者
Microsoft 365 管理センターには、共有および Microsoft 365 グループ用の組織レベル設定があります。
共有
Navigation:Microsoft 365 管理センター>Settings>Org 設定>セキュリティ & プライバシー タブ>共有。
| 設定 | 既定値 | 説明 |
|---|---|---|
| ユーザーが組織に新しいゲストを追加できるようにする | オン |
[はい] に設定すると、Microsoft Entra ID メンバーは Microsoft Entra ID を介してゲストを招待できます。[いいえ] に設定すると、できません。
[はい] に設定すると、Microsoft 365 グループのメンバーは所有者の承認を受けているゲストを招待できます。[いいえ] に設定すると、Microsoft 365 グループのメンバーは所有者の承認を受けているゲストを招待できますが、所有者が承認するにはグローバル管理者でなければなりません。 メンバーは、Microsoft 365 のサイトまたはグループ メンバーではなく、Microsoft Entra ID のメンバー (ゲストではなく) を参照できます。 この設定は、Microsoft Entra ID 外部コラボレーション設定の [ゲスト招待制限 ] 設定を変更します。 |
Microsoft 365 グループ
Navigation:Microsoft 365 管理センター>Settings>Org 設定> Microsoft 365 Groups
| 設定 | 既定値 | 説明 |
|---|---|---|
| 組織の外部のグループ メンバーがグループのコンテンツにアクセスできるようにする | オン | [オン] に設定すると、ゲストはグループのコンテンツにアクセスできます。[オフ] に設定するとアクセスできません。 ゲストが Microsoft 365 グループまたはチームと対話するシナリオでは、この設定を [オン] にする 必要があります。 |
| グループ所有者が組織外のユーザーをグループに追加できるようにする | オン | オンにすると、Microsoft 365 グループまたはチームの所有者は、グループまたはチームに新しいゲストを招待できます。 [オフ] の場合は、できません。 この設定は、ゲストをグループに追加するシナリオでは、[オン] にする必要があります。 |
これらを、組織レベルで設定できます。 グループ レベルでこれらの設定を変更する方法については、「 特定のグループ の設定を作成する」を参照してください。
Teams
他のゲスト設定を使用できるようにするには、Teams ゲスト アクセス スイッチを [オン] にする必要があります。
管理者ロール: Teams サービス管理者
ゲスト アクセス
Navigation:Teams 管理センター>Users>Guest access
| 設定 | 既定値 | 説明 |
|---|---|---|
| ゲスト アクセス | オン | Teams 全体でゲスト アクセスをオンまたはオフにします。 この設定は、一度変更し反映されるのに 24 時間かかることがあります。 |
ゲスト通話
Navigation:Teams 管理センター>Users>Guest access
| 設定 | 既定値 | 説明 |
|---|---|---|
| プライベート通話をする | オン | [オン] の場合、ゲストは Teams でピアツーピアの通話を行うことができます。[オフ] の場合は通話できません。 |
ゲスト会議
Navigation:Teams 管理センター>Users>Guest access
| 設定 | 既定値 | 説明 |
|---|---|---|
| ビデオ会議 | オン | [オン] の場合、ゲストは通話と会議でビデオを使用できます。[オフ] の場合は使用できません。 |
| 画面共有 | 画面全体 | [無効] の場合、ゲストは Teams で画面を共有できません。 [1 つのアプリケーション] に設定すると、ゲストは画面上でアプリケーションを 1 つのみ共有できます。 [画面全体] に設定すると、ゲストはアプリケーションまたは画面全体を共有するよう選択できます。 |
| チャネルでの "今すぐ会議" | オン | オンにすると、ゲストは Teams チャネルで Meet Now 機能を使用できます。[オフ] の場合は実行できません。 |
ゲスト メッセージング
Navigation:Teams 管理センター>Users>Guest access
| 設定 | 既定値 | 説明 |
|---|---|---|
