メッシュのorganizationの準備
このページでは、必要なタスクと、ロールアウトについて知る必要がある可能性がある推奨される機能ロールについて説明しますが、変更と構成管理など、organizationの標準的なロールアウト プロセスに従います。
このコンテンツでは、Mesh のイマーシブ スペースと Teams のイマーシブ スペースの Mesh 実装の要件について説明します。 大まかな手順は次のとおりです。
Mesh の実装を計画した後、 Teams で Microsoft Mesh を設定 し、 イマーシブ スペースを設定する方法について説明します。
デプロイ チームを収集する
エグゼクティブ レベルのスポンサーシップは、チーム間のブロックに関する問題を支援することを強くお勧めします。
いくつかの管理ツールにアクセスする必要があります。
アバターとイマーシブ スペース管理を構成するには、Teams 管理 センター (TAC) が必要です。
カスタム Mesh 環境で使用される Mesh クラウド スクリプトを管理するには、Azure portalが必要です (環境で必要に応じてその形式のスクリプトを使用する場合)。
URL やファイアウォール ポートの許可などの他のタスクは、organizationによって使用される管理ツールで実行されます。
Mesh は、Microsoft 365 スイートの他の部分を使用します。 organizationでこれらのリソースへのアクセスが制限されている場合、Mesh の一部は機能しません。 Microsoft 365 管理 ツールにアクセスできるユーザーと話し合って、制限があるかどうかを判断し、それらの制限が Mesh に干渉するかどうかをテストします。
たとえば、次の表では、特定のアクションに必要なアクセス権を定義します。
メッシュ アクション 必要なアクセス メッシュ コレクションをCreateする Microsoft 365 グループをCreateする Mesh コレクションにメンバーとして追加する Microsoft 365 グループにアクセスする Mesh イベントをCreateする Microsoft 365 カレンダーへのアクセス Mesh イベントに招待される Outlook メールへのアクセス テンプレートの作成 SharePoint へのアクセス イベントまたはテンプレートの上位に画像またはビデオを追加する SharePoint または OneDrive へのアクセス
ヒント
Mesh のデプロイと実行を行う個人またはチーム以外の個人または部門からの協力が必要になる場合があるセットアップ タスクがいくつかあります (ライセンス、セキュリティ、エンドポイント管理など)。 ヘルプ デスクや人事などの他の利害関係者も相談する必要があります。
ライセンスとポリシーを確認する
Teams のアバターとイマーシブ スペースの場合、ユーザーは次のいずれかのライセンスを持っている必要があります: Teams Essentials、Microsoft 365 Business Basic、Microsoft 365 Business Standard、Microsoft 365 Business Premium、Microsoft 365 E3/E5、Office 365 E1/E3/E5。
Mesh のイマーシブ スペースのライセンス要件
Microsoft Mesh の場合は、次のものが必要です。
商用使用のためにテナント内のライセンスをTeams Premiumします。 Microsoft Teams Premium ライセンスの詳細 - Microsoft Teams |Microsoft Learn。
注意
世界中の公共部門、EDU、GCC ライセンスを持つテナントはサポートされていません。
Teams Premium購入の要件に関するページで概説されているように、Teams Premiumの前提条件ライセンス- Microsoft Teams |Mesh のすべてのユーザー向けの Microsoft Learn。
注意
すべてのTeams Premiumの前提条件ライセンスには、Sharepoint、OneDrive、M365 カレンダーが含まれます。 Teams for enterprise および Teams Premium 試用版ライセンスの詳細を確認してください。
(省略可能) カスタムイマーシブ スペースを開発し、Mesh 環境用の Cloud Scripting をデプロイするためのストレージを備えたライセンスと Azure サブスクリプションをUnityします。
サブスクリプションの要件
Microsoft Mesh を使用するには、すべてのユーザー (開発者、イベント オーガナイザー、イベント出席者/ユーザーを含む) に、SharePoint、OneDrive、M365 カレンダーへのアクセス権を持つ M365 Office サブスクリプションが必要です。
これらは、次の場合に必要です。
- グループ作成: Web 上の Mesh での Mesh World の作成に使用されます。
- SharePoint/OneDrive: カスタム イベント/テンプレートの作成に使用されます。
- メールボックス/予定表: イベントの作成またはイベント招待の送受信に使用されます。
ヘルプについては、 メッシュ ライセンスのイマーシブ スペースに関するトラブルシューティングと FAQ を参照してください。
