Viva の機能へのアクセスを制御する
Viva のアクセス ポリシーを使用して、Viva アプリの特定の機能にアクセスできるユーザーを管理できます。 機能アクセス管理を使用すると、テナント内の特定のグループまたはユーザーに対して Viva の特定の機能を有効または無効にし、地域の規制やビジネス要件を満たすようにデプロイを調整できます。
重要
組織内でアクティブな機能に対して複数のアクセス ポリシーを設定できます。 つまり、ユーザーまたはグループが複数のポリシーの影響を受ける可能性があります。 その場合、ユーザーまたはグループに直接割り当てられた最も制限の厳しいポリシーが優先されます。 詳細については、「 Viva でのアクセス ポリシーのしくみ」を参照してください。
テナント内の承認された管理者 (グローバル管理者など) は、PowerShell からアクセス ポリシーを作成、割り当て、管理できます。 ユーザーが Viva にサインインすると、ポリシー設定が適用され、無効になっていない機能のみが表示されます。
注:
機能アクセス管理を使用して Viva アプリの機能のサブセットのみを無効にできます。 1 つの機能の使用を制限すると、アプリ内の他の機能の機能に影響する可能性があります。 機能へのアクセスを無効または有効にすることの影響を理解するには、特定の機能に関するアプリのドキュメントを必ず確認してください。
機能アクセス管理に使用できる機能
機能アクセス管理を使用して、次の機能へのアクセスを管理できます。
注:
- テナントまたはテナント内のユーザーに対するポリシーの影響については、表のリンクを使用した機能ドキュメントを参照してください。
- 管理者がオプトアウトするオプションをユーザーに提供できるコントロールを持っているのは、一部の機能のみです。
| アプリ | 機能 | ユーザーのオプトアウトを制御しますか? | アクセスを管理できるユーザー | ModuleID |
|---|---|---|---|---|
| 参加 | Engage での Copilot | いいえ | グローバル管理者、Engage admin | VivaEngage |
| AI の概要 | はい | グローバル管理者、Engage admin | VivaEngage | |
| 分析情報 | Copilot ダッシュボード | いいえ | グローバル管理者 | VivaInsights |
| Copilot ダッシュボードの自動有効化 | いいえ | グローバル管理者 | VivaInsights | |
| ダイジェストウェルカムメール | いいえ | グローバル管理者 | VivaInsights | |
| 会議のコストと品質 | いいえ | グローバル管理者、Insights 管理者 | VivaInsights | |
| Reflection | いいえ | グローバル管理者、Insights 管理者 | VivaInsights | |
| パルス | カスタマイズ | いいえ | グローバル管理者 | VivaPulse |
| スキル | スキルの提案* | はい | グローバル管理者、ナレッジ管理者 | VivaSkills |
* 機能コントロールまたは機能コントロールは、すべてのテナントでまだ使用できない場合があります。 サポートは近日中に追加される予定です。
注:
- アクセス ポリシーをサポートし、テナントで使用できる機能へのアクセスのみを制御できます。 たとえば、EDU ベースのテナントがある場合、ポリシーを使用して EDU テナントで使用できない機能にアクセスすることはできません。 特定の地域で使用できない機能にも同じことが当てはまります。 その可用性の詳細については、使用する特定の機能のドキュメントを確認してください。
- Viva Engage 機能の Copilot の変更が有効になるまでに最大 48 時間かかる場合があります。 その他の機能の変更は通常、24 時間以内に有効になります。
要件
Viva でアクセス ポリシーを作成する前に、次のものが必要です。
- サポートされているバージョンの Microsoft 365 または Viva Suite ライセンス
- Exchange Online PowerShell バージョン 3.2.0 以降へのアクセス
- Microsoft Entra ID で作成または同期されたユーザー アカウント
- Microsoft 365 グループ、Microsoft Entra ID で作成または同期された Microsoft Entra セキュリティ グループ、または配布グループ。 グループはメールが有効になっている必要があります (メール アドレスが関連付けられています)。 メンバーシップの種類は、動的または割り当てることができます。
- Microsoft Entra ID のグローバル管理者ロール、または 特定のアプリと機能に必要なロール。
重要