| 送信済みメッセージを編集する | オン | [オン] の場合、ゲストは以前に送信したメッセージを編集できます。[オフ] の場合は編集できません。 |
| 送信済みメッセージを削除する | オン | [オン] の場合、ゲストは以前に送信したメッセージを削除できます。[オフ] の場合は削除できません。 |
| チャットを削除 | オン | オンにすると、ゲストは Teams でチャット会話全体を削除できます。[オフ] の場合は実行できません。 |
| チャット | オン | [オン] の場合、ゲストは Teams でチャット機能を使用できます。[オフ] の場合は使用できません。 |
| 会話での Giphy | オン | [オン] の場合、ゲストは会話で Giphy を使用できます。[オフ] の場合は使用できません。 |
| Giphy コンテンツの評価 | 中 | [すべてのコンテンツを許可] に設定すると、ゲストはコンテンツ評価に関係なく、すべての Giphy をチャットに挿入できるようになります。 [中] に設定すると、ゲストは Giphy をチャットに挿入できますが、成人向けコンテンツの挿入についてはある程度制限されます。 [高] に設定すると、ゲストは Giphy をチャットに挿入できますが、成人向けコンテンツの挿入については制限されます。 |
| 会議でのミーム | オン | [オン] の場合、ゲストは会話でミームを使用できます。[オフ] の場合は使用できません。 |
| 会話でのステッカー | オン | [オン] の場合、ゲストは会話でステッカーを使用できます。[オフ] の場合は使用できません。 |
| メッセージ用のイマーシブ リーダー | オン | オンにすると、ゲストはイマーシブ リーダーでメッセージを表示できます。[オフ] の場合は実行できません。 |
SharePoint と OneDrive (組織レベル)
管理者ロール: SharePoint 管理者
これらの設定は、組織内のすべてのサイトに影響します。 Microsoft 365 グループまたは Teams には直接影響しませんが、ユーザー エクスペリエンスの問題を回避するために、これらの設定を Microsoft 365 グループと Teams の設定に合わせることをお勧めします。 (たとえば、Teams でゲスト共有が許可されているが、SharePoint では許可されていない場合、Teams ファイルは SharePoint に格納されているため、Teams のゲストは [ファイル] タブにアクセスできません)。
SharePoint と OneDrive の共有設定
OneDrive はSharePoint のサイトの階層であるため、組織レベルの共有設定は、他の SharePoint サイトに影響するように OneDrive に直接影響します。
航法: SharePoint 管理センター >Policies>Sharing
| 設定 | 既定値 | 説明 |
|---|---|---|
| SharePoint | すべてのユーザー | SharePoint サイトで許可されている制限が最も少ない共有アクセス許可を指定します。 |
| OneDrive | すべてのユーザー | OneDrive サイトで許可されている制限が最も少ない共有アクセス許可を指定します。 この設定は、SharePoint 設定よりも制限を超えることはできません。 |
SharePoint と OneDrive の詳細な共有設定
航法: SharePoint 管理センター >Policies>Sharing
| 設定 | 既定値 | 説明 |
|---|---|---|
| ドメインごとに外部共有を制限する | オフ | この設定では、共有するドメインの許可またはブロックのリストを指定できます。 許可されたドメインを指定すると、共有の招待をそのドメインにのみ送信できます。 拒否されたドメインが指定されている場合、共有の招待をそれらのドメインに送信することはできません。 この設定は、組織内のすべての SharePoint サイトと OneDrive サイトに影響します。 これをサイト レベルで設定することもできます。 |
| 特定のセキュリティ グループ内のユーザーにのみ、外部との共有を許可する | オフ | SharePoint と OneDrive のゲストと共有できるユーザーを制限する場合は、指定したセキュリティ グループ内のユーザーへの共有を制限することで行うことができます。 これらの設定は、Microsoft 365 グループまたは Teams を介した共有には影響しません。 グループまたはチーム経由で招待されたゲストも、関連サイトにアクセスできます。ただし、ドキュメントとフォルダーの共有は、指定したセキュリティ グループのユーザーのみが行うことができます。 指定したグループごとに、どのユーザーが [すべての ユーザー] リンクと共有できるかを選択できます。 |
