はじめに
Microsoft Teams でGmail等のフリーアドレスでゲスト招待させない方法についてまとめたいと思います。
ユースケース
- 数千人/数万人もの非常に大規模なユーザーを抱えており、人の目での相互牽制や統制が効かなくなってしまっている。
- 社内全体でTeamsを導入しており、時より取引先のユーザーをTeamに招待してコラボレーションを行なっている。
- ユーザーが自由にゲストユーザーを招待することができるため、ゲストユーザーによる情報漏洩のリスクが介在している。
目標
GmailやOutlookなどのフリーメールアドレスを利用させないように制御すること。
設定手順
前提条件
- Teamsの管理コンソールにて、ゲストユーザーの作成が許可されていること。
- AzureADの管理権限を持っていること。
手法①:ブラックリスト形式
この設定では、gmail.com や outlook.jp などフリーメールのドメインとブラックリストに登録し、当該ドメインのゲストユーザの参加をブロックします。
1. Azure Active Directory 管理センターで、[Azure Active Directory] > [External Identities] > [外部コラボレーションの設定]を選択する。
2. [コラボレーションの制限]にて、[指定したドメインへの招待を拒否します]を選択し、ターゲットドメインに禁止したいドメインを追加する。(gmail.comなど)
手法②:ホワイトリスト形式
この設定では、gmail.comなどをブラックリストに登録し、当該ドメインのゲストユーザの参加をブロックします。
1. Azure Active Directory 管理センターで、[Azure Active Directory] > [External Identities] > [外部コラボレーションの設定]を選択する。
2. [コラボレーションの制限]にて、[指定したドメインへの招待を拒否します]を選択し、ターゲットドメインに許可したいドメインを追加する。
結果
ホワイトリスト/ブラックリスト型ともに、gmailのユーザーをゲスト招待しようとするとブロックされます。注意点
共通
ブロックした際のエラーメッセージが「問題が発生しました」となっているので、ユーザー体験はよくありません。単なるエラーだと思ってしまい、禁止されていることにユーザーが気がつけない点がホワイトリスト型・ブラックリスト型の共通したイケテナイポイントとなっております。
また、Teamsだけではなく、Microsoft 365 グループ、SharePoint、OneDrive での共有に影響が出る点にも注意が必要です。
ブラックリスト型
ブロックしたい全てのドメインを登録しなければならないので、設定が多少めんどくさいです。また、設定していないものは許可されてしまうので、抜け道が発生するリスクもあります。
ホワイトリスト型
当たり前の話ですが本当に必要なゲストの場合、ホワイトリストに登録する(ドメインを登録する)必要がある点が注意が必要です。大きな会社の場合は、ワークフローなどの申請の仕組みが必要となりそうです。
参考
Microsoft 365 ゲストの共有設定のリファレンス
https://docs.microsoft.com/ja-jp/microsoft-365/solutions/microsoft-365-guest-settings?view=o365-worldwide
コメント
コメントを投稿