IT 管理者 - Microsoft ID を使用して外部会議を管理し、人や組織とチャットする

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

Teams の 外部アクセス 機能を使用すると、組織内のユーザーが、ID プロバイダーとして Microsoft を使用している組織外のユーザーとチャットして会うことができます。 外部アクセスは、次の方法で構成できます。

  • その他の Microsoft 365 組織 (チャットと会議)
  • 組織で管理されていない Teams ユーザー ( Microsoft アカウントを持つユーザー) (チャットのみ)
  • Skype ユーザー (チャットのみ)

組織内のユーザーは、組織外のユーザーからの受信チャットを承諾またはブロックできます。 詳細については、「 チャットを送信する組織外のユーザーを承諾またはブロックする」を参照してください。

組織外のユーザーは、チーム、サイト、またはその他の Microsoft 365 リソースにアクセスできません。 チームとチャネルにアクセスできるようにする場合は、「チーム 内のゲストと共同作業 する」と「 共有チャネルの外部参加者と共同作業する」を参照してください。

注意

ユーザーは、組織外のユーザーと会議やチャットをホストするときにアプリを追加できます。 また、外部ユーザーが外部でホストされている会議やチャットに参加するときに共有されるアプリを使用することもできます。 ホストしているユーザーの組織のデータ ポリシーと、そのユーザーの組織が共有するサードパーティ アプリのデータ共有の慣行が適用されます。 組織外のユーザーによるアプリの使用について詳しくは、こちらをご覧ください

Teams には、組織外のユーザーとの会議に影響する他の設定 (ゲスト アクセスや匿名アクセスなど) があります。 詳細については、「 Microsoft Teamsの外部参加者との会議の計画 」を参照してください。

会議ロビーでは、組織外のユーザーが会議に参加する方法を制御できます。 詳細については、「 Microsoft Teamsで会議ロビーをバイパスできるユーザーを制御 する」および「 機密性の高い会議用にMicrosoft Teams会議ロビーを構成する」を参照してください。

外部アクセスの組織の設定とユーザー ポリシー

各外部アクセス オプションには、組織の設定とユーザー ポリシーの両方があります。 組織の設定は、組織全体に適用されます。 ユーザー ポリシーは、組織レベルで構成したオプションを使用できるユーザーを決定します。

組織の設定を構成して、許可する外部会議とチャットの種類を指定します。 次に、これらの機能にアクセスする必要があるユーザーのユーザー ポリシーを構成します。 組織の設定とユーザー ポリシーの両方が既定でオンになっています。

ユーザーが外部アクセスを使用するには、組織の設定とユーザー ポリシーの両方で許可する必要があります。

この記事のタブの手順を使用して、組織の設定とユーザー ポリシーを構成します。

このセクションでは、次の構成を行うことができます。

PowerShell を使用してこれらの設定を構成することもできます

信頼できる Microsoft 365 組織を指定する

会議や他の Microsoft 365 組織とのチャットでは、信頼するドメインを指定できます。 既定では、すべての外部ドメインが許可されます。 組織が外部会議やチャットに信頼する組織を定義するために、特定のドメインを許可またはブロックできます。

外部ドメインのユーザーとチャットして会うためには、信頼する組織も組織を信頼し、そのユーザーが外部アクセスを有効にする必要があります。 そうでない場合、組織内のユーザーとチャットすることはできず、組織がホストする会議に参加すると匿名と見なされます。 他の Microsoft 365 組織との会議について詳しくは、こちらをご覧ください

許可するドメインまたはブロックするドメインを指定できます。 ブロックされたドメインを指定すると、他のすべてのドメインが許可されます。許可されるドメインを指定すると、他のすべてのドメインがブロックされます。 信頼された組織を構成するシナリオは 4 つあります。

  • すべての外部ドメインを許可する - Teams の既定の設定であり、組織内のユーザーは、任意のドメイン内の組織の外部のユーザーと会議を見つけ、通話、チャット、セットアップできます。

    このシナリオでは、他の組織も外部アクセスを有効にしている限り、ユーザーは Teams または Skype for Business を実行しているすべての外部ドメインと通信できます。

  • 特定の外部ドメインのみを許可する - 許可 リストにドメインを追加することで、許可されるドメインのみに外部アクセスを制限します。 許可されるドメインの一覧を設定すると、他のすべてのドメインがブロックされます。

  • 特定のドメインを禁止する - [禁止] リストにドメインを追加すると、禁止したもの以外のすべての外部ドメインと通信することができます。 ブロックされたドメインの一覧を設定すると、他のすべてのドメインが許可されます。

  • すべての外部ドメインをブロックする - 組織内のユーザーが、任意のドメイン内の組織の外部のユーザーと会議を検索、呼び出し、チャット、セットアップできないようにします。

