Office 365 を利用していて社外ユーザーとの共有を行おうとした場合、無制限に社外ユーザーを招待可能となると少々不安です。

たとえば、Gmail や Yahoo! メールなどのフリーメールを招待できる状態では、ゲスト招待した相手の特定が難しくなる可能性もあるからです。

社外ユーザーを招待する場合の運用として、社内ユーザーの申請に応じてテナントの管理者があらかじめ Azure AD に登録した社外ユーザーとのみ共有させるなどの運用も考えられますが、その申請をどのような基準で承認または却下するかを考えると簡単ではなく、実効性にも疑問が残ります。

となると、業務上必要なパートナー企業などの特定の企業のユーザーであれば、社内ユーザーが自由に社外ユーザーとしてゲスト招待できるというルールの方が有用な場合も考えられます。

というわけで、そうした特定の企業の、つまりは、特定のメールドメインのユーザーのみを招待できる設定はできないかな?と思い試してみました。

Azure AD 外部コラボレーションの設定

こうしたゲスト招待の制限を設定するには、Azure AD から行うことができるようです。

そのため、まずは全体管理者のアカウントで「Azure Active Directory 管理センター」を開きます。

Azure Active Directory 管理センター
https://aad.portal.azure.com/

そして [ユーザー] – [ユーザー設定] と開き、「外部コラボレーションの設定を管理します」をクリックします。

「外部コラボレーションの設定」では、ゲスト招待を許可するのか?といった設定から、社内ユーザー(メンバー)にゲスト招待を許可するのか?といった設定などがあります。

そうした設定のひとつとして「コラボレーションの制限」という設定があります。

ここで選択できるオプションは次の 3 つです。

  • 招待を任意のドメインに送信することを許可します (許可の範囲が最大)
  • 指定したドメインへの招待を拒否します
  • 指定したドメインに対してのみ招待を許可します (許可の範囲が最小)

今回の要件では「指定したドメインに対してのみ招待を許可します (許可の範囲が最小)」を選択すると良さそうです。

オプションを選択すると、「ターゲット ドメイン」の入力欄が表示されました。ワイルドカードも利用できるようですが、ここでいくつかドメインを指定してみます。

この状態で設定を保存すると、制限が有効となるようです。

Microsoft Teams に社外ユーザーを追加してみる

設定した動作を確認するために、Microsoft Teams のチームに社外ユーザーを追加してみます。

ターゲット ドメインで許可されていないドメインのメールアドレスを指定して社外ユーザーを追加しようとすると、次のようなエラーとなり招待に失敗しました。

なるほど、制限されてますね。ただし、この制限は、新たにゲスト招待する場合にのみ有効で、すでに Azure AD に登録されている社外ユーザーの場合には無効のようです。

SharePoint Online や OneDrive for Business のファイル共有の制限は別に設定

動作を試していると、どうやら SharePoint Online や OneDrive for Business のファイルに対して外部ユーザーに権限を付与する場合の制限は、Azure AD の制限とは別に設定する必要があるようです。

設定は、SharePoint や OneDrive の管理センターから [共有] – [外部共有の詳細設定] から「ドメインごとに外部共有を制限する」から行います。

ドメインごとに SharePoint と OneDrive のコンテンツの共有を制限する
https://docs.microsoft.com/ja-jp/sharepoint/restricted-domains-sharing

というのも、Azure AD での設定は、ゲストユーザーとしてテナントに登録を許可するかしないかの設定であり、SharePoint Online では、ゲストユーザーとしてテナントに登録しなくても共有が可能な独自の仕組みを持っているからだと思います。

さいごに

Office 365 を利用する企業も多くなり、活用も進んでくると必ず出てくるのが、社外ユーザーとの共有をどう考えたら良いのかという問題です。

どうするかというのは、企業ごとの考え方やポリシーにもよるため、これが正解だというのはありません。ただ、社外ユーザーとの共有を禁止しているテナントのユーザーが、他社のテナントに招待されて Microsoft Teams などを利用している状況を目にすることも多くあります。

この場合の問題点は、そこで行われたチャットや共有されたファイルは全て他社のコントロール下に入ってしまうということです。問題が発生したときのコンテンツのホールドなども一切行うことができません。逆に、自社のテナントに招待して利用して利用すると、コンテンツなどは全て自社のコントロール下になります。そのため、社内ユーザーに対して社外ユーザーのゲスト招待を許可することによるセキュリティ上のメリットも実はあるのではないかとも考えられます。

どうすべきかというのは一概には言えませんが、ポリシーを考えなおし、社外ユーザーとの共有を進めようとしたときに、今回のような動作を知っていると、フリーメールとの共有禁止や、業務上必要な特定企業とのみの共有を許可するなどのオプションも検討できるかもしれません。

今回の動作を確認するために、下記リンク先のドキュメントを参考にしました。

B2B ユーザーに対する特定組織からの招待を許可またはブロックする
https://docs.microsoft.com/ja-jp/azure/active-directory/b2b/allow-deny-list

社外ユーザーのゲスト招待は、なかなか難しい問題ですね。