チャネル会話、ファイル コラボレーション、共有アプリを使用して外部コラボレーションを計画する

Microsoft 365 には、組織外のユーザーと共同作業するためのいくつかのオプションが用意されています。

  • 1:1 と組織外のユーザーと Teams でのグループ チャット
  • 組織外のユーザーとの Teams 会議
  • 組織外のユーザーと個々のファイルまたはフォルダーを共有する
  • チャネル会話、ファイル コラボレーション、共有アプリを使用したチームでのコラボレーション

この記事では、4 番目のオプション、チャネル会話を使用したグループコラボレーション、ファイル コラボレーション、共有アプリについて説明します。 (すべてのオプションの概要については、「 Microsoft 365 の外部コラボレーション オプションの概要」を参照してください)。

Terms

  • Azure AD B2B コラボレーション – ユーザーが組織外のユーザーとファイル、フォルダー、サイト、グループ、チームを共有できるようにする機能。 これらのユーザーは、ゲスト アカウントを使用して、ディレクトリ内の共有リソースにアクセスします。
  • Azure AD B2B 直接接続 – ユーザーが組織内のリソースを他の Azure AD 組織のユーザーと共有できるようにする機能。 これらのユーザーは、自分の職場または学校アカウントを使用して共有リソースにアクセスします。 組織内にゲスト アカウントは作成されません。
  • 外部参加者 - 共有チャネルなどのリソースに参加している組織外のユーザー。ディレクトリ内のゲスト アカウントではなく、独自の ID を使用します。
  • 外部組織 – リソースを共有している別の組織。
  • ゲスト – ディレクトリ内のゲスト アカウントにサインインして共有リソースにアクセスする組織外のユーザー。
  • ホスト組織 – 共有チャネルなどの共有リソースをホストしている組織。
  • 共有チャネル – チーム外のユーザーと共有できる Teams チャネル。 これらのユーザーは、組織内でも、他の Azure AD 組織からでもかまいません。
  • 共有リンク – そのファイルまたはフォルダーを他のユーザーと共有するために使用されるファイルまたはフォルダーへのアクセス許可を持つリンク。 共有するユーザーは、組織の内部または外部に配置できます。

チームでのコラボレーションのオプション

組織外のユーザーとチームで共同作業する場合、それらのユーザーが共有するリソースにアクセスする方法には 2 つのオプションがあります。

ゲスト共有

ゲスト共有では、Azure AD B2B コラボレーションを使用して、個人ごとに Azure AD にゲスト アカウントを追加することで、組織外のユーザーとの共有とコラボレーションが可能になります。 ゲスト アカウントは、次の目的で使用できます。

  • チーム、SharePoint サイト、および Microsoft 365 グループのゲスト メンバーシップ
  • 個々のファイルとフォルダーの共有

チームのゲストは、通常のチーム メンバーと同様の機能を持っています。

共有チャネルの外部参加者

外部参加者は、独自の Azure AD または Microsoft 365 ID を使用して組織内の共有リソースにアクセスします。 これは、両方の組織によって構成された組織関係を介して Azure AD B2B 直接接続によって有効になります。 このリレーションシップでは、ゲスト アカウントは使用されません。

共有チャネルの外部参加者とゲスト共有の主な利点は、組織外のユーザーがユーザー コンテキストを変更しなくても Teams のユーザーと共同作業できることです。 ゲスト アカウントを使用する場合、ユーザーは職場または学校のアカウントで Teams からサインアウトし、ゲスト アカウントを使用してもう一度サインインする必要があります。 または、プライベート ブラウザー セッションで実行されている Teams の別のコピーを作成することもできます。 この組織間の切り替えは時間がかかり、特定の組織からサインアウトしている間にユーザーが重要な通信を見逃す可能性があります。

共有チャネルを使用すると、ユーザーは自分の組織にサインインしたまま、他の組織から共有されているチャネルにアクセスできます。 他の組織の共有チャネルは、組織内のチームとチャネルと共に Teams で使用できます。 組織を切り替える必要はありません。

機能の比較

次の表では、使用するアカウントの種類に応じて使用できるエクスペリエンスについて説明します。

機能 ユーザー (組織) ゲスト (Azure AD コラボレーション) 外部参加者 (Azure AD 直接接続)
チーム アクセス Y Y N
共有チャネル アクセス Y N Y
ファイル共有リンクを使用したアクセス許可 Y Y N
共有チャネルを使用する Y N Y
プライベート チャネルを使用する Y Y N
ディレクトリ内のアカウント Y Y N
アクセス レビュー Y Y Y

計画に関する考慮事項

ほとんどの組織では、外部参加者とゲスト共有チャネルと共有チャネルの両方を使用します。

ゲスト共有は、Azure AD と Microsoft 365 (Teams、Microsoft 365 グループ、SharePoint) で既定で有効になっています。 これにより、ユーザーはチームやサイトにゲストを招待し、IT 部門からサポートを要求することなくファイルを共有できます。

