【Teams】Teams管理センターでユーザーのログインIPを制限する手順

Teams会議への参加やチャットの利用など、Microsoft Teamsはビジネスコミュニケーションに不可欠なツールです。しかし、不正アクセスや情報漏洩のリスクを考慮すると、セキュリティ対策は非常に重要です。特に、特定のIPアドレスからのみユーザーがTeamsにログインできるように制限できれば、セキュリティを大幅に強化できます。この記事では、Teams管理センターを使って、ユーザーのログインIPアドレスを制限する具体的な手順を解説します。この設定により、組織のセキュリティポリシーを遵守し、安全なTeams利用を実現しましょう。

Azure ADでのIPアドレス制限の仕組み

Microsoft TeamsのログインIPアドレス制限は、Teams管理センター単体で行うのではなく、Microsoft 365の基盤となっているAzure Active Directory(Azure AD)の「条件付きアクセス」機能を利用して実現します。この機能を使うことで、ユーザーがサインインする際の条件(場所、デバイス、アプリケーションなど)に基づいて、アクセスを許可するかどうかを細かく制御できます。IPアドレスによる制限は、組織のネットワーク環境(例: オフィス内の固定IPアドレス)からのみアクセスを許可したい場合に有効な手段となります。

具体的には、Azure ADで「条件付きアクセス ポリシー」を作成し、そのポリシーにおいて「場所」の条件として、許可したいIPアドレスの範囲を指定します。そして、このポリシーをMicrosoft Teamsアプリケーションに適用することで、指定されたIPアドレス以外からのTeamsへのログインをブロックすることが可能になります。この設定は、管理者権限を持つユーザーのみが実行できます。

TeamsへのログインIPアドレスを制限する手順

TeamsへのログインIPアドレスを制限するには、Azure ADの条件付きアクセス機能を使用します。この設定はMicrosoft 365管理センターからアクセスできます。

1. Azure ADポータルへのアクセス
   Microsoft 365管理センターに管理者アカウントでサインインします。左側のナビゲーションメニューから「すべてのアプリを表示」を選択し、「Azure Active Directory」を検索して開きます。
2. 条件付きアクセスへの移動
   Azure ADの管理画面で、左側のメニューから「セキュリティ」を選択し、「条件付きアクセス」をクリックします。
3. 新しいポリシーの作成
   「ポリシー」画面で、「新しいポリシー」ボタンをクリックして新しいポリシー作成を開始します。
4. ポリシー名の設定
   「名前」フィールドに、ポリシーの内容がわかるような名前(例: “Teams – Office IP Only”)を入力します。
5. 割り当て – ユーザーとグループ
   「割り当て」セクションの「ユーザーとグループ」をクリックします。
6. 対象ユーザーの選択
   「対象ユーザー」で、「すべてのユーザー」を選択するか、特定のユーザーまたはグループを選択します。特定のグループにのみ適用したい場合は、「ユーザーとグループの選択」をオンにし、対象のグループを追加してください。
7. 割り当て – クラウドアプリまたは操作
   「割り当て」セクションの「クラウド アプリまたは操作」をクリックします。
8. 対象アプリケーションの選択
   「クラウド アプリ」で「アプリを選択」を選び、「Microsoft Teams」を検索して選択します。
9. 条件 – 場所
   「条件」セクションの「場所」をクリックします。
10. 場所の構成
    「場所」を「はい」に設定します。
11. 信頼された場所の定義
    「場所の選択」で、「すべての場所」を選択したままにしておきます。次に、「除外」セクションで、「信頼された場所を選択」をクリックし、組織のオフィスIPアドレスなど、アクセスを許可したいIPアドレスの範囲を追加します。 組織のIPアドレスが不明な場合は、ネットワーク管理者に確認してください。
12. アクセス制御 – 許可
    「アクセス制御」セクションの「許可」をクリックします。
13. アクセス許可の制御
    「アクセスを許可する」を選択し、「信頼された場所からのサインインのみを許可する」にチェックを入れます。
14. ポリシーの有効化
    「ポリシーを有効にする」で、「オン」を選択します。
15. ポリシーの作成
    「作成」ボタンをクリックして、ポリシーを保存します。

これで、指定した信頼されたIPアドレスの範囲外からMicrosoft Teamsにサインインしようとすると、アクセスがブロックされるようになります。この設定は、組織のセキュリティポリシーやネットワーク構成に合わせて、慎重に実施してください。

新しいTeams (v2) と従来TeamsのIP制限について

新しいTeams (v2) は、従来のTeamsと比較してパフォーマンスや機能が向上していますが、基本的な認証メカニズムはAzure Active Directory (Azure AD) を基盤としています。そのため、Teams管理センターで直接IPアドレス制限を設定するのではなく、Azure ADの条件付きアクセス機能を利用する手順は、新しいTeamsにおいても同様に適用されます。

組織で新しいTeamsへの移行が進んでいる場合でも、IPアドレス制限の設定はAzure ADポータルで行う必要があります。新しいTeamsのインターフェースや一部の機能の表示が変更されている可能性はありますが、IPアドレス制限というセキュリティ機能自体は、Azure ADのポリシーによって管理されるため、設定方法に大きな違いはありません。ポリシーの対象アプリケーションとして「Microsoft Teams」を指定すれば、新しいTeamsクライアントからのアクセスにもこのポリシーが適用されます。

新しいOutlook と従来OutlookのIP制限について

Microsoft Outlookについても、Teamsと同様に、IPアドレスによるログイン制限はAzure ADの条件付きアクセス機能を通じて設定されます。新しいOutlookは、従来のOutlook (デスクトップ版、Web版) とは異なるアーキテクチャを採用していますが、サインインプロセスはAzure ADを介して行われます。