Teams のイマーシブ スペースのライセンス要件
必要なライセンス
ユーザーは、商用 Teams ライセンス (Microsoft Teams Enterprise、Teams Essentials、または Teams が含まれる M365、O365、またはビジネス SKU のいずれかを持っている必要があります: Microsoft 365 Business Basic、Microsoft 365 Business Standard、Microsoft 365 Business Premium、Microsoft 365 E3/E5、および Office 365 E1/E3/E5。
Teams でイマーシブ スペースを設定する方法の詳細を確認してください。
ヘルプについては、「 Teams ライセンスのトラブルシューティングと FAQ」のイマーシブ スペースを参照してください。
Mesh 用にプロビジョニングするテナントを検討する
Mesh 用にプロビジョニングするテナントを選択する際に考慮すべき 2 つのメイン要素は次のとおりです。
イマーシブ エクスペリエンスにアクセスできるユーザー。
イマーシブ エクスペリエンスに一緒に参加するすべてのユーザーは、同じMicrosoft Entra ID (旧称 Azure Active Directory) にネイティブ アカウントを持っている必要があります。テナントへのゲスト アクセスは機能しません。
ドメインを無制限に制御することと、ドメインを安全かつ効果的に実行する最終的な責任があることのトレードオフ。
Mesh のプライマリ テナント
Mesh 用のプライマリ 運用テナントをプロビジョニングすることをお勧めします。これは、テストに使用する最大のスコープを提供しますが、内部の手順と承認によってオーバーヘッド作業が発生する可能性があるためです。
Mesh 用の個別のテナント
運用テナントの外部のユーザーと共同作業する場合は、Mesh 専用に別のテナントを設定することをお勧めします。 そのorganizationに対して作業していないユーザーに対して、運用テナントにユーザー アカウントを作成することに技術的な障壁はありませんが、ビジネス上の理由が強い場合があります。
注意
ただし、追加のテナントを作成すると、管理者とユーザーがアカウントを管理する複雑さが増し、ライセンスとドメイン管理に追加の費用が発生し、organization内で追加のプロセスが必要になる場合もあります。
実稼働バージョンの Teams のユーザーに対して Teams でイマーシブ スペースを使用する場合は、Mesh 用に運用テナントをプロビジョニングする必要があります。 テスト用に他のテナントを作成できますが、1 日を通して Teams を使用するユーザーは、メイン Teams アカウントからログアウトして別のテナントの別のアカウントにログインする可能性は非常に低いです。 Mesh アプリでは、アカウント間を簡単に切り替える方が、個別のテナントの方が実用的です。
各テナントには複数の Azure Storage サブスクリプションを含めることができますが、Mesh クラウド スクリプトに使用される Azure Storage サブスクリプションは、イベントに参加するユーザーやスクリプトをアップロードおよび管理する開発者と同じ EntraID に含まれている必要があります。
サポート チームの所有者に問い合わせる
Mesh を実行する手順を完了するには、さまざまな権限とアクセス許可を持っているか、必要な権限とアクセス許可を付与できるorganizationのユーザーと連絡を取る必要があります。 会社の構造やポリシーによっては、このプロセスに時間がかかる場合があるため、できるだけ早くアウトリーチを開始するのに役立ちます。
次のセクションでは、必要な展開前タスクを完了するために使用する必要がある組織の役割の一覧を示します。
Teams アプリ マネージャー
イマーシブ スペースとアバターの管理者向けは、Teams 管理ポータルの admin.teams.microsoft.com で行われます。 mesh チームのユーザーにMicrosoft Entraの Teams 管理者の役割を割り当てるには、テナント全体管理者が必要です。または、必要なすべての構成を行うには、現在の Teams Apps マネージャーと緊密に連携する必要があります。
Teams アプリ のポリシー
使用する Mesh コンポーネントの 2 つは Teams アプリです。承認されたユーザーのみがアクセスできるようにポリシーを設定する必要があります。 必要に応じて Mesh アプリを許可またはブロックするように、グローバル レベルまたはカスタム レベルで Teams アプリ ポリシーを変更します。 指定されたユーザーに Mesh コンポーネントを自動的にインストールする場合は、Teams アプリのセットアップ ポリシーも設定する必要があります。 Teams アプリ管理を所有するユーザーと調整して、適切なポリシーを計画します。 Teams のアクセス制御の詳細については、「」を参照してください https://admin.microsoft.com/Adminportal/Home#/rbac/directory。
Teams フィードバック ポリシー
