Teams のチャット、グループ、ファイルをセキュリティで保護するためのポリシーの推奨事項
この記事では、Microsoft Teams のチャット、グループ、ファイルや予定表などのコンテンツを保護するために推奨されるゼロ トラストの ID とデバイス アクセス ポリシーを実装する方法について説明します。 このガイダンスは、一般的な ID とデバイスのアクセス ポリシーを基にして、Teams 固有の情報が追加されています。 Teams は他の製品と統合されるため、「SharePoint のサイトとファイルをセキュリティで保護するためのポリシーの推奨事項」と「電子メールをセキュリティで保護するためのポリシーの推奨事項」もご覧ください。
これらの推奨事項は、ニーズの細かさに基づいて適用できる、Teams のセキュリティと保護の 3 つの異なるレベル (開始点、エンタープライズ、特殊なセキュリティ) に基づいています。 これらのセキュリティ レベルと、これらの推奨事項で参照されている推奨ポリシーについて詳しくは、ID とデバイス アクセスの構成に関する記事をご覧ください。
特定の認証の状況について説明するため、この記事には、組織外のユーザーに関するものなど、Teams の展開に固有の他の推奨事項が含まれています。 セキュリティ エクスペリエンスを完全なものにするには、このガイダンスに従う必要があります。
他の依存サービスの前に Teams の使用を開始する
Microsoft Teams の使用を開始するために、依存サービスを有効にする必要はありません。 これらのサービスはすべて "そのままで機能" します。ただし、次のサービス関連要素を管理できるようにしておく必要があります。
- Microsoft 365 グループ
- SharePoint チーム サイト
- OneDrive
- Exchange メールボックス
- ストリーム ビデオと Planner 計画 (これらのサービスが有効になっている場合)
Teams を含むように一般的なポリシーを更新する
Teams のチャット、グループ、コンテンツを保護するには、次の図で示すポリシーを、一般的な ID とデバイスのアクセス ポリシーから更新します。 更新するポリシーごとに、Teams と依存サービスがクラウド アプリの割り当てに含まれていることを確認します。
これらのサービスは、Teams 用クラウド アプリの割り当てに含める依存サービスです。
- Microsoft Teams
- SharePoint と OneDrive
- Exchange Online
- Skype for Business Online
- Microsoft Stream (会議の記録)
- Microsoft Planner (Planner のタスクと計画データ)
次の表は、再検討する必要があるポリシーと、すべての Office アプリケーションに関するより広範なポリシーが設定されている一般的な ID とデバイスのアクセス ポリシーでの各ポリシーへのリンクの一覧です。
防護等級 | ポリシー | Teams の実装に関する詳細情報 |
---|---|---|
開始ポイント | ログインリスクが中程度または高レベルの場合はMFAが必要 | Teams と依存サービスがアプリの一覧に含まれていることを確認します。 Teams には、考慮する必要があるゲスト アクセスと外部アクセスの規則もあります。これらの規則について詳しくは、この記事で後ほど説明します。 |
最新の認証をサポートしていないクライアントのブロック | クラウド アプリの割り当てに、Teams と依存サービスを含めます。 | |
リスクの高いユーザーはパスワードを変更する必要があります | アカウントに対してリスクの高いアクティビティが検出された場合、サインイン時に Teams ユーザーにパスワードの変更を強制します。 Teams と依存サービスがアプリの一覧に含まれていることを確認します。 | |
APPデータ保護ポリシーの適用 | Teams と依存サービスがアプリの一覧に含まれていることを確認します。 各プラットフォーム (iOS、Android、Windows) のポリシーを更新します。 | |
企業 | ログオンリスクが低、中、または高の場合はMFAが必要 | Teams には、考慮する必要があるゲスト アクセスと外部アクセスの規則もあります。これらの規則について詳しくは、この記事で後ほど説明します。 Teams と依存サービスをこのポリシーに含めます。 |
デバイス コンプライアンス ポリシーを定義する | Teams と依存サービスをこのポリシーに含めます。 | |
準拠している PC とモバイル デバイスを 要求する | Teams と依存サービスをこのポリシーに含めます。 | |
特殊なセキュリティ | 常に MFA を要求する | ユーザー ID に関係なく、MFA は組織によって使用されます。 Teams と依存サービスをこのポリシーに含めます。 |
Teams の依存サービスのアーキテクチャ
