チャネル会話、ファイル コラボレーション、共有アプリを使用して外部コラボレーションを計画する
Microsoft 365 には、組織外のユーザーと共同作業するためのいくつかのオプションが用意されています。
- 1:1 と、組織外のユーザーとの Teams でのグループ チャット
- 組織外のユーザーとの Teams 会議
- 組織外のユーザーと個々のファイルまたはフォルダーを共有する
- チャネル会話、ファイル コラボレーション、共有アプリを使用したチームでのコラボレーション
この記事では、4 番目のオプション、チャネル会話とのグループコラボレーション、ファイル コラボレーション、共有アプリについて説明します。 (すべてのオプションの概要については、「 Microsoft 365 の外部コラボレーション オプションの概要」を参照してください)。
Terms
- Azure AD B2B コラボレーション – ユーザーが組織外のユーザーとファイル、フォルダー、サイト、グループ、およびチームを共有できるようにする機能です。 これらのユーザーは、ゲスト アカウントを使用して、ディレクトリ内の共有リソースにアクセスします。
- Azure AD B2B 直接接続 – ユーザーが組織内のリソースを他の Azure AD 組織のユーザーと共有できるようにする機能です。 これらのユーザーは、自分の職場または学校アカウントを使用して共有リソースにアクセスします。 組織内にゲスト アカウントは作成されません。
- 外部参加者 - 組織外から、ディレクトリ内のゲスト アカウントではなく、自分の ID を使用してリソース (共有チャネルなど) に参加しているユーザー。
- 外部組織 – リソースを共有している別の組織。
- ゲスト – 組織外のユーザーで、ディレクトリ内のゲスト アカウントにサインインして共有リソースにアクセスします。
- ホスト組織 – 共有チャネルなどの共有リソースをホストしている組織。
- 共有チャネル – チーム外のユーザーと共有できる Teams チャネル。 これらのユーザーは、組織内または他の Azure AD 組織からアクセスできます。
- 共有リンク – そのファイルまたはフォルダーを他のユーザーと共有するために使用されるファイルまたはフォルダーへのアクセス許可を持つリンク。 共有対象のユーザーは、組織内外に配置できます。
チームでのコラボレーションのオプション
組織外のユーザーとチームで共同作業する場合、それらのユーザーが共有するリソースにアクセスする方法には 2 つのオプションがあります。
ゲスト共有
ゲスト共有では、Azure AD B2B コラボレーションを使用して、組織外のユーザーとの共有とコラボレーションを可能にし、各ユーザーに対して Azure AD にゲスト アカウントを追加します。 ゲスト アカウントは、次の目的で使用できます。
- Teams、SharePoint サイト、Microsoft 365 グループのゲスト メンバーシップ
- 個々のファイルとフォルダーの共有
チームのゲストには、通常のチーム メンバーと同様の機能があります。
共有チャネルの外部参加者
外部参加者は、独自の Azure AD または Microsoft 365 ID を使用して、組織内の共有リソースにアクセスします。 これは、両方の組織によって構成された組織関係を介して Azure AD B2B 直接接続によって有効になります。 ゲスト アカウントは、この関係では使用されません。
共有チャネルとゲスト共有の外部参加者の主な利点は、組織外のユーザーがユーザー コンテキストを変更することなく Teams のユーザーと共同作業できることです。 ゲスト アカウントを使用する場合、ユーザーは職場または学校アカウントで Teams からサインアウトし、ゲスト アカウントを使用してもう一度サインインする必要があります。 または、プライベート ブラウザー セッションで実行されている Teams の個別のコピーを作成することもできます。 この組織間の切り替えは時間がかかり、特定の組織からサインアウトしている間にユーザーが重要な通信を見逃す可能性があります。
共有チャネルを使用すると、ユーザーは組織にサインインしたままになり、他の組織から共有されているチャネルにアクセスできます。 他の組織の共有チャネルは、組織内のチームとチャネルと共に Teams で利用できます。 組織を切り替える必要はありません。
機能の比較
次の表では、使用するアカウントの種類に応じて使用できるエクスペリエンスについて説明します。
| 機能 | ユーザー (組織) | ゲスト (Azure AD コラボレーション) | 外部参加者 (Azure AD 直接接続) |
|---|---|---|---|
| チーム アクセス | Y | Y | N |
| 共有チャネル アクセス | Y | N | Y |
| ファイル共有リンクを使用したアクセス許可 | Y | Y | N |
| 共有チャネルを使用する | Y | N | Y |
| プライベート チャネルを使用する | Y | Y | N |
| ディレクトリ内のアカウント | Y | Y | N |
| アクセス レビュー | Y | Y | Y |
計画に関する考慮事項
