Vivaの機能へのアクセスを制御する
[アーティクル] 2024/09/05
5 人の共同作成者
フィードバック
この記事の内容
機能アクセス管理に使用できる機能
要件
Viva機能のアクセス ポリシーを作成および管理する
Vivaでのアクセス ポリシーのしくみ
追加情報とベスト プラクティス
その他のリソース
さらに 2 個を表示
Vivaのアクセス ポリシーを使用して、Viva アプリ内の特定の機能にアクセスできるユーザーを管理できます。 機能アクセス管理を使用すると、テナント内の特定のグループまたはユーザーに対してVivaの特定の機能を有効または無効にして、ローカルの規制やビジネス要件を満たすようにデプロイを調整できます。
重要
organizationでアクティブな機能に対して複数のアクセス ポリシーを設定できます。 つまり、ユーザーまたはグループが複数のポリシーの影響を受ける可能性があります。 その場合、ユーザーまたはグループに直接割り当てられた最も制限の厳しいポリシーが優先されます。 詳細については、「Vivaでのアクセス ポリシーのしくみ 」を参照してください。
テナントの承認された管理者は、PowerShell からアクセス ポリシーを作成、割り当て、管理できます。 ユーザーがVivaにサインインすると、ポリシー設定が適用され、無効になっていない機能のみが表示されます。
注意
機能アクセス管理を使用して、Viva アプリの機能のサブセットのみを無効にできます。 1 つの機能の使用を制限すると、アプリ内の他の機能の機能に影響する可能性があります。 機能へのアクセスを無効または有効にすることの影響を理解するには、特定の機能に関するアプリドキュメントを必ずチェックしてください。
機能アクセス管理を使用して、次の機能へのアクセスを管理できます。
注意
一部の機能では、ユーザー/グループ ポリシーがサポートされていない場合があります。 さらに、1 つのアプリのポリシーは、テナント全体またはテナント内のユーザーに影響を与える可能性があります。 詳細については、表のリンクを使用して機能のドキュメントを参照してください。
管理者がオプトアウトするオプションをユーザーに提供できるコントロールを持っているのは、一部の機能のみです。
テーブルを展開する
* 機能コントロールまたは機能コントロールは、すべてのテナントでまだ使用できない場合があります。 サポートは近日中に追加される予定です。
注意
アクセス ポリシーをサポートし、テナントで使用できる機能への アクセスのみを制御できます。 たとえば、EDU ベースのテナントがある場合、ポリシーを使用して EDU テナントで使用できない機能にアクセスすることはできません。 特定の地域で使用できない機能にも同じことが当てはまります。 その可用性の詳細については、使用する特定の機能のドキュメントを確認してください。
Copilot in Viva Engage機能の変更が有効になるまでに最大 48 時間かかる場合があります。 その他の機能の変更は通常、24 時間以内に有効になります。
Vivaでアクセス ポリシーを作成する前に、次のものが必要です。
重要
Viva機能アクセス管理は、Microsoft 365 GCC、GCC High、または DOD プランをお持ちのお客様には利用できません。
Viva機能のアクセス ポリシーを作成および管理する
アクセス ポリシーを作成する前に、アクセスを制御する特定の機能の featureID を取得する必要があります。
Get-VivaModuleFeature PowerShell コマンドレットを使用して、特定のViva アプリで使用可能なすべての機能とその関連 ID の一覧を取得します。
PowerShell バージョン 3.2.0 以降Exchange Onlineインストールします。
Install-Module -Name ExchangeOnlineManagement
管理者の資格情報を使用してExchange Onlineに接続します。
Connect-ExchangeOnline
グローバル管理者またはポリシーを作成する特定の機能に必要なロールとして認証を完了します。
Get-VivaModuleFeature コマンドレットを実行して、アクセス ポリシーを使用して管理できる機能を確認します。
たとえば、Viva Insightsでサポートされている機能を確認するには、次のコマンドレットを実行します。
Get-VivaModuleFeature -ModuleId VivaInsights
アクセス ポリシーを作成する機能を見つけて、 その featureID を書き留めます。
featureID が整ったら、Add-VivaModuleFeaturePolicy PowerShell コマンドレットを使用して、その機能のアクセス ポリシーを作成します。
ユーザーとグループには、機能ごとに最大 10 個のポリシーを割り当てることができます。 各ポリシーは、最大 20 人のユーザーまたはグループに割り当てることができます。
-Everyone パラメーターを使用すると、機能ごとに 1 つの追加ポリシーをテナント全体に割り当てることができます。これは、organization全体でその機能のグローバルな既定の状態として機能します。
Add-VivaModuleFeaturePolicy コマンドレットを実行して、新しいアクセス ポリシーを作成します。
注意
機能でオプトアウトのユーザー コントロールがサポートされている場合は、ポリシーの作成時に IsUserControlEnabled パラメーターを設定してください。 そうしないと、ポリシーのユーザー コントロールで機能の既定の状態が使用されます。
たとえば、次を実行して UsersAndGroups というアクセス ポリシーを作成し、Viva Insightsのリフレクション機能へのアクセスを制限します。
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
次の使用例は、Viva Insightsのリフレクション機能のポリシーを追加します。 このポリシーでは、指定したユーザーとグループ メンバーの機能が無効になります。 すべてのユーザーの機能を無効にする場合は、代わりに -Everyone パラメーターを使用します。
アクセス ポリシーを更新して、機能を有効または無効にするかどうかを変更したり、ポリシーの適用先 (すべてのユーザー、ユーザー、またはグループ) を変更したりできます。
たとえば、最後の例に基づいて、ポリシーが適用されるユーザーを更新するには、次のコマンドレットを実行します。
