【Teams】Teamsのデバイス認証で未登録PCからのアクセスをブロックする設定手順

Teams会議に参加しようとした際、見慣れないPCからのアクセスを制限したいと感じたことはありませんか。

組織のセキュリティを強化するために、許可されていないデバイスからのアクセスをブロックすることは重要です。

この記事では、Microsoft Teamsでデバイス認証を設定し、未登録PCからのアクセスをブロックする具体的な手順を解説します。

これにより、組織の情報を保護し、セキュリティレベルを向上させることができます。

Teamsのデバイス認証とセキュリティの重要性

Microsoft Teamsは、ビジネスコミュニケーションの中心となるプラットフォームです。そのため、組織の機密情報がやり取りされることも少なくありません。

不正なデバイスからのアクセスは、情報漏洩やマルウェア感染のリスクを高めます。これを防ぐためには、デバイス認証によるアクセス制限が不可欠です。

特に、社外からのアクセスや、従業員が個人所有のデバイスを利用する場合など、管理外の環境からのアクセスには注意が必要です。

Microsoft Entra ID(旧Azure Active Directory)の条件付きアクセス機能を利用することで、Teamsへのアクセスを特定のデバイスに限定できます。

条件付きアクセス ポリシーの基本概念

条件付きアクセスは、Microsoft Entra IDの機能の一つです。ユーザーがリソースにアクセスする際に、特定の条件を満たしているかを確認し、アクセスを許可または拒否します。

これにより、セキュリティリスクを軽減しつつ、ユーザーの利便性を損なわないようにアクセス制御を行うことが可能です。

設定できる条件には、ユーザー、グループ、場所、デバイスの状態、アプリケーションなどがあります。また、許可するアクションとして、多要素認証の要求やセッション制御などが利用できます。

Teamsへのアクセスを制限する場合、対象アプリケーションとしてTeamsを指定し、アクセスを許可するための条件として「準拠しているデバイス」や「ハイブリッドAzure AD参加済みデバイス」などを設定します。

未登録PCからのアクセスをブロックする設定手順

このセクションでは、Microsoft Entra IDのポータルサイトで、Teamsへのアクセスを未登録PCからブロックするための条件付きアクセス ポリシーを作成する手順を説明します。

この設定を行うには、Microsoft Entra IDのグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者ロールが必要です。

1. Microsoft Entra 管理センターにサインインする
   Webブラウザを開き、Microsoft Entra 管理センター (entra.microsoft.com) にアクセスして、管理者アカウントでサインインします。
2. 「保護」メニューから「条件付きアクセス」を選択する
   左側のナビゲーションメニューから「保護」を展開し、「条件付きアクセス」をクリックします。
3. 「ポリシー」を選択し、「新しいポリシー」を作成する
   「ポリシー」画面が表示されたら、「+ 新しいポリシー」ボタンをクリックして、新しいポリシー作成画面に進みます。
4. ポリシーの基本設定を行う
   まず、ポリシーに分かりやすい名前を付けます。例えば、「Teamsアクセス – 未登録PCブロック」などです。
5. 「割り当て」セクションで設定を行う
   このセクションで、ポリシーを適用するユーザーやアプリケーション、条件などを指定します。
   1. 「ユーザーとグループ」の設定
      「すべてのユーザー」を選択するか、特定のユーザーやグループにのみ適用する場合は、「ユーザーとグループ」を選択して対象を指定します。ここでは、「すべてのユーザー」を選択して組織全体に適用することを想定します。

