【Teams】Sensitivity Label付きチームへのゲスト招待を自動禁止する手順

Microsoft Teamsで情報漏洩リスクを最小限に抑えたいと考えていませんか。特に、機密情報を含むチームへの外部ユーザー(ゲスト)の招待は、慎重な管理が必要です。しかし、手動での確認は煩雑で、見落としのリスクも伴います。この記事では、Microsoft Purview Information Protectionの感度ラベル(Sensitivity Label)を活用し、特定のチームへのゲスト招待を自動的に禁止する設定方法を解説します。この設定により、セキュリティポリシーを徹底し、機密情報を保護できます。

本記事を読むことで、管理者権限を持つ方が、感度ラベルが付与されたTeamsチームへのゲスト招待を自動でブロックする設定手順を理解できます。これにより、組織のセキュリティレベルを向上させ、意図しない情報共有を防ぐことが可能になります。

感度ラベルによるTeamsチームの外部コラボレーション制限の仕組み

Microsoft 365の感度ラベルは、SharePointサイトやMicrosoft Teamsチームなどのリソースに適用され、その保護レベルを定義します。外部コラボレーションに関する設定も、この感度ラベルに紐づけることが可能です。具体的には、特定の感度ラベルが適用されたTeamsチームでは、ゲスト招待を許可しない、あるいは特定のドメインからのゲストのみを許可するといった制御ができます。この仕組みを利用することで、機密性の高い情報が保存されているチームへの意図しない外部アクセスを防ぎ、組織のセキュリティポリシーを自動的に強制できます。

この設定は、Microsoft Purview コンプライアンス ポータル(旧称 Microsoft 365 コンプライアンスセンター)で行われます。IT管理者やセキュリティ管理者が、組織全体のデータ保護ポリシーに基づき、感度ラベルの作成や既存ラベルの設定変更を行います。一度設定が完了すれば、そのラベルが適用されたTeamsチームは、設定されたポリシーに従って自動的に外部コラボレーションが制限されるため、運用負荷を大幅に軽減できます。

感度ラベルを作成・設定する手順

この設定を行うには、まずMicrosoft Purview コンプライアンス ポータルで、ゲスト招待を禁止したいTeamsチームに適用する感度ラベルを作成または編集する必要があります。管理者権限が必要です。

Teamsチームに適用する感度ラベルの作成・編集

1. Microsoft Purview コンプライアンス ポータルにサインインする
   Webブラウザを開き、管理者アカウントでMicrosoft Purview コンプライアンス ポータル (https://compliance.microsoft.com/) にサインインします。
2. 「情報保護」メニューを開く
   左側のナビゲーションペインで「情報保護」を展開し、「感度ラベル」を選択します。
3. 新しいラベルを作成するか、既存のラベルを編集する
   新規にラベルを作成する場合は、「ラベルの作成」ボタンをクリックします。既存のラベルに設定を追加する場合は、編集したいラベルの名前をクリックします。
4. ラベルの基本設定を行う(新規作成の場合)
   ラベル名、表示名、説明を入力します。例:「機密情報」など、内容がわかる名称を設定します。
5. 「リソースに適用する設定」に移動する
   ラベルの設定画面で、下へスクロールし、「リソースに適用する設定」またはそれに類する項目を探し、「Teams、Outlook、Word、Excel、PowerPointなど」の項目で「設定の編集」をクリックします。
6. Teamsの外部コラボレーション設定を構成する
   開いたダイアログボックスで、「Teamsの外部コラボレーション」の設定項目を探します。「Teamsチームの外部コラボレーションを制限する」というオプションが表示されているはずです。
7. ゲスト招待を禁止する設定を選択する
   「Teamsチームの外部コラボレーションを制限する」のチェックボックスをオンにします。これにより、このラベルが適用されたTeamsチームでは、ゲスト招待がブロックされるようになります。
8. 設定を保存する
   「保存」または「OK」ボタンをクリックして、Teamsの外部コラボレーション設定を保存します。
9. ラベル設定全体を保存する
   感度ラベルの設定画面に戻り、変更内容を「保存」ボタンをクリックして確定します。
10. ラベルポリシーを公開する
    作成または編集した感度ラベルがユーザーに適用されるように、ラベルポリシーを作成または編集し、公開する必要があります。左側のナビゲーションペインで「情報保護」の「ラベルポリシー」を選択し、「ポリシーの作成」または既存ポリシーの編集を行います。ポリシーに作成したラベルを含め、公開します。