注意

匿名アクセスが許可されている場合でも、ブロックされたドメインのユーザーは匿名で会議に参加できます。 詳細については、「 Teams 会議への匿名参加者アクセスの管理」を参照してください。

外部ドメイン設定のスクリーンショット。

特定のドメインを許可するには

  1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。

  2. [ユーザーがアクセスできるドメインの選択] で、[特定の外部ドメインのみを許可する] を選択します。

  3. [ドメインを許可] を選択します。

  4. [ドメイン] ボックスに、許可するドメインを入力し、[完了] をクリックします。

  5. 別のドメインを許可する場合は、[ドメインの追加] をクリックします。

  6. [保存] をクリックします。

特定のドメインをブロックするには

  1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。

  2. [ユーザーがアクセスできるドメインの選択] で、[特定の外部ドメインのみをブロックする] を選択します。

  3. [ドメインのブロック] を選択します。

  4. [ドメイン] ボックスに、許可するドメインを入力し、[完了] をクリックします。

  5. 別のドメインをブロックする場合は、[ドメインの追加] をクリックします。

  6. [保存] をクリックします。

既定では、ドメインをブロックすると、サブドメインはブロックされません。 たとえば、contoso.com をブロックした場合、marketing.contoso.com はブロックされません。 すべてのサブドメインをブロックする場合は、 set-CsTenantFederationConfiguration PowerShell コマンドレットを -BlockAllSubdomains パラメーターと共に使用できます。 次に例を示します。

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

Teams 試用版専用テナントとのフェデレーションをブロックする

Teams の試用版のみのテナントとのフェデレーションをブロックするために、新しい管理者コントロールが導入されています。 現在、試用版テナントは、請求されるまでの約 30 日間、Teams の完全な機能セットにアクセスできます。 ただし、この制御は、悪意のあるアクターによって悪用され、Teams ユーザーに対するフィッシング攻撃や悪用攻撃を開始する可能性があります。 お客様のセキュリティで保護された既定の考え方を採用するために、すべてのテナントに対して既定で試用版テナントのフェデレーションを無効にし、テナントが任意の試用版テナントとフェデレーションする必要がある場合は明示的なテナント アクションを必要とします。

この変更は、2024 年 6 月 17 日からグローバルにロールアウトされ、2024 年 6 月 30 日までに完了する予定です。 テナントが適用される前に、既定の設定を確認して更新する期間は 30 日間です。 アクションが実行されない場合は、この時刻以降に既定値 [ブロック] が適用されます。

ブロックフェデレーションが組織に与える影響

Teams PowerShell では、[許可] または [ブロック] の値を使用して、新しい [テナントフェデレーション] 設定 (-ExternalAccessWithTrialTenants) がサポートされます

[ブロック] に設定すると、試用版ライセンスのみを含む Teams サブスクリプションのユーザーに対するすべての外部アクセスがブロックされます。 つまり、これらの試用版のみのテナントのユーザーは、チャット、Teams 通話、会議 (ユーザーの認証済み ID を使用) を介してユーザーを検索して連絡することはできず、ユーザーはこれらの試用版専用テナントのユーザーにアクセスできなくなります。

この設定が [ブロック] に設定されている場合、試用版のみのテナントのユーザーも既存のチャットから削除されます。

詳細情報
  • 試用版テナントは、試用版サブスクリプション (購入したシート数 0) のみを持つ Teams サービス プランを持つテナントとして定義されます。
  • 共有チャネルと匿名会議の参加は、この設定の影響を受けることはありません。
  • この機能では、同じクラウド外部通信に対してのみテナント管理コントロールがサポートされます。 クロスクラウドと Skype for Business Server のオンプレミス展開の場合、試用版テナントとの外部通信は既定で無効になり、管理者設定によってオーバーライドするオプションはありません。
  • テナントが既定で外部アクセスを無効にしていて、代わりに特定のドメインの許可リストを使用している場合、評価版テナントは組織の許可リストに含まれている場合でもブロックされます。
準備に必要な操作
  • テナント管理者は、最新の PowerShell パッケージ (6.2.2) をインストールし、 Set-CsTenantFederationConfiguration コマンドを使用して、試用版テナントとのフェデレーションに必要な値を設定する必要があります。
    • 最新の PowerShell パッケージをダウンロードまたはアップグレードする: PowerShell ギャラリー |MicrosoftTeams 6.2.0
    • 試用版のみのテナントとの外部通信を許可するには、次のコマンドを使用します。 Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"
    • 試用版のみのテナントとの外部通信をブロックするには、次のコマンドを使用します。 Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

Important

ほとんどの試用版テナントの外部アクセスを制限しても、フェデレーションする必要がある正当な試用版テナントをいくつか許可する場合は、それらの特定のアカウントのライセンスを購入する必要があります。