| ゲストに所有していないアイテムの共有を許可する | オン | オンにすると、ゲストは自分が所有していないアイテムを他のユーザーやゲストと共有できます。オフの場合は実行できません。 ゲストは常にフル コントロールのあるアイテムを共有できます。 |
| サイトまたは OneDrive へのゲスト アクセスは、この数日後に自動的に期限切れになります | オン | この設定を使用すると、サイトへのゲスト アクセスの有効期限が切れる日数を指定できます。 サイト所有者は、アクセスの更新を管理できます。 これをサイト レベルで設定することもできます。 |
| 認証コードを使用するユーザーに、再認証を要求するまでの日数 | オフ | この設定を使用すると、ユーザーが一定の日数経過後にワンタイム パスコードで認証を再認証することを要求できます。 |
SharePoint と OneDrive のファイルとフォルダーのリンク設定
SharePoint と OneDrive でファイルとフォルダーを共有すると、共有の受信者はファイルまたはフォルダーに直接アクセスできるようになるのではなく、ファイルまたはフォルダーへのアクセス許可のリンクが送信されます。 リンクにはいくつかの種類があり、ユーザーがファイルまたはフォルダーを共有するときに表示される既定のリンクの種類を選択できます。 また、すべてのユーザーのリンクのアクセス許可と有効期限のオプションを設定することもできます。
航法: SharePoint 管理センター >Policies>Sharing
| 設定 | 既定値 | 説明 |
|---|---|---|
| ユーザーが SharePoint と OneDrive でファイルとフォルダーを共有するときに既定で選択されているリンクの種類を選択する | リンクを知っているすべてのユーザー | ユーザーがファイルまたはフォルダーを共有するときに、既定で表示される共有リンクを指定します。 ユーザーは必要に応じて、共有する前にオプションを変更できます。 既定値が [リンクを知っているすべてのユーザー] に設定されており、[すべてのユーザー] の共有が特定のサイトで許可されていない場合は、組織内のユーザーのみがそのサイトの既定値として表示されます。 |
| リンクを共有するために既定で選択されているアクセス許可を選択する | 表示と編集 | ユーザーが [すべてのユーザー] のリンクを作成するときに使用できるファイルのアクセス許可のレベルを指定します。 [表示] が選択されている場合、ユーザーは、表示のアクセス許可のある [すべてのユーザー] ファイルのリンクのみを作成できます。 [表示と編集] が選択されている場合、ユーザーはリンクを作成するときに、[表示] と [表示と編集] のアクセス許可の中から選択できます。 |
| これらのリンクは指定された日数以内に有効期限が切れる | オフ (有効期限なし) | [すべてのユーザー] のリンクが作成されてから期限切れになるまでの日数を指定します。 期限切れのリンクは更新できません。 有効期限を過ぎても共有を継続する必要がある場合、ユーザーは新しいリンクを作成できます。 |
| これらのリンクは、これらのアクセス許可を与えることができます | 表示、編集、およびアップロード | ユーザーが [すべてのユーザー] のリンクを作成するときに使用できるフォルダーのアクセス許可のレベルを指定します。 [表示] が選択されている場合、ユーザーは、表示のアクセス許可のある [すべてのユーザー] フォルダーのリンクのみを作成できます。 [表示、編集、およびアップロード] が選択されている場合、ユーザーはリンクを作成するときに、[表示] と [表示、編集、およびアップロード] のアクセス許可の中から選択できます。 |
SharePoint (サイト レベル)
管理者ロール: SharePoint 管理者
これらの設定は SharePoint の組織全体の設定の対象であるため、組織レベルの設定が変更されると、サイトの有効な共有設定が変更される可能性があります。 ここで設定を選択し、組織レベルがより制限の多い値に設定された場合、このサイトはその制限の多い値で動作します。 たとえば、[すべてのユーザー] を選択した後に、組織レベルの設定を [新規および既存のゲスト] に設定した場合、このサイトでは新規および既存のゲストのみが許可されます。 組織レベルの設定を [すべてのユーザー] に戻すと、このサイトでは [すべてのユーザー] のリンクが再度許可されます。
サイトの共有