参考として、次の図では Teams が依存するサービスを示します。 詳細と図については、「IT アーキテクト向け Microsoft 365 の Microsoft Teams と関連生産性サービス」をご覧ください。
Teams に対するゲストと外部のアクセス
Microsoft Teams では、次のアクセスの種類が定義されています。
ゲスト アクセスは、チームのメンバーとして追加でき、チームの通信とリソースにすべてのアクセス許可でアクセスできるゲストまたは外部ユーザーのために、Microsoft Entra B2B アカウントを使います。
外部アクセスは、Microsoft Entra B2B アカウントを持たない外部ユーザー用です。 外部アクセスには、通話、チャット、会議での招待と参加を含めることができますが、チーム メンバーシップやチームのリソースへのアクセスは含まれません。
条件付きアクセス ポリシーは、対応する Microsoft Entra B2B アカウントがあるため、Teams のゲスト アクセスにのみ適用されます。
Microsoft Entra B2B アカウントでゲストと外部ユーザーにアクセスを許可するための推奨ポリシーについては、ゲストと外部の B2B アカウントのアクセスを許可するためのポリシーに関する記事をご覧ください。
Teams でのゲスト アクセス
管理者は、会社や組織の内部にいるユーザーに対するポリシーに加えて、会社や組織の外部にいるユーザーが Teams リソースにアクセスし、グループの会話、チャット、会議などで内部ユーザーと対話できるようにするゲスト アクセスを、ユーザー単位で有効にできます。
ゲスト アクセスとその実装方法について詳しくは、Teams のゲスト アクセスに関する記事をご覧ください。
Teams での外部アクセス
外部アクセスとゲスト アクセスが混同されることがあるので、これら 2 つの非内部アクセス メカニズムが異なる種類のアクセスであることを明確にしておくことが重要です。
外部アクセスは、完全に外部のドメインにいる Teams ユーザーが、Teams 内のユーザーを検索し、通話、チャット、会議の設定を行うための方法です。 Teams 管理者は、組織レベルで外部アクセスを構成します。 詳しくは、「Microsoft Teams での外部アクセスの管理」をご覧ください。
外部アクセス ユーザーには、ゲスト アクセスを介して追加されたユーザーより少ないアクセス権と機能が付与されます。 たとえば、外部アクセス ユーザーは、Teams を使って内部ユーザーとチャットできますが、チームのチャネル、ファイル、またはその他のリソースにアクセスすることはできません。
外部アクセスでは Microsoft Entra B2B ユーザー アカウントが使われないため、条件付きアクセス ポリシーは使われません。
Teams のポリシー
上で示した一般的なポリシー以外に、Teams だけで構成できるポリシーがあり、さまざまな Teams 機能を管理するにはそれを構成する必要があります。
チームとチャネルのポリシー
チームとチャネルは、Microsoft Teams で一般的に使われる 2 つの要素であり、ユーザーがチームとチャネルを使ってできることとできないことを制御するために設定可能なポリシーがあります。 グローバル チームを作成できますが、組織のユーザーが 5,000 人以下の場合は、組織のニーズに合わせて、特定の目的のための小規模なチームとチャネルを設けると役に立つ可能性があります。
既定のポリシーの変更またはカスタム ポリシーの作成をお勧めします。ポリシーの管理について詳しくは、Microsoft Teams でのチーム ポリシーの管理に関する記事をご覧ください。
メッセージング ポリシー
メッセージングまたはチャットも、既定のグローバル ポリシーまたはカスタム ポリシーを通じて管理でき、これはユーザーが組織に適した方法で相互にコミュニケーションするのに役立ちます。 この情報は、「Teams でメッセージング ポリシーを管理する」で確認できます。
会議ポリシー
Teams 会議に関するポリシーを計画して実装しないと、Teams の検討は終わりません。 会議は Teams の不可欠なコンポーネントであり、ユーザーは一度に多くのユーザーと正式に会って話し合い、会議に関連するコンテンツを共有することができます。 組織に会議に関する適切なポリシーを設定することが不可欠です。
詳しくは、Teams での会議のポリシーの管理に関する記事をご覧ください。
アプリのアクセス許可ポリシー
Teams では、チャネルや個人用チャットなどのさまざまな場所で、アプリを使うこともできます。 追加して使用できるアプリとその場所に関するポリシーを用意することは、豊富なコンテンツを揃えながらセキュリティで保護されてもいる環境を維持するために不可欠です。
アプリのアクセス許可ポリシーについて詳しくは、Microsoft Teams でのアプリのアクセス許可ポリシーの管理に関する記事をご覧ください。
次のステップ
次のものに対する条件付きアクセス ポリシーを構成します。