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
ポリシーを作成するときと同様に、ポリシーでユーザーコントロールがサポートされている場合は、ポリシーを変更するときに IsUserControlEnabled パラメーターを含めます。
重要
-UserIds パラメーターと -GroupIds パラメーターまたは - Everyone パラメーターに指定した値は、既存のユーザーまたはグループを上書きします。 既存のユーザーとグループを保持するには、既存のユーザーまたはグループ 、および 追加する追加のユーザーまたはグループを指定する必要があります。 コマンドに既存のユーザーまたはグループを含めないようにすると、これらの特定のユーザーまたはグループがポリシーから効果的に削除されます。 テナント全体のポリシーが機能に既に存在する場合は、特定のユーザーまたはグループのポリシーを更新してテナント全体を含めることはできません。サポートされているテナント全体のポリシーは 1 つだけです。
特定のユーザーまたはグループに対して無効になっている機能をチェックするには、Get-VivaModuleFeatureEnablement コマンドレットを実行します。 このコマンドレットは、ユーザーまたはグループの 有効化状態 と呼ばれるものを返します。
以下に例を示します。
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
アクセス ポリシーを削除するには、 Remove-VivaModuleFeaturePolicy コマンドレットを使用します。
たとえば、リフレクション機能のアクセス ポリシーを削除するには、まずアクセス ポリシーの特定の UID を取得します。 Get-VivaModuleFeaturePolicy を実行することで取得できます。 次に、以下のコマンドレットを実行します。
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
アプリ機能のアクセス ポリシーの作成または使用Viva問題が発生した場合は、ポリシーを設定しようとしている機能が機能テーブル に一覧表示され、テナントで使用できるかどうかを確認します。
PowerShell コマンドレットの実行中に"要求元が要求を完了できませんでした" というエラー メッセージが表示された場合は、特定の IP アドレスをブロックする条件付きアクセス ポリシー セットがあるかどうかをチェックします。 その場合は、そのポリシーから IP アドレスを削除するか、IP アドレスを許可する新しいポリシーを作成します。
What If ツールMicrosoft Entra使用した条件付きアクセスと条件付きアクセスのトラブルシューティングの 詳細を確認します。
ユーザーがサインインしてVivaにアクセスすると、ユーザーに適用されるポリシーがあるかどうかをすぐに確認するチェックが作成されます。
ユーザーがポリシーに直接割り当てられている場合、またはポリシーが割り当てられているMicrosoft Entra グループまたは Microsoft 365 グループのメンバーである場合、ポリシー設定が適用されます。
ユーザーにポリシーが直接割り当てられていない場合、またはポリシーが割り当てられているMicrosoft Entra グループまたは Microsoft 365 グループのメンバーでない場合は、グローバル既定のポリシーが適用されます。 グローバル既定ポリシーがない場合は、機能の既定の有効化状態が適用されます。
ユーザーに直接またはグループとして複数のポリシーが割り当てられている場合は、最も制限の厳しいポリシーが適用されます。 (すべての機能に、ユーザーがオプトアウトできる機能が含まれているわけではないことに注意してください)。優先順位は次のとおりです。
機能が無効になっています。
機能が有効になっています。
機能が有効になっており、ユーザーはオプトアウトできます。
ユーザーが入れ子になったグループにいて、親グループにアクセス ポリシーを適用する場合、入れ子になったグループ内のユーザーはポリシーを受け取ります。 入れ子になったグループと、それらの入れ子になったグループ内のユーザーを に作成するか、Microsoft Entra IDに同期する必要があります。
アクセス ポリシーの変更は、特定の機能に特に明記されていない限り、ユーザーに対して 24 時間以内に有効になります。 Copilot in Viva Engageの変更には最大 48 時間かかる場合があります。
ユーザーをMicrosoft Entra IDまたは Microsoft 365 グループに追加または削除すると、機能アクセスの変更が有効になるまでに 24 時間かかることがあります。
管理者が機能を完全に有効または無効にしてユーザーがオプトアウトするオプションを削除した場合、ユーザーのオプトイン/アウト設定は保持されないため、既定の状態にリセットされます。 管理者がオプションを再度有効にして、ユーザーが機能をオプトアウトできるようにする場合、ユーザーはもう一度機能をオプトアウトすることを選択する必要があります。
変更後 24 時間以内に機能の有効化状態がクイック変更された場合、ユーザーのオプトイン/アウト設定がリセットされない可能性があります。
ポリシーの作成、更新、削除の履歴については、Microsoft Purview のorganizationのViva機能アクセス管理 (VFAM) 変更ログを参照してください。
ポリシーはユーザーごとに評価されます。
"すべてのユーザー" に割り当てることができるポリシーは、機能ごとに 1 つだけです。このポリシーは、organizationのその機能のグローバルな既定の状態として機能します。
ユーザーとグループのアクセスを管理するために、Vivaで新しい機能コントロールが使用できるようになったため、機能アクセス管理Vivaに追加されます。
Microsoft Entra IDのユーザー ID が削除されると、ユーザー データは機能アクセス管理Viva削除されます。 論理的に削除された期間中にユーザー ID が再度有効になっている場合、管理者はポリシーをユーザーに再割り当てする必要があります。
Microsoft Entra IDおよび Microsoft 365 のグループが削除されると、保存されているポリシーから削除されます。 論理的に削除された期間中にグループが再度有効になっている場合、管理者はポリシーをグループに再割り当てする必要があります。
Microsoft Vivaプライバシー
Microsoft Viva セキュリティ
Viva 管理者の役割とタスク