Microsoft は、より良い製品を作るためにユーザーからのフィードバックに依存しています。 Teams 管理者は、ユーザーが Teams に関するフィードバックを Microsoft に送信できるかどうかを設定できます。 フィードバックは、Entra ID グループ メンバーシップに基づいて許可できます。 Teams フィードバックが無効になっている場合、ユーザーは Teams に組み込まれている Mesh 機能に関するフィードバックを送信できません。 Mesh ユーザーに対してこのフィードバックを許可することを組織に強くお勧めしますが、変更を加える前に会社のポリシーを参照してください。 フィードバックの管理の詳細については、次を参照してください。
ユーザー アクセスを許可するようにサービス プランを構成する
重要
管理者エクスペリエンスを効率化するために、管理者は M365 Apps 管理 Center で Mesh を構成する必要がなくなります。 以前に M365 Apps 管理 センターにある Mesh ポリシーを使用して、organization内のユーザーまたはグループへの Mesh アクセスを制限していた場合は、2024 年 2 月末までに、M365 管理 Center (MAC) ではなく、Mesh サービス プランを使用したアクセスの制限に切り替える必要があります。
サービス プランの詳細については、「サービス プラン を使用して Mesh へのアクセスを構成する」を参照してください。
使用許諾契約書
Mesh エクスペリエンスの空間オーディオを有効にするには、ユーザーが Microsoft と直接別の契約を締結する必要があります。 この契約は、ユーザーが Mesh を初めて使用する前にユーザーに提示されます。 ユーザーがその契約を締結したくない場合、ユーザーは Mesh を使用できません。
管理者が使用許諾契約書の条項に同意しない場合、管理者は上記のサービス プランを使用してユーザーの Mesh を無効にすることができます。
サービス プランとエンド ユーザー使用許諾契約書の詳細については、「 エンド ユーザーライセンス契約」を参照してください。
エンドポイント マネージャーを確認する
アプリをデプロイするためのorganizationのプロセスがわかっていることを確認します。 Mesh アプリは Microsoft Store で使用でき、そこから MDM (モバイル デバイス管理) ソリューション (Microsoft Intuneを使用してアプリを展開し、ユーザーのポータル サイトに表示させることができます。 Microsoft Store へのアクセスをブロックする場合は、代わりに WinGet を使用できます。 Microsoft Intuneを使用したアプリのデプロイの詳細については、次を参照してください。
Microsoft Store アプリを Microsoft Intune に追加する
クラウド スクリプト用に Azure を構成する
開発者が Mesh Cloud Scripting を使用するカスタム Mesh 環境を構築する予定の場合は、クラウド スクリプト サービスをデプロイできる Azure サブスクリプションが必要になります。 Mesh Visual Scripting のみを使用する環境では、Azure サブスクリプションは必要ありません。
これらの要件の詳細については、「 Azure でクラウド スクリプト インフラストラクチャを設定する 」を参照してください。
organizationのセキュリティ チームと連携する
新しいアプリまたはサービスをデプロイする前に、セキュリティへの影響を考慮し、セキュリティ チームと緊密に連携して、すべての標準セキュリティ ポリシーに準拠していることを確認する必要があります。 次の Mesh 要件について、適切なセキュリティ所有者と事前に話し合います。
Teams でのエクスペリエンスのエンドポイントとファイアウォール ポート
| Teams のイマーシブ スペース | Teams でのアバター | |
|---|---|---|
| 必要なエンドポイント | 次のエンドポイントは、ファイアウォールまたはプロキシ サーバー経由で許可する 必要があります 。 すべてのエンドポイントで、TCP ポート 80 と 443 でのトラフィックを許可する必要があります。 *.microsoft.com |
次のエンドポイントは、ファイアウォールまたはプロキシ サーバー経由で許可する 必要があります 。 すべてのエンドポイントで、TCP ポート 80 と 443 でのトラフィックを許可する必要があります。 *.microsoft.com |
| ファイアウォール ポート | 上記のエンドポイントに加えて、Mesh では、次のプロトコルとポートを介して、"AzureCloud" サービス タグ内の IP アドレスへの送信トラフィックを許可することも必要です。 TCP ポート 80、443 サービス タグを IP 範囲の一覧に解決する必要がある場合は、サービス タグ API を定期的に使用するか、スナップショットをダウンロードできます。 サービス タグの詳細については、 Azure サービス タグの概要に関するページを参照してください。 |
Microsoft 365 の URL と IP アドレス範囲で説明されている標準の Microsoft Teams 要件セットに合わせて調整されます。 |