Teamsで感度ラベルを適用したチームのゲスト招待をテストする

感度ラベルの設定が完了したら、実際にTeamsでそのラベルを適用したチームを作成し、ゲスト招待がブロックされるかを確認します。このテストは、設定が意図した通りに機能しているかを検証するために重要です。

新しいTeamsチームを作成し、感度ラベルを適用する

1. Teamsクライアントを開く
   Microsoft TeamsデスクトップアプリまたはWebアプリを開きます。
2. 新しいチームを作成する
   左側のサイドバーで「チーム」を選択し、「チームの作成」ボタンをクリックします。「ゼロから作成」を選択し、プライベートチームまたはパブリックチームを選択します。
3. チーム名と説明を入力する
   チーム名(例:「機密情報管理チーム」)と説明を入力します。
4. 感度ラベルを選択する
   チーム作成画面の「詳細」タブ、または「設定」タブ(Teamsのバージョンや組織の設定によって場所が異なる場合があります)に、「感度ラベル」の選択肢が表示されます。ここで、先ほど設定した「機密情報」などのラベルを選択します。
5. チームを作成する
   「作成」ボタンをクリックして、チームを作成します。

ゲスト招待を試みる

1. 作成したチームを開く
   作成した「機密情報管理チーム」を開きます。
2. メンバーを追加する画面を開く
   チーム名の横にある「…」(その他のオプション)をクリックし、「メンバーを追加」を選択します。
3. ゲストのメールアドレスを入力する
   「メンバーまたはゲストを追加」の入力フィールドに、組織外のユーザーのメールアドレスを入力します。
4. 招待を試みる
   メールアドレスを入力した後、「追加」ボタンをクリックするか、Enterキーを押します。

結果の確認

正しく設定されていれば、ゲスト招待を試みた際に、「このチームでは外部ユーザーを招待できません。」といった趣旨のエラーメッセージが表示され、招待が完了しないはずです。これにより、感度ラベルによるゲスト招待の自動ブロックが機能していることを確認できます。

新しいTeams(v2)と従来Teamsの操作上の違い

感度ラベルの設定自体は、Microsoft Purview コンプライアンス ポータルで行われるため、新しいTeams (v2) と従来Teamsの間で操作方法に直接的な違いはありません。感度ラベルの作成・編集・ポリシーの公開といった管理コンソールでの作業は、どちらのTeamsクライアントを使用していても同様に適用されます。

ただし、Teamsクライアント側でチームを作成する際に感度ラベルを選択するUI(ユーザーインターフェース)は、新しいTeams (v2) では若干変更されている可能性があります。一般的には、チーム作成時の「設定」や「詳細」タブの中に感度ラベルの選択肢が表示される点は共通していますが、配置やデザインが刷新されている場合があります。新しいTeams (v2) でラベルが見つからない場合は、チーム作成ウィザード全体を注意深く確認してください。

新しいOutlookと従来Outlookの操作上の違い

感度ラベルは、Outlookのメールにも適用でき、メールの保護や転送制限などを行います。この感度ラベルの設定自体は、Microsoft Purview コンプライアンス ポータルで行われるため、新しいOutlookと従来Outlookで操作方法に違いはありません。管理者が設定した感度ラベルは、どちらのOutlookクライアントからでも利用可能です。

Outlookクライアント側での感度ラベルの適用方法(メール作成時のラベル選択)についても、新しいOutlookと従来Outlookで基本的な操作は同じです。通常、メール作成画面の「オプション」タブや「…」(その他のオプション)メニューの中に「感度」という項目があり、そこで適用したいラベルを選択します。新しいOutlookでは、UIデザインが刷新されているため、アイコンやメニューの配置が若干異なる可能性がありますが、感度ラベルの機能自体は一貫しています。

管理者権限が必要な操作について

この記事で解説した、感度ラベルの作成、編集、およびラベルポリシーの公開といった操作は、Microsoft 365テナント全体の設定に関わるため、グローバル管理者またはコンプライアンス管理者といった、高度な管理者権限を持つユーザーのみが実行できます。これらの権限を持たないユーザーは、これらの設定を変更することはできません。

Teamsクライアント側でチームを作成し、感度ラベルを適用する操作は、チーム作成権限を持つユーザーであれば実施可能です。ただし、組織によっては、チーム作成自体に承認プロセスが設けられている場合もあります。また、感度ラベルの選択肢が表示されるかどうかは、そのユーザーに割り当てられているラベルポリシーによって決まります。