      ※注意: 特定のユーザーやグループにのみ適用する場合、そのユーザーがTeamsにアクセスできなくなる可能性があります。慎重に設定してください。

   2. 「ターゲット アプリケーション」の設定
      「クラウドアプリまたは操作」を選択し、「アプリケーションを選択」をクリックします。

      検索ボックスに「Microsoft Teams」と入力し、表示された「Microsoft Teams」を選択して「完了」をクリックします。

6. 「条件」セクションでアクセス条件を設定する
   「条件」をクリックし、以下の設定を行います。
   1. 「デバイス プラットフォーム」の設定
      「はい」を選択し、「すべてのデバイス プラットフォーム」を選択します。
   2. 「クライアント アプリ」の設定
      「はい」を選択し、「モバイル アプリとデスクトップ クライアント」をチェックします。
7. 「アクセス制御」セクションで許可/ブロックを設定する
   「アクセス制御」を展開し、「許可」を選択します。
   1. 「セッション」を選択する
      「セッション」を選択します。
   2. 「デバイスのコンプライアンスを要求する」を選択する
      「デバイスのコンプライアンスを要求する」にチェックを入れます。これにより、準拠しているデバイスからのアクセスのみが許可されます。
   3. 「ハイブリッド Azure AD参加済みデバイスを要求する」を選択する
      必要に応じて、「ハイブリッド Azure AD参加済みデバイスを要求する」にもチェックを入れます。これにより、組織によって管理されているデバイスからのアクセスのみが許可されます。
   4. 「完了」をクリックする
      「セッション」設定画面で「完了」をクリックします。
8. ポリシーを有効にする
   「ポリシーを有効にする」の項目で、「オン」を選択します。

   ※注意: 「レポートのみ」で設定をテストしてから「オン」にすることをお勧めします。

9. 「作成」ボタンをクリックしてポリシーを保存する
   画面右下の「作成」ボタンをクリックして、ポリシーの作成を完了します。

新しいTeams (v2) と従来Teamsのデバイス認証の違い

新しいTeams (v2) は、パフォーマンスの向上やUIの刷新が図られていますが、デバイス認証に関する基本的な仕組みはMicrosoft Entra IDの条件付きアクセス ポリシーに依存しています。

したがって、上記で説明した条件付きアクセス ポリシーの設定は、新しいTeams (v2) でも同様に適用されます。

ただし、新しいTeams (v2) では、アプリケーションの動作や一部の機能の連携方法が変更されている可能性があります。そのため、ポリシー適用後にTeamsの動作に予期せぬ影響がないか、十分にテストすることが重要です。

特に、モバイルアプリ版のTeamsでは、デバイスのコンプライアンスチェックの挙動が異なる場合があるため、モバイルデバイスからのアクセスについても別途確認を行うことを推奨します。

新しいOutlook と従来Outlookのデバイス認証との関連性

新しいOutlookも、Microsoft 365のサービスとして提供されており、Microsoft Entra IDの条件付きアクセス ポリシーによってアクセス制御が可能です。

Teamsと同様に、新しいOutlookに対しても、未登録PCからのアクセスをブロックする条件付きアクセス ポリシーを作成できます。設定手順は、ターゲット アプリケーションを「Outlook」に変更するだけで、基本的な流れは同じです。

組織によっては、TeamsとOutlookの両方で同様のセキュリティポリシーを適用することで、より一貫性のあるセキュリティ管理を実現できます。

新しいOutlookでは、Web版とデスクトップ版でアクセス制御の挙動に若干の違いが見られる場合もあります。ポリシー適用後は、両方の環境でアクセステストを実施してください。

Mac版・モバイル版・Web版での違い

Teamsのデバイス認証設定は、Microsoft Entra IDの条件付きアクセス ポリシーによって一元管理されます。そのため、基本的にはどのプラットフォームからアクセスしても、同じポリシーが適用されます。

しかし、プラットフォームごとのデバイス管理機能やOSの制約により、挙動に違いが生じることがあります。

Mac版Teamsでの注意点

Mac版Teamsの場合、デバイスが「ハイブリッド Azure AD参加済み」として登録されている必要があります。個人所有のMacなど、組織で管理されていないデバイスからのアクセスは、ポリシーによってブロックされる可能性があります。

