Microsoft Teams を利用して社外のユーザーとも共同作業を行おうという動きは確実に広まっているように思います。

Microsoft Teams では、裏側の仕組みとして Azure Active Directory や Office 365 グループ、そして、SharePoint Online を利用しており、きちんとゲスト アクセスを設定するためにはそれらの設定の確認も必要になります。

どういった設定項目があるのかを確認してみましたので書いておきます。

Azure Active Directory

まずは、Microsoft Teams のアカウント管理を行っている Azure Active Directory(AAD)です。

Microsoft Teams でゲスト アクセスを利用する場合、ゲストを招待したタイミングで AAD にゲスト ユーザー オブジェクトが作成されます。そのため、誰がどのようなゲスト ユーザー オブジェクトを作成できるのかを設定します。

組織の関係 / 外部コラボレーションの設定

AAD での設定は「組織の関係」や「外部コラボレーションの設定」にまとまっています。この設定には、Microsoft Azure ポータルから [Azure Active Directory] – [組織の関係] – [設定] または [Azure Active Directory] – [ユーザー設定] – [外部コラボレーションの設定を管理します] とアクセスします。

また、この設定は Microsoft Teams のみではなく、その他の仕組みでゲスト ユーザーと共有する場合にも共通で適用されます。

ゲストのアクセス許可を制限する

この設定は、ゲストがテナント内のユーザーやグループを列挙するなど、特定の操作を制限するのかしないのかを設定できるようです。ほとんどの場合は、[はい] を選択することになると思います。

管理者とゲスト招待元ロールのユーザーは招待ができる

つぎに、ディレクトリ管理者とゲスト招待元ロールがユーザーを管理できるかどうかの設定です。これらのロールは、[Azure Active Directory] – [ロールと管理者] で確認できます。

それらロールが適用されたユーザーがゲストを招待できるかを設定します。ほとんどの場合は、[はい] を選択することになると思います。

メンバーは招待ができる

AAD のテナントに対して、一般ユーザーがゲストを招待できるかを設定します。ここは、組織によってどちらの設定にするのか分かれるところだと思います。

一般ユーザーも自由にゲストを招待できるようにするには [はい] を、管理者やゲスト招待ロールのユーザーのみが招待できるようにするには [いいえ] を設定します。

[はい] に設定することで、ユーザーは Microsoft Teams で自由にゲストを招待して利用することができます。[いいえ] を設定した場合でも、あらかじめ管理者やゲスト招待ロールのユーザーによってゲストを AAD のテナントに登録しておいてもらうことで Microsoft Teams にゲストを追加することができます。

また、[いいえ] を設定した場合は、たとえディレクトリ管理者であっても Microsoft Teams の画面上からはゲストを追加できません。必ず Microsoft Azure ポータル上でゲストの追加を行う必要があります。

ゲストは招待ができる

ゲストがさらにゲストを招待できるかの設定のようです。ただし、現時点では Microsoft Teams に対応しているものではなく、また、多くの場合は [いいえ] と設定するのではないでしょうか。

コラボレーションの制限

ここの設定では、招待できるゲストユーザーをドメインの単位で制限することができます。制限を行わないか、または、ブラックリストやホワイトリストで管理を行います。

ここで拒否されたドメインのユーザーは、ディレクトリ管理者であってもゲストユーザーとして追加することができなくなります。

Office 365 グループ

つぎに、Office 365 グループの設定を行います。Microsoft Teams のメンバー管理は、裏側ではこの Office 365 グループのメンバー管理と紐づけられて行われているため、この Office 365 グループの設定も重要になります。この設定には、Microsoft 365 管理センターから、[設定] – [設定] – [サービス] タブ – [Office 365 グループ] とアクセスします。

組織外のグループ メンバーがグループ コンテンツにアクセスできるようにします

この設定を無効化すると、ゲストは Office 365 グループのグループメールのほか、共有されたコンテンツ(ファイル)にアクセスできなくなり、Microsoft Teams 上でもチームのファイルにアクセスできなくなります。こちらの設定を無効化したとしても、Microsoft Teams のチームのチャネルチャットにはアクセスができるようです。