組織ポリシー・テナント設定による動作の違い

感度ラベルの外部コラボレーション設定の動作は、Microsoft 365テナントの構成や組織ポリシーによって影響を受ける可能性があります。例えば、以下のようなケースが考えられます。

1. 感度ラベルポリシーの割り当て状況: すべてのユーザーにラベルポリシーが割り当てられていない場合、一部のユーザーは感度ラベルを選択できない、あるいは設定されているラベルが適用されないことがあります。ラベルポリシーは、特定のユーザーまたはグループに割り当てられるため、対象外のユーザーには影響が及びません。

2. 既存のTeamsチーム設定: 既に作成されているTeamsチームの設定は、後から追加された感度ラベルの設定では自動的に変更されない場合があります。感度ラベルによる制限を既存のチームに適用したい場合は、該当するチームに手動でラベルを適用するか、PowerShellスクリプトなどを使用して一括で設定を変更する必要があります。

3. SharePointサイトの外部共有設定: Teamsチームは背後にSharePointサイトを持っています。感度ラベルでTeamsの外部コラボレーションを制限しても、SharePointサイト自体の外部共有設定が緩い場合、予期しない共有が発生する可能性がゼロではありません。一般的に、感度ラベルはSharePointサイトの共有設定も連動して制御しますが、設定の組み合わせによっては注意が必要です。

4. Azure AD B2B ゲスト招待ポリシー: Azure Active Directory (Azure AD) で設定されているゲスト招待に関するポリシーも、Teamsのゲスト招待に影響を与えることがあります。例えば、テナント全体でゲスト招待を無効にしている場合、感度ラベルの設定はゲスト招待を許可する方向には働きません。感度ラベルの設定は、Azure ADの既存のポリシーを補強・詳細化する位置づけとなります。

Mac版・モバイル版・Web版での違い

管理コンソール(Microsoft Purview コンプライアンス ポータル): この管理ポータルはWebベースのため、どのOS(Windows、macOS)からアクセスしても、またどのブラウザを使用しても、表示や操作方法は基本的に同じです。

Teamsクライアント:

• デスクトップアプリ(Windows/Mac): 新しいTeams (v2) および従来Teamsのデスクトップアプリは、UIデザインや一部機能の配置に若干の違いがある場合がありますが、感度ラベルの選択・適用といった基本的な機能は共通しています。
• Web版Teams: WebブラウザでアクセスするTeamsも、デスクトップアプリと同様の機能を提供します。UIはデスクトップアプリに似せて作られています。
• モバイル版Teams(iOS/Android): モバイルアプリでは、画面サイズや操作性の制約から、UIがデスクトップ版とは異なります。感度ラベルの選択は、チーム作成時やメール作成時に行いますが、PC版とは異なるメニュー構造になっていることがあります。しかし、感度ラベルの基本機能(ゲスト招待のブロックなど)はモバイル版でも有効です。

Outlookクライアント:

• デスクトップアプリ(Windows/Mac): 新しいOutlookと従来OutlookのUIの違いはありますが、感度ラベルの選択・適用機能は共通しています。
• Web版Outlook: Webブラウザで利用するOutlookも、デスクトップ版と同様に感度ラベル機能を利用できます。
• モバイル版Outlook(iOS/Android): モバイルアプリでは、PC版とは異なるUIで感度ラベルが提供されます。メール作成画面からアクセスし、ラベルを選択します。

いずれのプラットフォームでも、感度ラベルの「設定」自体は管理者がPurviewコンプライアンスポータルで行い、その設定が各クライアントに反映される形になります。

まとめ

この記事では、Microsoft Purview Information Protectionの感度ラベルを利用して、Teamsチームへのゲスト招待を自動的に禁止する手順を解説しました。Microsoft Purview コンプライアンス ポータルで感度ラベルを作成・設定し、Teamsの外部コラボレーションを制限することで、機密情報の漏洩リスクを大幅に低減できます。この設定により、セキュリティポリシーが自動的に適用され、管理者の負担も軽減されます。次に、作成した感度ラベルを実際のTeamsチームに適用し、ゲスト招待がブロックされることをテストして、設定が正しく機能していることを確認してください。さらに、他のMicrosoft 365サービス(SharePoint、Outlookなど)にも感度ラベルを適用し、組織全体のセキュリティ体制を強化することを検討しましょう。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。