【Teams】Teamsの外部アクセスとゲストアクセスの違いを理解するセキュリティ設定

Microsoft Teamsで組織外のユーザーと連携する際、外部アクセスとゲストアクセスという二つの機能があります。どちらも外部ユーザーとのコミュニケーションを可能にしますが、その仕組みやセキュリティレベルは異なります。この違いを理解せずに設定すると、意図しない情報漏洩のリスクにつながる可能性があります。本記事では、Teamsの外部アクセスとゲストアクセスの違いを明確にし、それぞれの設定方法とセキュリティ上の注意点を解説します。これにより、安全かつ効果的な外部連携を実現できるようになります。

Teams会議やチャットで、社外のパートナーやクライアントとやり取りする機会は増えています。しかし、これらの外部ユーザーをどのようにTeamsに招待・連携させるかで、セキュリティリスクが大きく変わってきます。外部アクセスとゲストアクセスは、似ているようで全く異なる概念です。それぞれの特徴を正確に把握し、組織のセキュリティポリシーに沿った適切な設定を行うことが重要です。この記事を読めば、両者の違いが明確になり、どちらの機能を使うべきか、どのような設定が必要かが理解できるようになります。

外部アクセスとゲストアクセスの根本的な違い

Microsoft Teamsにおける外部アクセスとゲストアクセスは、どちらも社外のユーザーとのコラボレーションを円滑にするための機能ですが、その目的と提供される機能範囲、そしてセキュリティ管理のレベルが大きく異なります。外部アクセスは、主に組織外のTeamsユーザー同士が、互いの組織のTeams環境を直接利用しながら、チャットや通話といった基本的なコミュニケーションを行うことを目的としています。一方、ゲストアクセスは、組織が所有する特定のTeamsチームに、社外のユーザーを「メンバー」として招待し、そのチーム内のチャネル、ファイル共有、会議への参加といった、より深いレベルでの共同作業を可能にするための機能です。この根本的な違いを理解することが、適切なセキュリティ設定の第一歩となります。

外部アクセスでは、ユーザーは自分の組織のTeamsインターフェースから、外部のユーザーを検索し、チャットを開始したり、通話を発信したりできます。この際、外部ユーザーは自分の所属する組織のTeams環境にサインインしたまま、やり取りを行います。そのため、外部ユーザーのTeams環境の設定やポリシーが適用される側面があります。これに対し、ゲストアクセスでは、招待された外部ユーザーは、招待元の組織のTeamsチームにゲストとして参加します。これにより、チームの所有者やメンバーは、ゲストユーザーに対して、チーム内の情報へのアクセス権限や、利用できる機能を細かく制御できるようになります。つまり、ゲストアクセスは、より広範なリソース共有を前提としているため、セキュリティ管理の重要性が格段に高まるのです。

外部アクセスの仕組みと設定方法

外部アクセスは、組織外のTeamsユーザーと、直接チャットや通話を行うための機能です。この機能が有効になっていると、組織内のユーザーは、社外のTeamsユーザーを連絡先として追加し、メッセージの送受信や音声・ビデオ通話ができます。外部アクセスは、基本的に相手の組織のTeams環境を利用するため、招待された側は自分のTeamsアカウントで通常通り操作します。外部アクセスは、Azure Active Directory(Azure AD)のB2Bコラボレーション機能と連携しており、ユーザーは自分のTeamsアカウントで外部ユーザーとコミュニケーションをとることができます。この機能により、Teams会議の招待をメールで送るだけでなく、Teamsチャネル内で直接外部ユーザーをメンションしたり、チャットを始めたりすることも可能になります。

外部アクセスの設定は、Microsoft Teams管理センターで行います。この設定は、組織全体のTeams環境に影響するため、通常はTeamsのサービス管理者権限を持つユーザーのみが操作できます。管理者権限を持つユーザーは、Teams管理センターにサインインし、「外部アクセス」の項目から設定を行います。設定オプションとしては、外部アクセスを完全にオフにする、特定のドメインのみを許可またはブロックする、すべての外部ユーザーとの通信を許可するといった選択肢があります。組織によっては、セキュリティポリシーに基づき、特定のドメインからのアクセスのみを許可するなど、細かく制限を設ける場合があります。これらの設定は、組織のセキュリティ要件と、社外との連携の必要性のバランスを考慮して決定する必要があります。