次の場合は、ゲスト共有を使用する必要があります。

  • 個々のチャネルではなく、組織外のユーザーをチームに招待する必要がある
  • チャネル内のファイルまたはフォルダーを、チャネルに含まれていない組織外のユーザーと共有する
  • 職場または学校アカウントを持っていない組織外のユーザーと共同作業する必要があります。

Teams では共有チャネルが既定で有効になっていますが、共有チャネルとの外部コラボレーションでは、Azure AD 管理者が組織と共有する組織間のクロステナント アクセスを設定する必要があります。 互いの組織は、テナント間のアクセスもエンドで設定する必要があります。

他の組織と共有チャネルを使用する予定がある場合は、セルフサービス モデルと要求別モデルの間で選択できます。

  • セルフサービス – テナント間アクセスを構成して、他のすべての Azure AD 組織への受信および送信アクセスを許可できます。 または、ユーザーが共有したくない組織の一覧をブロックし、他のすべての組織を使用できるようにすることもできます。 これにより、ユーザーは、ヘルプデスクや IT 部門に連絡しなくても、組織外のユーザーを共有チャネルに参加するよう招待できます。
  • By-request – 共有チャネルを許可する個々の組織に対して、テナント間アクセスを構成できます。 このモデルを選択する場合は、ユーザーが従って別の組織とのテナント間アクセスを要求できる文書化されたビジネス プロセスが重要です。

共有チャネルでのコンプライアンス

共有チャネルは、Microsoft Purview 機能と統合されています。

通信コンプライアンス

管理者は、チャネル内のすべてのユーザーのコンテンツを監視するポリシーを設定できます。 チャネル内のすべてのメッセージ コンテンツ (共有チャネルを含む) は、 通信コンプライアンス ポリシーでカバーされます。 共有チャネルは、ホスト組織のポリシーを継承します。

条件付きアクセス

ホスト組織からサポートされている 条件付きアクセス ポリシー は、B2B 直接接続ユーザーに適用できます。 (外部組織のポリシーは使用されません)。共有チャネルでは、次の種類の条件付きアクセス ポリシーがサポートされています。

  • すべてのゲストユーザーと外部ユーザー、およびsharePoint Online クラウド アプリOffice 365対象となるポリシー。
  • MFA、準拠デバイス、またはハイブリッド Azure AD 参加済みデバイスを必要とするアクセス制御を付与します。

IP ベースのポリシーは、SharePoint ファイル レベルでサポートされています。 そのため、外部参加者は制限された場所から共有チャネルにアクセスできますが、ファイルを開こうとするとブロックされます。

外部 ID の条件付きアクセスの詳細については、「外部 ID の 認証と条件付きアクセス」を参照してください。

データ損失防止 (DLP)

管理者は、共有チャネルを含むすべてのチャネルがポリシーを継承するチームに Microsoft Purview DLP ポリシー を適用できます。 共有チャネルは、ホスト組織のポリシーを継承します。

アイテム保持ポリシー

管理者は、共有チャネルを含むすべてのチャネルが アイテム保持ポリシー を継承するチームにアイテム保持ポリシーを適用できます。 共有チャネルは、親チームのポリシーを継承します。

秘密度ラベル

ホスト組織で使用できる秘密度ラベルは、共有チャネル サイトのドキュメントに適用できる唯一のラベルです。 秘密度ラベルによって暗号化されたファイルは、アクセス許可が付与されていない限り、外部参加者が開くことはできません。 自動ラベル付けは使用されません。

共有チャネルとそれに関連付けられている SharePoint サイトは、親チームからラベルを継承します。

情報バリア

情報バリア ポリシーごとに通信を許可されていないユーザーは、共有チャネルに参加できません。 情報バリア ポリシーは、ホスト組織内のユーザーにのみ有効です。 ユーザーが別の組織の共有チャネルの外部参加者である場合、情報バリア ポリシーは適用されません。

電子情報開示

管理者は、チャネル内のすべてのユーザーに対して検索を実行できます。 共有チャネルを含むすべてのチャネルは検出可能です。 だれがデータを追加したかに関係なく、チャネル内のすべてのメッセージ データは、コンプライアンス管理者が検出できます。

管理者は、ホスト組織のチャネルのみのメンバーを、チームの一部ではないメンバーを保留にすることができます。 チーム全体を保留にすることもできます。 管理者は、外部参加者を保留にすることはできません。

監査ログ

既存の監査イベントに対して実行されたすべてのアクションは、共有チャネルで監査されます。

Microsoft 365 でのファイル共同作業の概要

Microsoft 365 を使用して SharePoint のファイルの共同作業を計画する