「Teams会議への参加は許可したいが、Teamsアプリからのファイルダウンロードは制限したい」
このような、特定の条件でMicrosoft Teamsの利用を細かく制御したい場面はありませんか。
本記事では、Microsoft Entra ID (旧Azure AD) のConditional Accessポリシーを利用して、Teamsの利用を「Teamsアプリからのアクセスのみ」に限定する手順を解説します。
これにより、情報漏洩リスクを低減しつつ、会議参加といった必須業務は継続できます。
【要点】Teamsアクセスを「Teamsアプリのみ」に制限するConditional Access設定
- Conditional Accessポリシーの作成: Teamsアプリのみを許可する条件を定義します。
- クラウドアプリの選択: 対象アプリとして「Microsoft Teams」を指定します。
- セッション制御の設定: 「アプリの利用を制限する」を選択し、「Microsoft Teams」を選択して、Teamsアプリからのアクセスのみを許可します。
ADVERTISEMENT
目次
Conditional AccessでTeamsアクセスを制限する仕組み
Microsoft Teamsの利用を特定の条件で制限するには、Microsoft Entra ID (旧Azure AD) のConditional Access機能が有効です。
Conditional Accessは、ユーザー、デバイス、場所、アプリケーションなどの条件に基づいて、リソースへのアクセスを許可するかどうかを動的に制御する機能です。
この機能を使うことで、「Teams会議への参加は許可するが、Webブラウザ経由でのファイルダウンロードは禁止する」といった、きめ細やかなアクセス制御が可能になります。
今回の設定では、Conditional Accessポリシーを用いて、Teamsアプリ以外からのアクセス(Webブラウザ経由など)をブロックします。
これにより、ユーザーはTeamsアプリを通じてのみTeamsにアクセスできるようになり、不必要な情報持ち出しや不正利用のリスクを低減できます。
Conditional Accessポリシー作成の前提条件
この設定を行うには、Microsoft Entra ID P1またはP2ライセンスが必要です。
また、Microsoft Entra IDのグローバル管理者、セキュリティ管理者、またはConditional Access管理者ロールを持つユーザーのみが、ポリシーを作成・編集できます。
設定対象のユーザーやグループが、Microsoft 365テナント内で正しく管理されていることも前提となります。
Teamsアクセスを「Teamsアプリのみ」に制限する設定手順
Microsoft Entra管理センターから、Conditional Accessポリシーを作成し、Teamsアプリのみを許可する設定を行います。
- Microsoft Entra管理センターへのサインイン
Microsoft Entra管理センター (https://entra.microsoft.com/) に、管理者アカウントでサインインします。 - Conditional Accessメニューへの移動
左側のナビゲーションメニューから「保護」>「条件付きアクセス」を選択します。 - 新しいポリシーの作成
「ポリシー」画面で、「+ 新しいポリシー」ボタンをクリックします。 - ポリシー名の入力
「名前」フィールドに、ポリシーの内容がわかる名前を入力します。例:「Teamsアプリのみ許可 – 制限」 - 割り当ての構成 – ユーザーとグループ
「割り当て」セクションの「ユーザーとグループ」をクリックします。- 対象ユーザーの選択
「割り当て」で「すべてのユーザー」を選択するか、特定のユーザー、グループ、またはロールを選択します。限定したいユーザーグループを指定してください。
「除外」で、このポリシーを適用したくないユーザーやグループを指定することもできます。
- 対象ユーザーの選択
- 割り当ての構成 – クラウドアプリまたは操作
「割り当て」セクションの「クラウドアプリまたは操作」をクリックします。- 対象アプリの選択
「クラウドアプリ」を選択し、「アプリを含める」で「すべてのクラウドアプリ」を選択します。
その下の「除外」で、「すべてのクラウドアプリ」を選択した上で、「Microsoft Teams」を「除外」として指定します。これにより、Teams以外のアプリへのアクセスは影響を受けません。
- 対象アプリの選択
- 条件の構成 – アプリケーションの条件
「条件」セクションの「アプリケーションの条件」をクリックします。- 条件の有効化
「構成」を「はい」に設定します。 - 対象アプリケーションの選択
「アプリの種類」で「モバイルアプリとデスクトップアプリ」を選択します。
- 条件の有効化
- アクセス制御 – セッション
「アクセス制御」セクションの「セッション」をクリックします。- アプリの利用制限
「アプリの利用を制限する」を選択します。 - 制限するアプリの選択
「アプリの利用を制限する」の下で、「アプリの利用を制限する」を選択し、ドロップダウンメニューから「Microsoft Teams」を選択します。 - ポリシーの適用
「選択」ボタンをクリックして、この設定を保存します。
- アプリの利用制限
- ポリシーの有効化
「ポリシーを有効にする」で「オン」を選択します。テスト目的の場合は「レポートのみ」を選択して、ポリシーがどのように影響するかを確認することもできます。 - ポリシーの作成
「作成」ボタンをクリックして、ポリシーを保存します。
ADVERTISEMENT
新しいTeams(v2)と従来Teamsの違い
新しいTeams (v2) は、パフォーマンスの向上や機能の統合を目指して再設計されたクライアントです。従来のTeamsと比較して、リソース消費の最適化や、Webアプリ版、デスクトップアプリ版、モバイルアプリ版での一貫性が強化されています。
Conditional Accessポリシーは、アプリケーションレベルでアクセスを制御するため、新しいTeams (v2) と従来のTeamsクライアントのどちらに対しても同様に機能します。このポリシー設定は、Teamsのバージョンに関わらず、Teamsアプリケーションからのアクセスという概念に基づいています。