Microsoft Teams のチームでゲストとファイルを共有したい場合は、こちらの有効化が必須です。

ここでは有効化しておき、ファイル共有については SharePoint Online のテナント単位やサイト単位での外部共有設定で制御するのが良さそうに思えます。

Let group owners add people outside your organization to groups

なぜかここだけ設定名が英語なのですが、「グループの所有者が組織外のユーザーをグループのメンバーに追加できるようにする」といった意味合いでしょうか。

Microsoft Teams のチーム所有者にチームに含めるゲストの管理を任せたい場合は有効化します。無効化した場合には、Office 365 管理者などが、Microsoft 365 管理センターのグループの管理や、Microsoft Teams 管理センターのチームの管理などからゲストをチームに追加することになると思います。

ただし、それら管理センターからメンバーを追加した場合には、実際にチームの管理画面のメンバー一覧に表示されるまでに最大 2 時間とされているタイムラグがあります。

セキュリティとプライバシー 共有

確認が必須ではないのですが、Microsoft 365 管理センターでもうひとつ確認しておく設定です。 共有という設定なのですが、Microsoft 365 管理センターの [設定] – [設定] – [セキュリティとプライバシー] タブ – [共有] とアクセスします。

ユーザーが組織に新しいゲストを追加できるようにします

この設定は、一般ユーザーが新たにゲストを招待できるかどうかの設定です。実はこの設定は、AAD で設定した「メンバーは招待ができる」と同じです。どちらかで設定しておけば良いようです。

SharePoint Online

Microsoft Teams では、チームで共有されたファイルは SharePoint Online のドキュメントライブラリに保存がされますし、1:1 などのチャットで共有されたファイルは、OneDrive for Business 経由で共有される動作となります。

そのため、SharePoint Online と OneDrive for Business の外部共有設定も重要になります。

外部共有 コンテンツを共有できる相手

この設定は、Microsoft 365 管理センターから SharePoint 管理センターを開き、 [ポリシー] – [共有] とアクセスします。

ここで、SharePoint と OneDrive のテナント単位での外部共有設定を行うことができます。注意点としては、必ず SharePoint のほうが OneDrive よりも厳しい制限になっていないといけないということです。

Microsoft Teams のチームでゲストを含めたファイル共有を行うためには、ここの SharePoint の設定で必ず「既存のゲスト」よりも制限を緩くしておく必要があります。

「自分の組織内のユーザーのみ」の設定にしていた場合、ゲストがチームのファイルにアクセスしようとすると、エラーが表示されます。チャットでファイルを共有した場合も同様です。

チームではファイルを共有できるようにしたいが、チャットでは共有を禁止したい場合などは、SharePoint を「既存のゲスト」よりも緩く設定し、OneDrive を「自分の組織内のユーザーのみ」に設定しておくと良いかもしれません。

ただしその場合、OneDrive 自体でのゲストへのファイル共有も禁止されるので、そうした運用がある場合は注意が必要ですね。

さらに SharePoint はサイト単位での共有設定もありますし、サイトの運用も含めてどこまで細かく運用すべきかは検討が必要だと思います。その場合でもテナント単位での設定はサイト単位での設定よりも厳しく設定しておくことはできません。

また、この設定は Microsoft Teams に適用されるまでタイムラグがあるようです。

Microsoft Teams

そして、忘れてはならないのが Microsoft Teams の設定です。これまでの設定を行ったとしても、Microsoft Teams 自体の設定を忘れていてはゲストと一緒に利用することができません。

ゲスト アクセス

Microsoft Teams の設定は、Microsoft 365 管理センターから Microsoft Teams 管理センターを開き、[組織全体の設定] – [ゲスト アクセス] とアクセスします。

ここで「Teams へのゲスト アクセスを許可する」を有効化します。

有効化すると、設定できるオプションが表示されますが、よく検討にあがるのが 1:1 などでのチャットを許可するかどうかです。利用させたくない場合には「メッセージング」にある「チャット」を無効化します。

さいごに

ここまでざっと Microsoft Teams でゲスト アクセスを利用する場合の確認しておきたい設定項目をあげてみました。

Microsoft Teams では、Azure Active Directory や Office 365 グループ、そして、SharePoint Online を裏側の仕組みとして持つため、Microsoft Teams 単体ではなくそれらの設定との整合性を確認しておくことも重要になってきます。

ただし、こうした仕組みであるがゆえに、Microsoft Teams 以外のサービスとのポリシーの整合性を保ちやすくなっています。特に Azure Active Directory や Office 365 グループの設定や管理を見ておくことは重要ですね。

このあたりを抑えておくと、トラブルシュートのときも役立ちそうです。

セキュリティに関するところなので、設定される場合は意図通りの動作になっているのか各自でのご確認をお願いします!