MacでIntuneなどのMDM (Mobile Device Management) ソリューションを利用して管理している場合は、そのデバイスがコンプライアンス要件を満たしているかどうかがチェックされます。

モバイル版Teamsでの注意点

モバイル版Teams(iOS/Android)では、デバイスがMDMソリューション(Microsoft Intuneなど)によって管理され、コンプライアンス要件を満たしている必要があります。

また、モバイルアプリ版Teamsは、Web版やデスクトップ版とは異なる認証フローを持つ場合があります。そのため、ポリシー適用後には、実際のモバイルデバイスでTeamsにアクセスできるかを確認することが不可欠です。

モバイルデバイスでのコンプライアンスチェックには、Microsoft Authenticatorアプリなどが利用されることがあります。

Web版Teamsでの注意点

WebブラウザからアクセスするTeamsの場合、デバイス自体が組織によって管理されている必要はありません。しかし、ブラウザのCookieやセッション情報などを利用して、アクセス元のデバイスを識別します。

「ハイブリッド Azure AD参加済みデバイスを要求する」設定は、Web版では直接適用されません。代わりに、「ブラウザー」をクライアントアプリとして指定し、セッション制御を設定することが考えられます。

しかし、Web版で厳密なデバイス認証を行うのは難しいため、デスクトップ版やモバイル版でポリシーを適用し、セキュリティを確保することが一般的です。

よくある誤操作とトラブルシューティング

条件付きアクセス ポリシーの設定は強力なセキュリティ機能ですが、誤った設定はユーザーのアクセスを不当にブロックする可能性があります。

ポリシー適用後、Teamsに全くアクセスできなくなった

原因:

設定した条件付きアクセス ポリシーが、意図せずすべてのユーザーまたは特定の重要なユーザーグループに適用されている可能性があります。特に、「すべてのユーザー」を選択した場合や、「デバイス プラットフォーム」や「クライアント アプリ」の設定が広範すぎる場合に発生しやすいです。

対処法:

1. 管理者アカウントでMicrosoft Entra 管理センターにサインインする
   ユーザーがアクセスできない場合でも、通常は管理者はアクセスできます。
2. 「条件付きアクセス」メニューに移動する
   「保護」>「条件付きアクセス」に進みます。
3. 該当のポリシーを「レポートのみ」モードに変更する
   問題が発生しているポリシーを見つけ、そのポリシーを一時的に「レポートのみ」モードに変更します。これにより、ポリシーはログに記録されるだけで、アクセス制御には影響しません。
4. 「ユーザーとグループ」や「条件」の設定を見直す
   ポリシーの割り当て対象が意図した範囲になっているか、条件が厳しすぎないかを確認します。例えば、特定のテスト用ユーザーグループにのみ適用するなど、段階的に設定を修正します。
5. 「アクセス制御」の「許可」設定を確認する
   「セッション」>「デバイスのコンプライアンスを要求する」や「ハイブリッド Azure AD参加済みデバイスを要求する」などの設定が、組織の環境と合っているか確認します。
6. ポリシーを再度「オン」にしてテストする
   修正後、ポリシーを再度「オン」にし、ユーザーにテストしてもらいます。

※注意: 緊急時には、ポリシーを一時的に「オフ」にすることも可能ですが、セキュリティリスクが増大するため、速やかに原因を特定し、適切な設定に戻してください。

一部のデバイス(例: 個人所有PC)からTeamsにアクセスできない

原因:

これは、意図した動作である可能性が高いです。設定したポリシーで「デバイスのコンプライアンスを要求する」または「ハイブリッド Azure AD参加済みデバイスを要求する」が有効になっている場合、これらの要件を満たさないデバイス(個人所有PCなど)からのアクセスはブロックされます。

対処法:

この状況は、組織のセキュリティポリシーに基づいた正しい動作です。もし、一部の個人所有デバイスからのアクセスを許可したい場合は、以下のいずれかの方法を検討します。

1. BYOD (Bring Your Own Device) ポリシーの策定と適用
   個人所有デバイスを組織のセキュリティ基準に適合させるためのポリシー(MDM登録、特定のアプリのみ許可など)を策定し、条件付きアクセス ポリシーでそれらの要件を満たすデバイスのみを許可するように設定します。
2. 特定のユーザーグループやアプリへの例外設定
   どうしてもアクセスが必要な特定のユーザーグループや、特定のアプリケーションに対してのみ、デバイス認証の要件を緩和する(例: 多要素認証のみを要求するなど)別の条件付きアクセス ポリシーを作成します。ただし、これはセキュリティリスクを伴うため、慎重に検討してください。

モバイルデバイスからのアクセスがうまくいかない

原因:

モバイルデバイスがMDMソリューションに登録されていない、またはコンプライアンス要件を満たしていない可能性があります。また、モバイルアプリ版Teamsの認証フローが、デスクトップ版と異なるために問題が発生することもあります。

対処法:

1. モバイルデバイスのMDM登録状況を確認する
   ユーザーに、デバイスがIntuneなどのMDMに登録されているか、登録されている場合はコンプライアンス要件(OSバージョン、パスコード設定など)を満たしているかを確認してもらいます。
2. Microsoft Authenticatorアプリなどの利用を確認する
   多要素認証やデバイス認証のために必要なアプリがインストールされ、設定されているか確認します。
3. モバイルアプリ版Teamsを再インストールする
   一時的な不具合の可能性もあるため、モバイルアプリ版Teamsを一度アンインストールし、再度インストールして動作を確認します。
4. 「モバイル アプリとデスクトップ クライアント」の除外設定(非推奨)
   最終手段として、条件付きアクセス ポリシーの「クライアント アプリ」設定で、「モバイル アプリとデスクトップ クライアント」を除外することも考えられますが、これはセキュリティレベルを低下させるため、推奨されません。

まとめ

この記事では、Microsoft Teamsへの未登録PCからのアクセスをブロックするための、Microsoft Entra IDの条件付きアクセス ポリシー設定手順を解説しました。

条件付きアクセス ポリシーを適切に設定することで、組織のセキュリティを大幅に向上させ、情報漏洩のリスクを低減できます。

設定後は、必ず様々なデバイスやプラットフォームからTeamsへのアクセスをテストし、意図した通りに動作するか確認してください。

さらに、Outlookなど他のMicrosoft 365アプリケーションに対しても同様のポリシーを適用することで、組織全体のセキュリティ体制を強化することができます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

ADVERTISEMENT

この記事の監修者

🌐

超解決 リモートワーク研究班

Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。

解決 関連記事でさらに詳しく

• ✅【Outlook】共有予定表の「権限」を変更する!他人に予定を編集させない・詳細を隠す設定手順
• 🛠️【Outlook】「Cannot start Microsoft Outlook」エラーで起動しない時の/resetnavpane実行手順
• ✅【Teams】カメラの左右反転(ミラー表示)を解除して相手と同じ見え方に合わせる手順
• ✅【Teams】Teamsの自動起動を無効にしてもWindowsログイン時に起動する時の対処法
• 🛠️【Outlook】Outlookの送信エラー「553 Relay denied」の原因とSMTP認証設定手順
• 🛠️【Teams】会議の会話(チャット)を参加者以外とも共有する履歴リンク発行手順

Office・仕事術の人気記事ランキング

• 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
• 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
• 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
• 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
• 【Outlook】メールの受信が数分遅れる!リアルタイムで届かない時の同期設定と送受信グループ設定
• 【Outlook】予定表の「祝日」が表示されない!最新カレンダーの追加と二重表示の修正手順
• 【Outlook】「メール送信を5分遅らせる」設定!誤送信を防ぐ最強のディレイ機能
• 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
• 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
• 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け