【Outlook】機密ラベル付きメールを外部に送る際のGuest Access設定手順

Microsoft Outlookで機密ラベルが付与されたメールを、組織外のユーザーに送信したい場合があります。しかし、セキュリティ上の理由から、機密ラベル付きメールの外部共有は制限されていることが多いです。この制限を解除し、安全に外部ユーザーと機密情報を共有するには、Guest Accessの設定が不可欠です。この記事では、Outlookで機密ラベル付きメールを外部に送信するためのGuest Access設定手順を詳しく解説します。この手順を理解すれば、組織のセキュリティを維持しながら、必要な相手との情報共有がスムーズに行えるようになります。

Outlookで機密ラベル付きメールを外部に共有できない場合、多くのビジネスシーンで業務の遅延や情報伝達のボトルネックが発生する可能性があります。本記事では、この問題を解決するための具体的な設定方法を、管理者権限が必要な箇所も含めて、分かりやすく解説します。これにより、あなたは組織のセキュリティポリシーを守りつつ、外部との連携を円滑に進めることができるようになります。

機密ラベル付きメールの外部共有における課題とGuest Accessの役割

Microsoft 365環境では、Azure Information Protection(AIP)やMicrosoft Purview Information Protection(MPIP)によって、メールやドキュメントに機密ラベルを付与し、情報漏洩を防ぐ仕組みが提供されています。機密ラベルは、メールの本文、件名、添付ファイルに保護設定を適用し、特定のユーザーやグループのみがアクセスできるように制限します。しかし、この保護機能は、デフォルトでは組織内のユーザーのみを対象としています。

組織外のユーザー(ゲストユーザー)に機密ラベルが付与されたメールを送信する必要がある場合、通常のメール送信では保護設定が適用され、相手がメールを開けなかったり、添付ファイルにアクセスできなかったりする問題が発生します。これは、組織のセキュリティを維持するための重要な機能ですが、外部との連携を妨げる要因にもなり得ます。この課題を解決するために導入されるのが、Azure Active Directory(Azure AD)のGuest Access機能です。Guest Accessを利用することで、組織外のユーザーを一時的または恒久的に組織のAzure ADにゲストとして招待し、限定的なアクセス権限を付与することが可能になります。これにより、機密ラベルで保護されたメールであっても、許可されたゲストユーザーのみが安全にアクセスできるようになります。

Guest Accessを有効にするための前提条件と初期設定

Outlookで機密ラベル付きメールを外部ユーザーに送信できるようにするためには、いくつかの前提条件と初期設定が完了している必要があります。これらの設定は、通常、Microsoft 365の全体管理者またはAzure Active Directory(Azure AD)のグローバル管理者権限を持つユーザーが行います。

まず、Azure Active Directory(Azure AD)の「外部コラボレーション設定」で、外部ユーザーの招待が許可されていることを確認する必要があります。この設定は、組織が外部との連携をどの程度許可するかを決定する基本的な部分です。次に、Microsoft Purviewコンプライアンスポータル(旧称: Microsoft 365コンプライアンスセンター)で、機密ラベルが適切に設定され、外部共有を許可するポリシーが構成されている必要があります。機密ラベル自体に外部共有を許可する設定が含まれている場合でも、Azure ADの外部コラボレーション設定がそれを許可していなければ、機能しません。これらの基本的な設定が完了していることが、後続の具体的な手順を進める上での土台となります。

Azure Active Directory(Azure AD)での外部コラボレーション設定

機密ラベル付きメールを外部に送信できるようにするための最初のステップは、Azure Active Directory(Azure AD)で外部コラボレーションの設定を確認・構成することです。これにより、組織のAzure ADに外部ユーザーを招待できるようになります。この設定は、Azure Active Directory(Azure AD)のグローバル管理者権限が必要です。