診断ツール

管理者は、次の診断ツールを使用して、Teams ユーザーが信頼できる組織内の Teams ユーザーと通信できるかどうかを検証できます。

  1. 以下の [テストの実行 ] を選択すると、Microsoft 365 管理センターで診断が設定されます。

    テストの実行: Teams 信頼された組織

  2. [診断の実行] ウィンドウで、[セッション開始プロトコル (SIP) アドレス][フェデレーション テナントのドメイン名] を入力してから、[テストの実行] を選択します。

  3. テストでは、外部の Teams ユーザーとの通信を妨げている設定またはポリシー構成に対処するための最適な次の手順が返されます。

Skype for Business Online

チャットと通話をユーザーの Skype for Business クライアントに到着させる場合は、TeamsOnly 以外のモードにユーザーを構成します。 詳細については、「 Microsoft Teamsと Skype for Business の共存と相互運用性について」を参照してください。

組織で管理されていない外部 Teams ユーザーとのチャットと会議を管理する

外部の管理されていない Teams ユーザー (Microsoft Teams (無料) など、組織によって管理されていないユーザー) とのチャットを有効または無効にすることができます。 管理されていない Teams ユーザーとのチャットを許可する場合は、ユーザーと通信する方法をさらに制御できます。

  • 管理されていない Teams ユーザーがユーザーとの通信を開始できるかどうかを制御できます。
  • ユーザーが通信できる外部ユーザー プロファイルの一覧を作成できます。
  • 必要に応じて、外部ユーザー プロファイルの一覧への通信を制限できます。

注意

外部の管理されていない Teams ユーザーとのチャットと会議は、GCC、GCC High、DOD のデプロイ、またはプライベート クラウド環境では使用できません。

管理されていない Teams アカウントでチャットや会議を許可するには:

  1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。

  2. [組織内のユーザーは、組織が管理していないアカウントを持つ Teams ユーザーと通信できる] 設定をオンにします。

  3. 外部の管理されていない Teams ユーザーが会話を開始できるようにする場合は、[ 組織が管理していない Teams アカウントを持つ外部ユーザーが自分の組織のユーザーに連絡できる ] チェック ボックスをオンにします。

  4. 管理されていない Teams アカウントを持つユーザーとの通信を特定のユーザー プロファイルの一覧に制限する場合は、[ 拡張ディレクトリに追加された外部ユーザー プロファイルの一覧への通信を制限する ] チェック ボックスをオンにし、[ 外部ユーザー プロファイルの管理 ] を選択して、許可するユーザー プロファイルを追加します。 (以下の 「外部ユーザー プロファイルの管理 」を参照してください)。

    注意

    Microsoft Teams for Education の親接続 では、拡張ディレクトリに追加された外部ユーザー プロファイルの一覧への通信の制限はサポートされていません。

  5. [保存] を選択します。

外部アカウント設定のスクリーンショット。

組織が管理していない Teams アカウントを持つ外部ユーザーが組織内のユーザーに連絡できる場合、管理されていない Teams ユーザーはメール アドレスで検索して組織内のユーザーを見つけることができません。 管理されていない Teams ユーザーとの通信はすべて、組織内のユーザーによって開始される必要があります。

管理されていない Teams アカウントとのチャットを禁止するには:

  1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
  2. [組織内のユーザーは、組織が管理していないアカウントを持つ Teams ユーザーと通信できる] 設定をオフにします。
  3. [保存] を選択します。

外部ユーザー プロファイルを管理する

外部ユーザー プロファイルは、電話番号に基づいています。 組織外のユーザーの名前と電話番号を追加すると、モバイル デバイスで Teams を使用して組織内のユーザーと通信するように招待されます。 Teams がインストールされていない場合は、SMS 経由でインストールするためのリンクが表示されます。 Teams アカウントを作成したら、デスクトップで Teams を使用することもできます。 Azure AD の拡張ディレクトリ ユーザー管理者ロールを使用して、ユーザー プロファイルの管理を委任できます。

組織外のユーザーにプロファイルを追加すると、24 時間以内に名前または電話番号で検索することでユーザーが利用できるようになります。 ユーザーは、外部ユーザーと 1 対 1 またはグループ チャットを開始し、指定した情報を含む外部ユーザーのプロファイル カードを表示できます。

ユーザーが外部ユーザーとのチャットを開始すると、外部ユーザーは接続を許可またはブロックできます。

Important

組織は、追加する外部ユーザー プロファイルのデータ コントローラーです。 これは GDPR に影響を与える可能性があります。 詳細については、「 一般的なデータ保護規則の概要」を参照してください。

外部ユーザー プロファイルを追加するには:

  1. [ 外部ユーザー プロファイルの管理] を選択します。
  2. [追加] を選択します。
  3. 連絡先の 表示名 を入力します。 (ユーザーは Teams でこの名前を検索できます)。
  4. 国または地域コードと電話番号を入力します
  5. 含める追加情報を追加します。
  6. データ コントローラーステートメントを読み、同意するチェック ボックスをオンにします。
  7. [保存] を選択します。