ほとんどの組織では、ゲスト共有と外部参加者との共有チャネルの両方を使用します。
ゲスト共有は、Azure AD と Microsoft 365 (Teams、Microsoft 365 グループ、SharePoint) で既定で有効になっています。 これにより、ユーザーはチームやサイトにゲストを招待し、IT 部門に支援を依頼することなく、ユーザーとファイルを共有できます。
次の場合は、ゲスト共有を使用する必要があります。
- 個々のチャネルではなく、組織外のユーザーをチームに招待する必要がある
- チャネルに含まれていない組織外のユーザーとチャネル内のファイルまたはフォルダーを共有する場合
- 職場または学校アカウントを持たない組織外のユーザーと共同作業を行いたい場合。
Teams では共有チャネルが既定でオンになっていますが、共有チャネルとの外部コラボレーションでは、Azure AD 管理者が組織と共有する他の組織との間でクロステナント アクセスを設定する必要があります。 お互いの組織も、エンド でクロステナント アクセスを設定する必要があります。
他の組織と共有チャネルを使用する予定の場合は、セルフサービス モデルと要求によるモデルのどちらかを選択できます。
- セルフサービス – テナント間アクセスを構成して、他のすべての Azure AD 組織への受信および送信アクセスを許可できます。 または、ユーザーが共有したくない組織の一覧をブロックして、他のすべての組織を使用できるようにすることもできます。 これにより、ユーザーは、ヘルプデスクや IT 部門に問い合わせることなく、組織外のユーザーを招待して共有チャネルに参加させることができます。
- 要求別 – 共有チャネルを許可する個々の組織ごとに、テナント間アクセスを構成できます。 このモデルを選択する場合は、ユーザーが別の組織とのテナント間アクセスを要求するために従うことができる文書化されたビジネス プロセスを作成することが重要です。
共有チャネルでのコンプライアンス
共有チャネルは Microsoft Purview 機能と統合されています。
通信コンプライアンス
管理者は、チャネル内のすべてのユーザーのコンテンツを監視するポリシーを設定できます。 共有チャネルを含むチャネル内のすべてのメッセージ コンテンツには、 通信コンプライアンス ポリシーが適用されます。 共有チャネルは、ホスト組織のポリシーを継承します。
条件付きアクセス
ホスト組織からサポートされている 条件付きアクセス ポリシー を B2B 直接接続ユーザーに適用できます。 (外部組織のポリシーは使用されません)。共有チャネルでは、次の種類の条件付きアクセス ポリシーがサポートされています。
- スコープが [すべてのゲストユーザーと外部ユーザー]、[Office 365 SharePoint Online クラウド アプリ] のポリシー。
- MFA、準拠デバイス、またはハイブリッド Azure AD 参加済みデバイスを必要とするアクセス制御を付与します。
IP ベースのポリシーは、SharePoint ファイル レベルでサポートされます。 そのため、外部参加者は制限された場所から共有チャネルにアクセスできますが、ファイルを開こうとするとブロックされます。
外部 ID の条件付きアクセスの詳細については、「外部 ID の 認証と条件付きアクセス」を参照してください。
データ損失防止 (DLP)
管理者は、共有チャネルを含むすべてのチャネルがポリシーを継承するチームに Microsoft Purview DLP ポリシーを適用できます。 共有チャネルは、ホスト組織のポリシーを継承します。
アイテム保持ポリシー
管理者は、共有チャネルを含むすべてのチャネルが アイテム保持ポリシー を継承するチームにアイテム保持ポリシーを適用できます。 共有チャネルは親チームのポリシーを継承します。
秘密度ラベル
ホスト組織で使用できる秘密度ラベルは、共有チャネル サイト内のドキュメントに適用できる唯一のラベルです。 秘密度ラベルによって暗号化されたファイルは、アクセス許可が付与されていない限り、外部の参加者が開くことができません。 自動ラベル付けは使用されません。
共有チャネルとそれに関連付けられている SharePoint サイトは、親チームからラベルを継承します。
情報バリア
情報バリア ポリシーごとに通信を許可されていないユーザーは、共有チャネルの一部にすることはできません。 情報バリア ポリシーは、ホスト組織のユーザーに対してのみ有効です。 ユーザーが別の組織の共有チャネルの外部参加者である場合、情報バリア ポリシーは適用されません。
電子情報開示
管理者は、チャネル内のすべてのユーザーの検索を実行できます。 共有チャネルを含むすべてのチャネルは検出可能です。 データを追加したユーザーに関係なく、チャネル内のすべてのメッセージ データは、コンプライアンス管理者によって検出できます。
訴訟ホールド
管理者は、チームの一部ではないホスト組織のチャネルのみのメンバーを保留にすることができます。 また、チーム全体を保留にすることもできます。 管理者は、外部参加者を保留にすることはできません。
監査ログ
既存の監査イベントに対して実行されるすべてのアクションは、共有チャネルで監査されます。