外部コラボレーション設定には、主に「外部ユーザーの招待を許可するかどうか」や、「ゲストユーザーに付与できるアクセス許可レベル」などが含まれます。機密ラベル付きメールを外部に送信するためには、最低限、外部ユーザーの招待を許可する設定が必要です。また、必要に応じて、ゲストユーザーが利用できる機能やアクセスできるリソースを制限することも可能です。これらの設定は、組織のセキュリティポリシーに基づいて慎重に行う必要があります。

Azure AD外部コラボレーション設定の確認・変更手順

1. Azure Active Directory(Azure AD)ポータルにサインインする
   管理者アカウントでAzureポータル(https://portal.azure.com/)にサインインします。
2. Azure Active Directory(Azure AD)を選択する
   左側のメニューから「Azure Active Directory(Azure AD)」を選択します。
3. 外部IDを選択する
   「管理」セクションにある「外部ID」を選択します。
4. 外部コラボレーション設定を開く
   「外部コラボレーション設定」をクリックします。
5. ゲスト招待の設定を確認・変更する
   「ゲストの招待を許可する」が「はい」になっていることを確認します。もし「いいえ」になっている場合は、「はい」に変更してください。
6. メンバー以外のゲスト招待を許可するか確認する
   必要に応じて、「メンバー以外のユーザーがゲストを招待できるか」などの設定も確認します。機密ラベル付きメールの共有を広範囲に行いたい場合は、この設定も「はい」にすることが考えられます。
7. 保存する
   設定を変更した場合は、「保存」ボタンをクリックして変更を適用します。

この設定により、Azure Active Directory(Azure AD)テナント全体として、外部ユーザーを招待できるようになります。ただし、これはあくまで外部ユーザーを招待できるかどうかの設定であり、機密ラベル付きメールの共有を直接許可するものではありません。次のステップで、機密ラベルの設定を行います。

Microsoft Purviewコンプライアンスセンターでの機密ラベル設定

次に、Microsoft Purviewコンプライアンスセンター(旧称: Microsoft 365コンプライアンスセンター)で、機密ラベルの設定を行います。この設定は、機密ラベル自体が外部共有を許可する権限を持つように構成するために重要です。この作業には、Microsoft Purviewコンプライアンスセンターの「情報保護」または「機密ラベル」の管理権限が必要です。

機密ラベルの設定では、ラベルの適用対象(メール、ドキュメントなど)や、適用された際の保護設定(暗号化、アクセス許可など)を定義します。外部共有を許可するためには、特定の機密ラベルに対して、外部ユーザーへの共有を許可する設定を追加する必要があります。この設定は、組織のセキュリティポリシーと、共有する必要のある情報の重要度を考慮して慎重に行う必要があります。

機密ラベルの外部共有許可設定手順

1. Microsoft Purviewコンプライアンスセンターにサインインする
   管理者アカウントでMicrosoft Purviewコンプライアンスセンター(https://compliance.microsoft.com/)にサインインします。
2. 情報保護を選択する
   左側のナビゲーションメニューから「情報保護」>「機密ラベル」を選択します。
3. 対象の機密ラベルを選択する
   外部共有を許可したい既存の機密ラベルを選択するか、新しいラベルを作成します。ラベル名をクリックして詳細設定を開きます。
4. 「保護設定」または「ラベル設定」を開く
   ラベルの詳細設定画面で、「保護設定」または「ラベル設定」のセクションを探します。
5. 「メールとドキュメントの暗号化とアクセス許可」または類似の項目を選択する
   ここで、メールやドキュメントに対する保護設定を構成します。「暗号化」や「アクセス許可」などのオプションが表示されます。
6. 「外部ユーザーへの共有を許可する」または類似のオプションを有効にする
   このオプションが表示されている場合、それを有効にします。表示されない場合は、ラベルのプロパティで「外部共有」に関連する設定を確認します。
7. アクセス許可を構成する(必要な場合)
   「すべての外部ユーザー」に許可するか、特定のドメインやユーザーグループに限定するかなどを設定できます。通常、機密ラベル付きメールを外部に送信する場合は、「すべての外部ユーザー」または特定の許可されたドメインを指定します。
8. 保存する
   設定を変更した場合は、「保存」ボタンをクリックして変更を適用します。