Viva 機能アクセス管理は、Microsoft 365 GCC、GCC High、または DOD プランをお持ちのお客様には利用できません。
Viva 機能のアクセス ポリシーを作成および管理する
機能の featureID を取得する
アクセス ポリシーを作成する前に、アクセスを制御する特定の機能の featureID を取得する必要があります。
Get-VivaModuleFeature PowerShell コマンドレットを使用して、特定の Viva アプリで利用できるすべての機能とそれに関連する ID の一覧を取得します。
Exchange Online PowerShell バージョン 3.2.0 以降をインストールします。
Install-Module -Name ExchangeOnlineManagement管理者の資格情報を使用して Exchange Online に接続します。
Connect-ExchangeOnlineグローバル管理者またはポリシーを作成する特定の機能に必要なロールとして認証を完了します。
Get-VivaModuleFeature コマンドレットを実行して、アクセス ポリシーを使用して管理できる機能を確認します。
たとえば、Viva Insights でサポートされている機能を確認するには、次のコマンドレットを実行します。
Get-VivaModuleFeature -ModuleId VivaInsightsアクセス ポリシーを作成する機能を見つけて、 その featureID を書き留めます。
アクセス ポリシーを作成する
featureID が整ったら、Add-VivaModuleFeaturePolicy PowerShell コマンドレットを使用して、その機能のアクセス ポリシーを作成します。
ユーザーとグループには、機能ごとに最大 10 個のポリシーを割り当てることができます。 各ポリシーは、最大 20 人のユーザーまたはグループに割り当てることができます。 -Everyone パラメーターを使用して、機能ごとに 1 つの追加ポリシーをテナント全体に割り当てることができます。これは、組織全体でその機能のグローバルな既定の状態として機能します。
Add-VivaModuleFeaturePolicy コマンドレットを実行して、新しいアクセス ポリシーを作成します。
注:
機能でオプトアウトのユーザー コントロールがサポートされている場合は、ポリシーの作成時に IsUserControlEnabled パラメーターを設定してください。 そうしないと、ポリシーのユーザー コントロールで機能の既定の状態が使用されます。
たとえば、次を実行して 、UsersAndGroups と呼ばれるアクセス ポリシーを作成して、Viva Insights のリフレクション機能へのアクセスを制限します。
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
この例では、Viva Insights のリフレクション機能のポリシーを追加します。 このポリシーでは、指定したユーザーとグループ メンバーの機能が無効になります。 すべてのユーザーの機能を無効にする場合は、代わりに -Everyone パラメーターを使用します。
アクセス ポリシーを管理する
アクセス ポリシーを更新して、機能を有効または無効にするかどうかを変更したり、ポリシーの適用先 (すべてのユーザー、ユーザー、またはグループ) を変更したりできます。
たとえば、最後の例に基づいて、ポリシーが適用されるユーザーを更新するには、次のコマンドレットを実行します。
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
ポリシーを作成するときと同様に、ポリシーでユーザーコントロールがサポートされている場合は、ポリシーを変更するときに IsUserControlEnabled パラメーターを含めます。
重要
-UserIds パラメーターと -GroupIds パラメーターまたは -Everyone パラメーターに指定した値は、既存のユーザーまたはグループを上書きします。 既存のユーザーとグループを保持するには、既存のユーザーまたはグループ 、および 追加する追加のユーザーまたはグループを指定する必要があります。 コマンドに既存のユーザーまたはグループを含めないようにすると、これらの特定のユーザーまたはグループがポリシーから効果的に削除されます。 テナント全体のポリシーが機能に既に存在する場合は、特定のユーザーまたはグループのポリシーを更新してテナント全体を含めることはできません。サポートされているテナント全体のポリシーは 1 つだけです。
特定のユーザーまたはグループで無効になっている機能を確認するには、 Get-VivaModuleFeatureEnablement コマンドレットを実行します。 このコマンドレットは、ユーザーまたはグループの 有効化状態 と呼ばれるものを返します。
例:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