したがって、新しいOutlookや従来のOutlookに対してIPアドレス制限を適用したい場合も、Azure ADポータルで条件付きアクセス ポリシーを作成し、対象アプリケーションとして「Outlook」または「Office 365 Exchange Online」などを指定する必要があります。組織のIT管理者は、どのアプリケーションに対してIP制限を適用するかを決定し、適切なポリシーを設定してください。新しいOutlookのプレビュー版を利用している場合でも、このAzure ADのポリシーは有効です。

IPアドレス制限設定時の注意点とよくある失敗例

IPアドレス制限の設定は、セキュリティを強化する上で非常に有効ですが、誤った設定を行うと、正当なユーザーがサービスにアクセスできなくなる可能性があります。以下の点に注意して設定を進めてください。

信頼できるIPアドレスの誤認

組織のオフィスIPアドレスを正確に把握していない場合、誤ったIPアドレス範囲を指定してしまう可能性があります。例えば、プロキシサーバーやVPNを使用している場合、ユーザーの実際のグローバルIPアドレスがオフィスIPアドレスと異なることがあります。このような場合、オフィス外からのアクセスだけでなく、オフィス内からでもアクセスできなくなることがあります。

対処法:

1. IPアドレスの確認
   IT管理者やネットワーク管理者に連絡し、組織の固定グローバルIPアドレス範囲、またはVPN/プロキシサーバーのIPアドレス範囲を正確に確認してください。
2. 「信頼された場所」の追加
   Azure ADの条件付きアクセス設定で、「場所」の条件において「信頼された場所」として、確認したIPアドレス範囲を正確に追加します。CIDR表記(例: 192.168.1.0/24)で指定する必要がある場合もあります。
3. テストユーザーでの確認
   ポリシーを本番環境に適用する前に、テスト用のアカウントで、オフィス内外からTeamsへのアクセスを試行し、意図した通りに動作するかを確認してください。

モバイルデバイスからのアクセス問題

モバイルデバイス(スマートフォンやタブレット)からのアクセスは、通常、モバイルキャリアのネットワークや公共のWi-Fiを経由するため、固定のオフィスIPアドレスとは異なります。これらのデバイスからのアクセスを許可したい場合、別途対応が必要です。

対処法:

1. モバイルデバイス用IPアドレスの考慮
   組織がモバイルデバイス向けに特定のVPNやプロキシを提供している場合、そのIPアドレス範囲を「信頼された場所」に追加します。
2. 除外設定の検討
   モバイルデバイスからのアクセスを許可したいが、固定IPアドレスを定義できない場合は、モバイルデバイスからのアクセスをポリシーから除外することを検討します。これは、モバイルデバイスの管理(MDM/MAM)を別途実施している場合に有効です。
3. 多要素認証の強化
   IPアドレス制限の代わりに、またはIPアドレス制限と併用して、多要素認証(MFA)を必須とすることで、セキュリティレベルを維持・向上させることができます。

ポリシーの適用漏れや意図しないブロック

ポリシーの設定が不十分であったり、誤って「すべての場所」をブロックしてしまうと、意図しないユーザーがTeamsにアクセスできなくなります。また、ポリシースコープの設定ミスにより、Teams以外のアプリケーションまで影響を受ける可能性もあります。

対処法:

1. 「レポートのみ」モードでのテスト
   新しいポリシーを作成したら、いきなり「オン」にするのではなく、まず「レポートのみ」モードで設定し、どのようなアクセスがブロックされるか、または許可されるかをログで確認します。
2. 除外グループの活用
   緊急時やトラブルシューティングのために、IT管理者が所属するグループなどを、IPアドレス制限ポリシーから除外しておくと、問題発生時に迅速な対応が可能になります。
3. 対象アプリケーションの確認
   ポリシーを割り当てる際に、「クラウド アプリまたは操作」で「Microsoft Teams」のみが選択されていることを再度確認してください。

Mac版・モバイル版・Web版での違い

Microsoft TeamsのIPアドレス制限は、Azure ADの条件付きアクセス機能によって管理されるため、クライアントの種類(Windows、Mac、Web、モバイル)によって設定方法が直接変わるわけではありません。ユーザーがどのデバイスやプラットフォームからTeamsにアクセスしようとしても、Azure ADがそのアクセス要求を評価し、適用されている条件付きアクセス ポリシーに基づいて許可または拒否の判断を行います。

ただし、デバイスのネットワーク環境によっては、IPアドレスの取得方法や挙動が異なる場合があります。例えば、モバイルデバイスは動的なIPアドレスを使用することが多く、公共のWi-Fi環境も頻繁に変わるため、これらの環境からのアクセスを許可するには、上記で説明したような「信頼された場所」の定義や「除外設定」を慎重に行う必要があります。

Web版Teamsへのアクセスも同様にAzure ADの認証を経由するため、IPアドレス制限の対象となります。Mac版Teamsも、Windows版と同様に、Azure ADの認証メカニズムを利用するため、IPアドレス制限ポリシーの適用対象となります。

まとめ

この記事では、Microsoft TeamsへのユーザーログインIPアドレスを制限するために、Azure ADの条件付きアクセス機能を利用する手順を詳しく解説しました。この設定により、組織のセキュリティポリシーを強化し、不正アクセスや情報漏洩のリスクを低減できます。設定時には、信頼できるIPアドレスの正確な把握、モバイルデバイスからのアクセスへの配慮、そしてポリシーの慎重なテストが重要です。今後は、このIPアドレス制限と多要素認証を組み合わせることで、さらに強固なセキュリティ体制を構築することを検討してください。