SharePoint の各サイトにゲストの共有のアクセス許可を設定できます。 この設定は、サイトの共有と、ファイルとフォルダーの共有の両方に適用されます (サイト共有では、すべての 共有を使用できません。[ すべてのユーザー] を選択した場合、ユーザーは [ すべての ユーザー] リンクを使用してファイルとフォルダーを共有し、サイト自体を新規ゲストと既存のゲストと共有できます)。
サイトに秘密度ラベルが適用されている場合、そのラベルによって外部共有設定が制御される場合があります。 詳細については、「機密ラベルを使用して、Microsoft Teams、Office 365 グループ、SharePoint サイトのコンテンツを保護する」 をご覧ください。
航法:SharePoint 管理センター >アクティブなサイト>サイト > [設定] タブ>[共有設定の追加] を選択します
(チャネル サイトの場合は、[チャネル サイト ] 列で サイト を選択し、サイトを選択します)。
| 設定 | 既定値 | 説明 |
|---|---|---|
| サイトのコンテンツの共有先 | サイトの種類によって異なります (次の表を参照してください) | このサイトに許可されている外部共有の種類を示します。 ここで使用できるオプションは、SharePoint における組織レベルの共有設定の対象です。 |
サイト アクセス、ファイル、フォルダーのリンク設定
リンクの種類とアクセス許可の既定値、ゲスト アクセスの有効期限、および各サイトの [すべての リンク] の有効期限設定を設定できます。 サイト レベルで設定した場合、これらの設定は組織レベルの設定に優先します。 組織レベルで [すべての ユーザー] リンクが無効になっている場合、サイト レベルでは [ すべてのユーザー ] は使用可能なリンクの種類になりません。
航法:SharePoint 管理センター >アクティブなサイト>サイト > [設定] タブ>[共有設定の追加] を選択します
(チャネル サイトの場合は、[チャネル サイト ] 列で サイト を選択し、サイトを選択します)。
| 設定 | 既定値 | 説明 |
|---|---|---|
| ドメイン共有を制限する | オフ | この設定では、共有するドメインの許可またはブロックのリストを指定できます。 許可されたドメインを指定すると、共有の招待をそのドメインにのみ送信できます。 拒否されたドメインが指定されている場合、共有の招待をそれらのドメインに送信することはできません。 この設定を使用して、組織または Microsoft Entra ID レベルで設定されたドメイン制限をオーバーライドすることはできません。 |
| ゲスト アクセスの有効期限 | 組織レベルの設定と同じ | この設定を使用すると、サイトへのゲスト アクセスの有効期限が切れる日数を指定できます。 サイト所有者は、アクセスの更新を管理できます。 |
| 既定の共有リンクの種類 | 組織レベルの設定と同じ | この設定は、このサイトでユーザーに表示される既定の共有リンクを指定するために使用できます。 [組織レベルの設定と同じ] オプションは、組織とサイトの共有設定の組み合わせによって定義されます。 |
| [すべてのユーザー] リンクの有効期限 | 組織レベルの設定と同じ | このサイト内のファイルまたはフォルダーの有効期限が切れる [ すべてのユーザー ] リンクが作成されてからの日数を指定します。 期限切れのリンクは更新できません。 有効期限を過ぎても共有を継続する必要がある場合、ユーザーは新しいリンクを作成できます。 |
| 既定のリンクのアクセス許可 | 組織レベルの設定と同じ | この設定を使用すると、このサイト内のファイルとフォルダー用に作成されたリンクを共有するための既定のアクセス許可 (表示または編集) を指定できます。 |
既定のサイト共有設定
次の表は、各サイトの種類の既定の共有設定を示しています。
| サイトの種類 | 既定の共有設定 |
|---|---|
| クラシック | 組織内のユーザーのみ |
| OneDrive | すべてのユーザー |
| グループに接続されたサイト (チームを含む) | Microsoft 365 グループの設定の、[グループ所有者が組織外のユーザーをグループに追加できるようにする] が [オン] の場合、[新規および既存のゲスト]になり、オフの場合は [既存のゲストのみ] になります。 |
| コミュニケーション | 組織内のユーザーのみ |
| グループのないモダン サイト (#STS3 TeamSite) | 組織内のユーザーのみ |
注:
ルート通信サイト (tenant-name.sharepoint.com) には、すべてのユーザーの既定の共有設定があります。