この設定により、指定した機密ラベルが付与されたメールは、外部ユーザーにも共有可能になります。ただし、この設定だけでは、Outlookで実際に機密ラベルを選択した際に、外部共有がスムーズに行われるとは限りません。Outlookのポリシー設定も確認する必要があります。

Outlookの機密ラベルポリシー設定

Azure Active Directory(Azure AD)とMicrosoft Purviewコンプライアンスセンターでの設定が完了したら、OutlookクライアントおよびWeb版Outlookでの機密ラベルの動作を制御するポリシー設定を確認・構成します。この設定は、機密ラベルがOutlookでどのように表示され、ユーザーがどのように操作できるかに影響します。この設定も、Microsoft Purviewコンプライアンスセンターの「情報保護」の管理者権限が必要です。

Outlookの機密ラベルポリシーでは、特定の機密ラベルをユーザーに表示させるかどうか、または特定のシナリオ(例:外部送信)でのラベルの使用を制限または許可するかどうかを定義できます。機密ラベル付きメールを外部に送信できるようにするには、Outlookポリシーでそのラベルが使用可能であり、かつ外部共有を妨げない設定になっていることを確認する必要があります。

Outlook機密ラベルポリシーの確認・設定手順

1. Microsoft Purviewコンプライアンスセンターにサインインする
   管理者アカウントでMicrosoft Purviewコンプライアンスセンター(https://compliance.microsoft.com/)にサインインします。
2. 情報保護を選択する
   左側のナビゲーションメニューから「情報保護」>「ポリシー」を選択します。
3. 対象の機密ラベルポリシーを選択する
   機密ラベルが適用されているポリシー(通常は「すべてのユーザー」または特定のグループに適用されているポリシー)を選択します。
4. 「機密ラベル」または「メール設定」セクションを開く
   ポリシーの詳細設定画面で、機密ラベルに関連する設定項目を探します。
5. 外部共有に関する設定を確認する
   「外部共有」や「外部ユーザーへの共有」といった項目を確認します。ここで、特定の機密ラベルや、すべての機密ラベルに対して外部共有を許可または制限する設定が行われている場合があります。
6. Outlookでの表示設定を確認する
   「Outlook」セクションで、機密ラベルがOutlookクライアントやWeb版Outlookに表示されるように設定されているか確認します。
7. 必要に応じて設定を調整する
   もし、機密ラベル付きメールの外部共有を妨げるような設定があれば、それを解除または変更します。例えば、「外部共有を制限する」のような項目があれば、その設定を見直します。
8. 保存する
   変更を加えた場合は、「保存」ボタンをクリックして設定を適用します。

これらの設定により、Outlook上で機密ラベルが正しく機能し、外部共有が許可されるようになります。しかし、実際に外部ユーザーにメールを送信するには、その外部ユーザーを組織に招待し、アクセス権限を付与するプロセスが必要です。

ゲストユーザーの招待とアクセス許可の付与

ここまでの設定は、システム側で機密ラベル付きメールの外部共有を可能にするための準備です。実際に外部ユーザーが機密ラベル付きメールを受信・閲覧できるようにするには、その外部ユーザーをAzure Active Directory(Azure AD)にゲストとして招待し、適切なアクセス許可を付与する必要があります。この作業は、Azure Active Directory(Azure AD)のグローバル管理者、ユーザー管理者、またはゲスト招待者ロールを持つユーザーが行えます。

ゲストユーザーの招待は、Outlookのメール送信機能から直接行うこともできますし、Azure Active Directory(Azure AD)ポータルから手動で行うことも可能です。招待されたゲストユーザーは、Microsoftアカウント(Microsoft 365アカウント、Outlook.comアカウント、Gmailアカウントなど)を使用して、組織のリソースにアクセスします。機密ラベル付きメールの場合、招待されたゲストユーザーは、そのメールに付与された機密ラベルの保護設定に従って、メールの内容にアクセスすることになります。