1. Teams管理センターへのサインイン
   Microsoft 365管理センターに、管理者アカウントでサインインします。
2. Teams管理センターへの移動
   左側のナビゲーションメニューから「すべてのアプリを表示」を選択し、「Microsoft Teams」をクリックしてTeams管理センターを開きます。
3. 外部アクセス設定の選択
   Teams管理センターの左側メニューで、「ユーザー」>「外部アクセス」を選択します。
4. 通信方法の設定
   「外部アクセス」画面で、通信方法を選択します。
5. オプションの選択
   以下のいずれかのオプションを選択します。
   • 「すべての外部アプリ」:すべての外部Teamsユーザーとの通信を許可します。
   • 「特定の外部アプリ」:許可する外部アプリ(ドメイン)を指定します。
   • 「ブロックされた外部アプリ」:ブロックする外部アプリ(ドメイン)を指定します。
   • 「外部アクセスなし」:すべての外部ユーザーとの通信をブロックします。
6. ドメインの追加・ブロック(該当する場合)
   「特定の外部アプリ」または「ブロックされた外部アプリ」を選択した場合は、「ドメインを追加」または「ドメインをブロック」をクリックし、許可またはブロックしたいドメイン名を入力します。
7. 設定の保存
   設定が完了したら、「保存」ボタンをクリックして設定を適用します。

ゲストアクセスの仕組みと設定方法

ゲストアクセスは、組織のTeamsチームに、外部のユーザーをメンバーとして招待し、チーム内のリソースを共有するための機能です。これにより、社外のパートナーやベンダー、クライアントなどを、特定のプロジェクトチームに迎え入れ、共同で作業を進めることが可能になります。ゲストユーザーは、招待されたチームのチャネル、ファイル、会議、Wikiなどのリソースにアクセスできます。ただし、アクセスできる範囲は、チームの所有者またはメンバーによって細かく制御されます。ゲストアクセスは、Azure ADのB2Bコラボレーションを基盤としており、招待されたゲストユーザーは、自分の組織のアカウントまたはMicrosoftアカウントを使用して、招待元のTeamsチームにアクセスします。

ゲストアクセスの設定も、Microsoft Teams管理センターで行います。この機能は、デフォルトでは有効になっていますが、組織のポリシーによっては無効化されている場合もあります。ゲストアクセスを有効にするには、Teams管理センターの「外部アクセス」設定で、「すべての外部アプリ」または「特定の外部アプリ」を選択し、さらに「ゲストアクセス」の項目で、ゲストアクセスを許可する設定が必要です。ゲストアクセスを有効にすると、チームの所有者は、チームのメンバーとして外部ユーザーを招待できるようになります。招待されたゲストユーザーは、招待メールを受け取り、そのリンクをクリックすることで、招待されたチームにアクセスできます。ゲストユーザーの管理(招待、削除、権限変更など)は、チームの所有者または管理者がTeams上で直接行うことができます。

1. Teams管理センターへのサインイン
   Microsoft 365管理センターに、管理者アカウントでサインインします。
2. Teams管理センターへの移動
   左側のナビゲーションメニューから「すべてのアプリを表示」を選択し、「Microsoft Teams」をクリックしてTeams管理センターを開きます。
3. 外部アクセス設定の選択
   Teams管理センターの左側メニューで、「ユーザー」>「外部アクセス」を選択します。
4. ゲストアクセス設定の確認・変更
   「外部アクセス」画面で、「ゲストアクセス」セクションを確認します。
5. ゲストアクセスの許可
   「ゲストアクセス」が「オン」になっていることを確認します。もし「オフ」になっている場合は、「オン」に変更します。
6. 外部アクセスとの連携
   ゲストアクセスは外部アクセスと連携して機能するため、外部アクセス設定が適切に行われているかどうかも確認してください。
7. 設定の保存
   設定が完了したら、「保存」ボタンをクリックして設定を適用します。

チームへのゲストユーザーの招待手順:

1. 招待したいチームを開く
   Teamsクライアントで、ゲストユーザーを招待したいチームを開きます。
2. チーム名の横の「…」をクリック
   チーム名の横にある「その他のオプション」ボタン(「…」)をクリックします。
3. 「メンバーを追加」を選択
   ドロップダウンメニューから「メンバーを追加」を選択します。
4. ゲストユーザーのメールアドレスを入力
   「メンバーを追加」フィールドに、招待したいゲストユーザーのメールアドレスを入力します。
5. 「追加」をクリック
   入力後、「追加」ボタンをクリックします。
6. ゲストユーザーの権限設定(任意)
   ゲストユーザーの役割(メンバーまたは所有者)を選択する画面が表示される場合があります。必要に応じて設定し、「追加」をクリックします。
7. 招待メールの送信
   ゲストユーザーには、招待メールが送信されます。メール内のリンクをクリックすることで、チームに参加できます。

セキュリティ設定における重要な違いと注意点

外部アクセスとゲストアクセスでは、セキュリティ上の考慮事項が大きく異なります。外部アクセスは、主にチャットや通話といったコミュニケーションに限定されるため、比較的リスクは低いと言えます。しかし、組織外のユーザーと直接やり取りするため、情報漏洩のリスクがないわけではありません。例えば、機密情報をチャットで誤って送信してしまう可能性があります。そのため、外部アクセスにおいても、組織内のユーザーに対して、機密情報の取り扱いに関する注意喚起や、共有すべき情報・すべきでない情報のガイドラインを周知することが重要です。また、Teams管理センターでの設定において、許可するドメインを限定したり、特定のユーザーのみに外部アクセスを許可するといった、きめ細やかな制御を行うことも、セキュリティを高める上で有効です。

一方、ゲストアクセスは、チーム内のチャネル、ファイル、会議など、より広範なリソースへのアクセスを伴うため、セキュリティリスクは格段に高まります。ゲストユーザーに付与する権限を最小限に抑えることが極めて重要です。例えば、機密情報が含まれるファイルが保存されているチャネルへのアクセス権限は、必要最低限のゲストユーザーにのみ付与すべきです。また、チームの所有者は、ゲストユーザーの参加状況を常に把握し、不要になったゲストユーザーは速やかにチームから削除する必要があります。Teams管理センターでは、ゲストアクセスに関して、ゲストユーザーがチームを作成できるか、ゲストユーザーがチャネルを削除できるかといった、より詳細な設定項目も用意されています。これらの設定を組織のセキュリティポリシーに合わせて適切に構成することで、ゲストアクセスに伴うリスクを低減できます。

外部アクセスにおける注意点

外部アクセスを利用する際は、以下の点に注意が必要です。

機密情報のチャットでの誤送信

外部ユーザーとのチャットで、誤って機密情報や個人情報を含むメッセージを送信してしまうリスクがあります。送信前に内容を十分に確認する習慣をつけましょう。また、組織として、チャットでの機密情報のやり取りを原則禁止するなどのポリシーを設けることも有効です。

意図しない外部ユーザーとの接続

外部アクセス設定で「すべての外部アプリ」を選択している場合、意図しない相手と接続してしまう可能性もゼロではありません。連絡先リストにないユーザーからチャットや通話があった場合は、相手を十分に確認してから対応することが重要です。

ドメイン制限の不備

外部アクセス設定で特定のドメインのみを許可している場合、許可リストに誤ったドメインが含まれていたり、必要なドメインが含まれていなかったりすると、セキュリティ上の問題や連携上の支障が生じます。許可するドメインは、連携するパートナー企業などと十分に協議して決定してください。

ゲストアクセスにおける注意点

ゲストアクセスを利用する際は、以下の点に特に注意が必要です。

過剰な権限付与

ゲストユーザーに、必要以上の権限を与えてしまうと、意図しない情報へのアクセスや、チーム設定の変更などを許してしまう可能性があります。ゲストユーザーには、そのプロジェクトに必要な最低限の権限のみを付与するようにしましょう。チームの所有者は、ゲストユーザーの権限を定期的に見直すことが推奨されます。

ゲストユーザーの管理不足

プロジェクトが終了した後や、メンバーの所属に変更があった場合に、ゲストユーザーをチームから削除し忘れると、情報漏洩のリスクが残ります。不要になったゲストユーザーは、速やかにチームから削除する運用フローを確立することが重要です。定期的なゲストユーザーリストの確認も必須です。

