アプリのアクセス許可ポリシーを作成および管理する

  • 6 分

管理者であれば、アプリのアクセス許可ポリシーを使用して、組織の Microsoft Teams ユーザーが使用できるアプリを制御できます。 すべてのアプリ、または Microsoft、サードパーティ、お客様の組織によって公開されている特定のアプリを許可またはブロックすることができます。 アプリをブロックした場合、ポリシーを持つユーザーは、Teams アプリ ストアからアプリをインストールできません。 これらのポリシーを管理するには、グローバル管理者または Teams サービス管理者である必要があります。

アプリのアクセス許可ポリシーは、Microsoft Teams 管理センターで管理します。 グローバル (組織全体の既定) ポリシーを使用ことも、カスタム ポリシーを作成して個人ユーザーやグループ内のユーザーに割り当てることもできます。

アプリのアクセス許可ポリシーのスクリーンショット。

既定では、すべてのアプリは グローバル ポリシー で許可されます。 これには、Microsoft、サード パーティ、組織によって発行されたアプリが含まれます。 カスタム ポリシーを作成して割り当てていない場合、組織内のユーザーにはグローバル ポリシーが自動的に適用されます。 [アプリの管理] ページの [組織全体のアプリ設定] は、グローバル ポリシーや、お客様が作成してユーザーに割り当てるカスタム ポリシーを上書きします。

たとえば、すべてのサードパーティ アプリをブロックし、組織内のHR チームに Microsoft の特定のアプリを許可するとします。 まず、[アプリの管理] ページに移動し、HR チームに許可するアプリが組織レベルで許可されていることを確認します。 次に、「HR App Permission Policy」という名前のカスタムポリシーを作成し、必要なアプリをブロックして許可するように設定し、HR チームのユーザーに割り当てます。

アプリのアクセス許可ポリシーを作成する

組織内のユーザー グループごとに利用できるアプリを制御する場合は、1 つ以上のカスタムアプリ権限ポリシーを作成して割り当てます。 アプリが Microsoft、サードパーティ、または組織のうちいずれによって公開されているかに基づいて、個別のカスタム ポリシーを作成し、割り当てることができます。 カスタム ポリシーを作成した後、組織全体のアプリ設定でサード パーティのアプリが無効になっている場合、ポリシーを変更できないのでご注意ください。

  1. Microsoft Teams 管理センター の左側にあるナビゲーション ウィンドウで、[Teams アプリ] > [アクセス許可ポリシー] に移動します。

  2. [追加] を選択します。

  3. ポリシーの名前と説明を入力します。

  4. [Microsoft アプリ]、[サードパーティ 製アプリ]、[カスタム アプリ] で、次の図に示すいずれかのオプションを選択します。

    アプリのアクセス許可を管理するオプションのスクリーンショット。

  5. [特定のアプリを許可し、他のすべてのアプリをブロックする] を選択した場合は、以下の手順で許可するアプリを追加します。

    • [アプリを許可] を選びます。
    • 許可するアプリを検索し、[追加] をクリックします。 検索結果は、アプリ発行元 (Microsoft アプリ、サード パーティ製アプリ、テナント アプリ) にフィルター処理されます。
    • アプリのリストを選択したら、[許可] を選択します。

  6. 同様に、[特定のアプリをブロックして他のすべてのアプリを許可する] を選択した場合は、ブロックするアプリを検索して追加します。

  7. [保存] を選択します。

アプリのアクセス許可ポリシーを編集する

Microsoft Teams 管理センターを使用して、作成したグローバル ポリシーやカスタム ポリシーなどのポリシーを編集できます。

  1. Microsoft Teams 管理センター の左側にあるナビゲーション ウィンドウで、[Teams アプリ] > [アクセス許可ポリシー] に移動します。

  2. ポリシー名の左側をクリックしてポリシーを選び、[編集] を選択します。

  3. 必要な変更を加えます。 アプリの発行元に基づいて設定を管理し、許可/ブロック設定に基づいてアプリの追加や削除を行うことができます。

  4. [保存] を選択します。

カスタム アプリのアクセス許可ポリシーをユーザーに割り当てる

Microsoft Teams 管理センターを使用して、1 人または複数のユーザーにカスタム ポリシーを割り当てることができます。 または、Skype for Business PowerShell モジュールを使用してカスタム ポリシーを割り当てることで、ユーザーのグループ (セキュリティ グループや配布グループのすべてのユーザーなど) にカスタム ポリシーを割り当てることができます。

ユーザーにカスタム アプリのアクセス許可ポリシーを割り当てる

アプリのアクセス許可ポリシーにユーザーを割り当てるには、ユーザーをポリシーに割り当てるか、ポリシーをユーザーに割り当てることができます。

ポリシーにユーザーを割り当てるには、次の手順を実行する必要があります。

  1. Microsoft Teams 管理センター の左側にあるナビゲーション ウィンドウで、[Teams アプリ] > [アクセス許可ポリシー] に移動します。
  2. ポリシー名の左側をクリックしてカスタム ポリシーを選択します。
  3. [ユーザーの割り当て] を選択します。
  4. [ユーザーを管理] ウィンドウで、表示名またはユーザー名でユーザーを検索し、名前を選択して [追加] を選びます。 追加するユーザーごとに、この手順を繰り返します。
  5. ユーザーの追加が完了したら、[適用] を選択します。

または、次の手順を実行して、ユーザーにポリシーを割り当てることができます。

  1. Microsoft Teams 管理センター の左側にあるナビゲーション ウィンドウで、[ユーザー] に移動します。

  2. ユーザー名の左側をクリックしてユーザーを選択し、[編集の設定] を選択します。

  3. [アプリのアクセス許可ポリシー] で、割り当てるアプリのアクセス許可ポリシーを選択し、[適用] を選択します。

    アプリのアクセス許可ポリシーをユーザーに割り当てるスクリーンショット。

PowerShell を使用してカスタム アプリのアクセス許可ポリシーを割り当てる

自動化用 PowerShell を使用して、複数のユーザーにカスタム アプリのアクセス許可ポリシーを割り当てる必要が出ることがあります。 たとえば、セキュリティ グループのすべてのユーザーにポリシーを割り当てることができます。 これを行うには、Graph 用 Azure Active Directory PowerShell モジュールと Skype for Business PowerShell モジュールに接続し、Grant-CsTeamsAppPermissionPolicy コマンドレットを使用します。

たとえば、Contoso HR プロジェクト グループのすべてのユーザーに「HR アプリ権限ポリシー」というカスタム アプリアクセス許可ポリシーを割り当てる場合は、次のコマンドを実行します。

$group = Get-AzureADGroup -SearchString "Contoso HR Project"

$members = Get-AzureADGroupMember -ObjectId $group.ObjectId -All $true | Where-Object {$_.ObjectType -eq "User"}

$members | ForEach-Object { Grant-CsTeamsAppPermissionPolicy -PolicyName "HR App Permission Policy" -Identity $_.EmailAddress}

グループ内のメンバー数によっては、このコマンドの実行に数分かかる場合があります。