ゲストユーザー招待とアクセス許可付与の手順

1. Azure Active Directory(Azure AD)ポータルにサインインする
   管理者アカウントでAzureポータル(https://portal.azure.com/)にサインインします。
2. Azure Active Directory(Azure AD)を選択する
   左側のメニューから「Azure Active Directory(Azure AD)」を選択します。
3. ユーザーを選択する
   「管理」セクションにある「ユーザー」を選択します。
4. 新しいゲストユーザーを作成する
   「+新しいユーザー」をクリックし、「外部ユーザーの作成」を選択します。
5. ユーザー情報を入力する
   ゲストユーザーのメールアドレス、表示名などを入力します。
6. 招待を送信する
   「招待の送信」ボタンをクリックします。
7. ゲストユーザーが招待を承諾する
   招待されたユーザーは、受信した招待メールを開き、アクセス要求を承諾する必要があります。
8. (オプション)アクセス許可を付与する
   通常、機密ラベル付きメールの受信だけであれば、特別なアクセス許可は不要な場合が多いです。しかし、もしゲストユーザーに特定のSharePointサイトなどへのアクセスを許可する必要がある場合は、Azure ADまたはSharePoint側でアクセス許可を設定します。

招待されたゲストユーザーは、組織のディレクトリに表示されるようになります。この状態で、組織内のユーザーがOutlookから機密ラベル付きメールを送信する際に、このゲストユーザーを宛先として指定できるようになります。機密ラベルの保護設定が正しく構成されていれば、ゲストユーザーはメールを開き、内容を確認できるはずです。

機密ラベル付きメールを外部に送信する際の注意点とトラブルシューティング

Guest Accessの設定と機密ラベルの設定が完了しても、実際に機密ラベル付きメールを外部に送信する際には、いくつかの注意点や、発生しうるトラブルがあります。これらの点を理解しておくことで、よりスムーズな情報共有が可能になります。

機密ラベルの外部共有設定に関する注意点

組織ポリシーとの整合性

Guest Accessの設定や機密ラベルの設定は、組織全体のセキュリティポリシーと整合性が取れている必要があります。特に、機密性の高い情報を外部と共有する際は、その必要性、共有相手の信頼性、共有範囲などを慎重に判断する必要があります。管理者権限を持つ担当者は、これらの設定を行う前に、組織のセキュリティ担当者やコンプライアンス部門と十分に協議することが重要です。

ラベルの継承と適用範囲

機密ラベルは、メールだけでなく、添付されたドキュメントにも適用される場合があります。外部ユーザーがメール本文は閲覧できても、添付ファイルにアクセスできないといった問題が発生することがあります。これは、添付ファイルに適用された機密ラベルの保護設定が、ゲストユーザーのアクセスを許可していない場合に起こります。添付ファイルに対しても、適切な機密ラベル設定と外部共有許可設定が必要です。

ライセンス要件

ゲストユーザーが機密ラベル付きメールの内容にアクセスするには、Microsoft 365のライセンス要件を満たす必要があります。通常、機密ラベルによる保護機能を利用するには、Microsoft Purview Information Protection(MPIP)の機能が含まれるライセンス(例:Microsoft 365 E3、E5、またはAIP P1/P2ライセンス)が必要です。ゲストユーザーがこれらのライセンスを持っていない場合、アクセスできない可能性があります。ただし、機密ラベル付きメールの受信自体は、ライセンスがない場合でも可能なケースもあります。詳細はMicrosoftのドキュメントで確認が必要です。

よくあるトラブルシューティング

ゲストユーザーがメールを開けない

原因: Azure ADの外部コラボレーション設定が無効、機密ラベルの外部共有設定が不足、またはゲストユーザーが招待を承諾していない。

対処法: 上記のAzure AD外部コラボレーション設定、Microsoft Purviewコンプライアンスセンターでの機密ラベル設定、およびゲストユーザーの招待承諾状況を再確認してください。