既存のプロファイルを削除するには、プロファイルを選択し、[削除] を選択 します

プロファイルの一覧をインポートする

.csv ファイルを使用してユーザーの一覧をアップロードする場合は、テンプレート ファイルをダウンロードし、含めるユーザーとその電話番号を追加して、ファイルをアップロードできます。

.csv テンプレートをダウンロードするには:

  1. [外部ユーザー プロファイルの管理] ページで、コマンド バーの [ インポート ] を選択します。
  2. [ テンプレートのダウンロード] を選択します

テンプレートの必須フィールドは DisplayNamePhoneNumber です。 その他のフィールドは省略可能です。

完成したテンプレート ファイルをアップロードするには:

  1. [外部ユーザー プロファイルの管理] ページで、コマンド バーの [ インポート ] を選択します。
  2. [ ファイルの選択] を選択します
  3. アップロードするファイルを選択し、[ 開く] を選択します。
  4. 既存のプロファイルのプロファイル情報を更新する場合は、[既存の 外部ユーザーを更新 する] チェック ボックスをオンにします。
  5. データ コントローラーステートメントを読み、同意するチェック ボックスをオンにします。
  6. [ インポート] を選択します

PowerShell を使用して拡張ディレクトリ内のユーザー プロファイルへの通信を制限する

Set-CsExternalAccessPolicy コマンドレットと RestrictTeamsConsumerAccessToExternalUserProfiles パラメーターを使用して、PowerShell の拡張ディレクトリ設定に追加された外部ユーザー プロファイルの一覧への通信を制限することもできます。 次に例を示します。

Set-CsExternalAccessPolicy -Identity Global -RestrictTeamsConsumerAccessToExternalUserProfiles $true

このコマンドレットは、既定のグローバル外部アクセス ポリシーの拡張ディレクトリ内のユーザー プロファイルの一覧への通信を制限します。

Skype ユーザーとのチャットと通話を管理する

組織内の Teams ユーザーが Skype ユーザーとチャットや通話をできるようにするには、次の手順を実行します。 この手順を実行すると、Teams ユーザーと Skype ユーザーとが、互いを検索したり、1 対 1 のテキストのみの会話や音声/ビデオ通話を開始したりできるようになります。

Skype ユーザーは会議をサポートしていません。 会議に招待された場合、参加時に匿名と見なされます。

注意

Skype ユーザーとの外部通信は、GCC、GCC High、DOD のデプロイ、またはプライベート クラウド環境では使用できません。

Skype ユーザーとのチャットと通話を構成するには:

  1. Teams 管理センターで、[ユーザー]>[外部アクセス] の順に移動します。
  2. [ 組織内のユーザーに Skype ユーザーとの通信を許可する ] 設定をオンまたはオフにします。 Skype のユーザー設定のスクリーンショット。
  3. [保存] を選択します。

Teams ユーザーと Skype ユーザーが通信できるようにする方法、および適用される制限事項の詳細については、「Teams と Skype の相互運用性」を参照してください。

PowerShell を使用して組織の設定を構成する

信頼された組織は、 Set-CSTenantFederationConfiguration コマンドレットを使用して構成できます。

次の表は、信頼された組織の構成に使用されるコマンドレット パラメーターを示しています。

構成 パラメーター
会議を許可または禁止し、他の Teams 組織や Skype for Business とチャットする -AllowFederatedUsers
許可されるドメインを指定する -AllowedDomains
ブロックされたドメインを指定する -BlockedDomains
サブドメインをブロックする -BlockAllSubdomains

組織で管理されていない Teams ユーザーとチャットし、Skype ユーザーは Set-CSTenantFederationConfiguration コマンドレットを使用して構成できます。

次の表は、Skype およびアンマネージド Teams ユーザーとのチャットを構成するために使用されるコマンドレット パラメーターを示しています。

構成 パラメーター
組織によって管理されていない Teams ユーザーとのチャットを許可または禁止する -AllowTeamsConsumer
会話を開始する組織によって管理されていない Teams ユーザーを許可または禁止する -AllowTeamsConsumerInbound
Skype ユーザーとのチャットを許可または禁止する -AllowPublicUsers

これらのコマンドレットを実行するには、PowerShell に接続Microsoft Teams必要があります。 詳細については、「 Microsoft Teams PowerShell を使用した Teams の管理」を参照してください。

コンプライアンスと外部アクセス

Microsoft 365 のコンプライアンス機能に対する外部アクセスのしくみについては、次のリファレンスを参照してください。

ゲスト アクセスと外部アクセスを使用して、組織外の人々とコラボレーションする

Microsoft Teams でイベントの監査ログを検索する。