新しいOutlookと従来Outlookの違い
新しいOutlookは、Outlook on the web (OWA) をベースに、よりモダンなインターフェースと機能を提供することを目指しています。従来のOutlookデスクトップアプリケーションとは異なり、Web技術を基盤としています。
今回のConditional Accessポリシー設定は、Teamsアプリケーションからのアクセスを制限するものであり、Outlookの利用には直接影響しません。Outlookへのアクセス制御については、別途Conditional Accessポリシーで設定する必要があります。
Teamsアクセス制限でよくある誤操作と対処法
Conditional Accessポリシーの設定は、意図しないユーザーやアプリへの影響を及ぼす可能性があります。以下の点に注意してください。
「すべてのクラウドアプリ」を除外から指定し忘れる
症状: ポリシーを有効にしたところ、Teamsだけでなく、他のMicrosoft 365アプリ(SharePoint、Outlookなど)へのアクセスもできなくなった。
原因: 「割り当て」>「クラウドアプリまたは操作」で、「アプリを含める」で「すべてのクラウドアプリ」を選択した際に、「除外」で「すべてのクラウドアプリ」を指定し忘れた、または「Microsoft Teams」を正しく除外指定できていない。
対処法:
- ポリシーの編集
該当のConditional Accessポリシーを編集します。 - クラウドアプリの設定確認
「割り当て」>「クラウドアプリまたは操作」で、「アプリを含める」が「すべてのクラウドアプリ」になっていることを確認します。
次に、「除外」で「すべてのクラウドアプリ」を選択し、その中の「除外」で「Microsoft Teams」が指定されていることを確認します。 - ポリシーの保存
設定を保存し、再度ユーザーにアクセスを試してもらいます。
「モバイルアプリとデスクトップアプリ」の条件指定を誤る
症状: WebブラウザからのTeamsアクセスは制限されたが、デスクトップアプリからのアクセスもできなくなった、あるいはその逆。
原因: 「条件」>「アプリケーションの条件」で、「アプリの種類」の指定が不十分、または意図しない設定になっている。
対処法:
- ポリシーの編集
該当のConditional Accessポリシーを編集します。 - アプリケーションの条件確認
「条件」>「アプリケーションの条件」を開きます。
「構成」を「はい」にし、「アプリの種類」で「モバイルアプリとデスクトップアプリ」が選択されていることを確認します。 - セッション制御の確認
「アクセス制御」>「セッション」で、「アプリの利用を制限する」が選択され、その中で「Microsoft Teams」が選択されていることを確認します。 - ポリシーの保存
設定を保存し、再度ユーザーにアクセスを試してもらいます。
ポリシーが適用されない
症状: 設定したポリシーが、対象ユーザーに全く適用されない。
原因: Conditional Accessポリシーの「有効にする」設定が「レポートのみ」になっている、または対象ユーザー/グループの指定が誤っている。
対処法:
- ポリシーの編集
該当のConditional Accessポリシーを編集します。 - ポリシーの有効化設定確認
「ポリシーを有効にする」が「オン」になっていることを確認します。テスト運用中の場合は、一度「オン」にして動作を確認してください。 - ユーザーとグループの指定確認
「割り当て」>「ユーザーとグループ」で、ポリシーが適用されるべきユーザーやグループが正しく選択されているか確認します。除外設定も確認してください。 - ポリシーの保存
設定を保存します。
Mac版・モバイル版・Web版での違い
今回設定するConditional Accessポリシーは、Microsoft Entra IDの機能として、アプリケーションレベルでのアクセス制御を行います。そのため、Teamsクライアントのプラットフォーム(Windows、macOS、iOS、Android)や、Webブラウザ(Edge、Chrome、Safariなど)の種類によらず、Teamsアプリケーションからのアクセスであるかどうかが判定基準となります。
Mac版Teamsアプリ、モバイル版Teamsアプリ、そしてWebブラウザ版Teams(Teams on the web)のいずれも、このポリシーの対象となります。ポリシーは、Teamsアプリケーションとして認識されるものからのアクセスを許可し、それ以外のアクセス(例:Webブラウザから直接TeamsのURLにアクセスする)をブロックするように動作します。
ただし、特定のプラットフォームやブラウザにのみ影響を与えるような、より詳細な制御を行いたい場合は、Conditional Accessポリシーの「条件」セクションで、デバイスプラットフォームやクライアントアプリケーションの種類を指定することも可能です。
まとめ
本記事では、Microsoft Entra IDのConditional Access機能を用いて、Teamsへのアクセスを「Teamsアプリのみ」に制限する手順を解説しました。
これにより、Webブラウザ経由でのファイルダウンロードなどを防ぎ、情報漏洩リスクを軽減しつつ、Teams会議への参加は従来通り行えるようになります。
設定後は、必ず「レポートのみ」モードで動作を確認し、意図しない影響がないことを確かめてから「オン」に切り替えることを推奨します。
この設定を応用することで、他のMicrosoft 365アプリケーションに対しても、同様のきめ細やかなアクセス制御が可能になります。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
- 【Outlook】メールの受信が数分遅れる!リアルタイムで届かない時の同期設定と送受信グループ設定
- 【Outlook】「メール送信を5分遅らせる」設定!誤送信を防ぐ最強のディレイ機能
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Outlook】予定表の「祝日」が表示されない!最新カレンダーの追加と二重表示の修正手順
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順