添付ファイルにアクセスできない

原因: メール本文の機密ラベルは外部共有が許可されていても、添付ファイルに適用された機密ラベルの保護設定が外部共有を許可していない。

対処法: 添付ファイルに適用される機密ラベルの設定を確認し、外部共有を許可するように構成してください。必要であれば、Outlookでメールを再作成し、添付ファイルを再添付して機密ラベルを再適用します。

機密ラベルが表示されない

原因: Outlookの機密ラベルポリシーで、そのラベルが表示されないように設定されている、またはポリシーがゲストユーザーに適用されていない。

対処法: Microsoft PurviewコンプライアンスセンターでOutlookの機密ラベルポリシーを確認し、対象の機密ラベルがOutlookに表示されるように設定されているか確認してください。

ゲストユーザーが招待メールを受け取れない

原因: 招待するユーザーのメールアドレスが間違っている、または招待先のメールサーバーで受信拒否されている。

対処法: 招待するゲストユーザーのメールアドレスを正確に入力しているか確認してください。また、ゲストユーザーのメール管理者に問い合わせ、招待メールが迷惑メールフォルダに振り分けられていないか、または受信拒否されていないかを確認してもらってください。

新しいTeams(v2)と従来Teams、新しいOutlookと従来Outlookの違い

Microsoft TeamsとOutlookは、継続的にアップデートされており、新しいバージョンが登場しています。これらの新しいバージョンでは、UIの変更や機能の追加・統合が行われることがあります。機密ラベルの機能やGuest Accessの設定は、これらのプラットフォームのアップデートによって直接的な影響を受けることは少ないですが、操作インターフェースが変更される可能性があります。

新しいTeams(v2)と従来Teams: 新しいTeams(v2)は、パフォーマンスの向上とUIの刷新が図られています。機能自体は概ね引き継がれていますが、設定画面の場所や表示方法が変更されていることがあります。機密ラベルの適用や共有設定は、Teams会議のポリシー設定などと連携する場合がありますが、基本的なGuest Accessの設定はAzure AD側で行われます。

新しいOutlookと従来Outlook: 新しいOutlookは、Web版OutlookのUIをデスクトップアプリに統合したものです。従来のOutlook(Windows版)とは見た目が大きく異なりますが、基本的なメール送受信機能や、機密ラベルの適用・管理機能は維持されています。機密ラベルの表示や選択方法、共有設定の確認方法などが、新しいUIに合わせて変更されている可能性があります。例えば、新しいOutlookでは、メール作成画面の「オプション」タブではなく、リボンメニューや右クリックメニューから機密ラベルを選択するようになっている場合があります。

これらの新しいバージョンを使用している場合、本記事で解説した設定手順の画面表示やメニューの場所が若干異なる可能性があります。しかし、根本的な設定項目や必要な権限は同じです。もし操作に迷った場合は、各バージョンのヘルプドキュメントを参照するか、最新のUIに基づいた操作方法を検索することをお勧めします。

まとめ

本記事では、Microsoft Outlookで機密ラベル付きメールを外部ユーザーに安全に送信するためのGuest Access設定手順を解説しました。Azure Active Directory(Azure AD)での外部コラボレーション設定、Microsoft Purviewコンプライアンスセンターでの機密ラベル設定、およびゲストユーザーの招待とアクセス許可付与の手順を理解することで、組織のセキュリティを維持しながら、外部との情報共有を円滑に行うことが可能になります。これらの設定は、組織のセキュリティポリシーに基づき、管理者権限を持つ担当者が慎重に行う必要があります。今後は、必要に応じてゲストユーザーのアクセス権限を定期的に見直し、不要になったゲストユーザーのアカウントを適切に削除することで、セキュリティレベルを維持してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。