機密ファイルへのアクセス

ゲストユーザーがアクセスできるチャネルに、機密性の高いファイルがアップロードされると、情報漏洩につながる危険性があります。機密ファイルは、ゲストアクセスを許可していない、組織内のメンバーのみが所属するチャネルに保存するなどの対策が必要です。ファイル共有のポリシーを明確に定め、周知徹底しましょう。

ゲストユーザーのテナント設定の影響

ゲストユーザーが所属する組織のAzure AD(Azure AD)のB2Bコラボレーション設定によっては、ゲストユーザーが利用できる機能に制限がかかる場合があります。例えば、相手の組織でゲストアクセスが制限されている場合、こちらの組織でゲストアクセスを有効にしていても、期待通りに機能しないことがあります。相手の組織のIT管理者と連携し、設定内容を確認することが必要になる場合もあります。

新しいTeams(v2)と従来Teamsでの違い

新しいTeams(v2)は、パフォーマンスの向上やユーザーインターフェースの刷新を目的として開発されています。機能面では、外部アクセスおよびゲストアクセスに関する基本的な設定項目や概念は、従来Teamsから大きく変更されていません。Teams管理センターでの設定項目も、基本的には同じ場所に存在します。したがって、外部アクセスとゲストアクセスの違い、そしてそれぞれのセキュリティ設定に関する基本的な考え方は、新しいTeams(v2)でも同様に適用されます。

ただし、新しいTeams(v2)のインターフェースや操作感が従来Teamsと異なるため、設定画面の表示やナビゲーションに若干の違いが生じる可能性があります。例えば、設定項目の配置場所や、ボタンの名称などが変更されている場合があります。しかし、管理者がTeams管理センターで設定を行うことに変わりはありません。新しいTeams(v2)を利用する際も、Teams管理センターにサインインし、ユーザー関連の設定項目から外部アクセスやゲストアクセスに関する設定を確認・変更することになります。新しいTeams(v2)への移行後も、これらの機能の管理方法に大きな混乱はないと考えられます。

Mac版・モバイル版・Web版での違い

Microsoft Teamsの外部アクセスおよびゲストアクセス機能は、どのプラットフォームから利用しても、基本的な機能や概念は共通しています。つまり、Mac版、Windows版、Web版、モバイル版(iOS/Android)のいずれのTeamsクライアントからでも、外部ユーザーとのチャットや通話、ゲストとしてチームへの参加・管理が可能です。外部アクセス設定やゲストアクセス設定そのものは、Teams管理センターで組織全体に対して行われるため、特定のクライアントに依存するものではありません。

ただし、各プラットフォームのインターフェースや操作方法には違いがあります。例えば、モバイル版では、画面サイズが小さいため、設定項目を探すのに手間取ることがあるかもしれません。また、Web版では、一部の高度な機能がデスクトップ版と比べて制限されている場合があります。しかし、外部アクセスやゲストアクセスといった、組織のセキュリティ設定に関わる管理操作は、主にTeams管理センター(Webブラウザ経由)で行われます。そのため、エンドユーザーがTeamsクライアントから外部ユーザーとコミュニケーションをとる際や、ゲストとしてチームに参加する際には、プラットフォームによる大きな機能差は感じにくいでしょう。管理者が設定を行う際には、WebブラウザからTeams管理センターにアクセスすることが一般的です。

まとめ

Microsoft Teamsの外部アクセスとゲストアクセスは、社外ユーザーとの連携を可能にする強力な機能ですが、それぞれ異なる目的とセキュリティリスクを伴います。外部アクセスは主にチャット・通話に限定される一方、ゲストアクセスはチームへの参加を許可するため、より厳密な権限管理が不可欠です。本記事で解説した各機能の仕組みと、Teams管理センターでの設定方法、そしてセキュリティ上の注意点を理解することで、組織のニーズに合った安全な外部連携体制を構築できます。今後は、組織のセキュリティポリシーに基づき、外部アクセスとゲストアクセスの利用範囲を明確にし、定期的に設定を見直す運用を心がけてください。必要に応じて、Teams管理センターの詳細設定を活用し、より高度なセキュリティ対策を講じることも検討しましょう。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。