アクセス ポリシーを削除する
アクセス ポリシーを削除するには、 Remove-VivaModuleFeaturePolicy コマンドレットを使用します。
たとえば、リフレクション機能のアクセス ポリシーを削除するには、まずアクセス ポリシーの特定の UID を取得します。 Get-VivaModuleFeaturePolicy を実行することで取得できます。 次に、以下のコマンドレットを実行します。
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
トラブルシューティング
Viva アプリ機能のアクセス ポリシーの作成または使用に問題がある場合は、ポリシーを設定しようとしている機能が 機能テーブル に一覧表示され、テナントで使用できるかどうかを確認します。
Viva でのアクセス ポリシーのしくみ
Viva でのアクセス ポリシーのしくみを次に示します。
- ユーザーがサインインして Viva にアクセスすると、ユーザーに適用されるポリシーがあるかどうかをすぐに確認します。
- ユーザーがポリシーに直接割り当てられている場合、またはポリシーが割り当てられている Microsoft Entra グループまたは Microsoft 365 グループのメンバーである場合、ポリシー設定が適用されます。
- ユーザーにポリシーが直接割り当てられていない場合、またはポリシーが割り当てられている Microsoft Entra グループまたは Microsoft 365 グループのメンバーでない場合は、グローバル既定のポリシーが適用されます。 グローバル既定ポリシーがない場合は、機能の既定の有効化状態が適用されます。
- ユーザーに直接またはグループとして複数のポリシーが割り当てられている場合は、最も制限の厳しいポリシーが適用されます。 (すべての機能に、ユーザーがオプトアウトできる機能が含まれているわけではないことに注意してください)。優先順位は次のとおりです。
- 機能が無効になっています。
- 機能が有効になっています。
- 機能が有効になっており、ユーザーはオプトアウトできます。
- ユーザーが入れ子になったグループにいて、親グループにアクセス ポリシーを適用する場合、入れ子になったグループ内のユーザーはポリシーを受け取ります。 入れ子になったグループと、それらの入れ子になったグループ内のユーザーは、Microsoft Entra ID で作成または同期する必要があります。
- アクセス ポリシーの変更は、特定の機能に特に明記されていない限り、ユーザーに対して 24 時間以内に有効になります。 Viva Engage での Copilot の変更には、最大 48 時間かかる場合があります。
- Microsoft Entra ID または Microsoft 365 グループにユーザーを追加または削除すると、機能アクセスの変更が有効になるまでに 24 時間かかることがあります。
- 管理者が機能を完全に有効または無効にしてユーザーがオプトアウトするオプションを削除した場合、ユーザーのオプトイン/アウト設定は保持されないため、既定の状態にリセットされます。 管理者がオプションを再度有効にして、ユーザーが機能をオプトアウトできるようにする場合、ユーザーはもう一度機能をオプトアウトすることを選択する必要があります。
- 変更後 24 時間以内に機能の有効化状態がクイック変更された場合、ユーザーのオプトイン/アウト設定がリセットされない可能性があります。
- ポリシーの作成、更新、削除の履歴については、 Microsoft Purview の組織の Viva Feature Access Management (VFAM) 変更ログを参照してください。
追加情報とベスト プラクティス
- ポリシーはユーザーごとに評価されます。
- "すべてのユーザー" に割り当てることができるポリシーは、機能ごとに 1 つだけです。このポリシーは、組織内のその機能のグローバルな既定の状態として機能します。
- ユーザーとグループのアクセスを管理するために Viva で新しい機能コントロールが利用できるようになったため、Viva 機能アクセス管理に追加されます。
- Microsoft Entra ID のユーザー ID が削除されると、ユーザー データは Viva 機能アクセス管理から削除されます。 論理的に削除された期間中にユーザー ID が再度有効になっている場合、管理者はポリシーをユーザーに再割り当てする必要があります。
- Microsoft Entra ID と Microsoft 365 のグループが削除されると、保存されているポリシーから削除されます。 論理的に削除された期間中にグループが再度有効になっている場合、管理者はポリシーをグループに再割り当てする必要があります。
その他のリソース
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示