詳細については、「 Teams でイマーシブ スペースを設定 する」と「 Microsoft Teams でアバターを設定する」を参照してください。
Mesh のイマーシブ スペースのエンドポイントとファイアウォール ポート (Mesh アプリ)
重要
アクティブな問題により、シングル ルームイベントとマルチルーム イベントでは、同じファイアウォール エンドポイントとポート構成が必要です。 この問題の解決に積極的に取り組んでおり、ご不便をおかけして申し訳ございません。 この通知は、修正プログラムがロールアウトされると削除されます。
| Mesh アプリでのシングル ルーム イベント | Mesh アプリでのマルチルーム イベント | |
|---|---|---|
| 必要なエンドポイント | Microsoft 365 の URL と IP アドレス範囲で説明されている標準の Microsoft Teams 要件セットに合わせて調整されます。 | Mesh が正しく動作することを確認するには、次のエンドポイントを許可します。 すべてのエンドポイントで、TCP ポート 80 と 443 でのトラフィックを許可する必要があります。 *.officeapps.live.com |
| ファイアウォール ポート | Microsoft 365 の URL と IP アドレス範囲で説明されている標準の Microsoft Teams 要件セットに合わせて調整されます。 | 上記のエンドポイントに加えて、Mesh では、次のプロトコルとポートを介して、"AzureCloud" サービス タグ内の IP アドレスへの送信トラフィックを許可することも必要です。 TCP ポート 80、443 サービス タグを IP 範囲の一覧に解決する必要がある場合は、サービス タグ API を定期的に使用するか、スナップショットをダウンロードできます。 サービス タグの詳細については、 Azure サービス タグの概要に関するページを参照してください。 |
シングル ルームイベントとマルチルーム イベントの詳細については、「Mesh でイベントをCreateする」を参照してください。
条件付きアクセス & Quest
条件付きアクセスは、ネットワークとリソースをセキュリティで保護するためのゼロ トラスト アプローチの重要な部分です。 ゼロ トラストの一環として、多くの企業は、Microsoft EntraとMicrosoft Intuneを含む条件付きアクセス機能ポリシーを使用して、会社のリソースへのアクセスが許可されるデバイスの種類、さらにはそれらのデバイスのオペレーティング システムのバージョンと構成を制限します。定義されたプロファイルを満たすデバイスはで許可され、指定されていないその他のデバイスはアクセスを拒否されます。 Meta は、Intuneで動作する Quest のベータ GA バージョン MDM サポートをリリースしました。 プレリリースで Mesh を使用する各企業は、セキュリティおよびエンドポイント管理チームと協力して、Quest デバイスへのアクセスを許可しながら、会社のリスク プロファイルに許容されるポリシーを構築できるかどうかを決定する必要があります。
現在、1 つの解決策があります。Quest 上の Mesh をブロックする可能性がある条件付きアクセス ポリシーを使用して Mesh on Quest にアクセスするには、microsoft Mesh Services と Office 365を除外するカスタム条件付きアクセス ポリシーをMicrosoft Entraに作成します。
条件付きアクセスの詳細については、次を参照してください。
変化を伝える利害関係者と協力する
上記の利害関係者には、Mesh 環境のセットアップに影響を与えるアクティブな手順がありますが、組織の他の部分がデプロイの影響を受けるか、計画プロセスの早い段階で考慮する必要があるポリシーまたはガイドラインがある可能性があります。 デプロイする前に連絡が必要になる可能性があるorganizationの領域をいくつか次に示します。
通信の変更: 保留中の変更についてユーザーに連絡するための標準的なプロセスがある場合は、Mesh がそれらの通信の一部であることを確認します。
ヘルプ デスク: Mesh を使用して問題が発生したユーザー向けのサポート プランを用意します。 Mesh 管理者が、必要に応じて Microsoft と通信できるように、ユーザーが経験した問題を確認する方法があることを確認します。
人事: Mesh では、デプロイや運用に人事からの特定のアクションは必要ありませんが、ユーザーにイマーシブ エクスペリエンスを作成することに関心がある場合があります。 Mesh 会議のエクスペリエンスに影響を与える可能性があるポリシーについては、人事部に確認してください。
会社のブランド化: ユーザー向けにカスタム会議エクスペリエンスを作成する場合は、会社のブランド化の専門家とチェックして、会議資産がブランド化基準を満たしていることを確認する必要があります。
Mesh アバターのユーザーの準備
Teams でアバター機能を初めてロールアウトする場合、一部のユーザーは、使用するのが良いタイミングに関するガイダンスを必要とし、使用するのが良くない場合があります。 Microsoft は、アバター エチケットに関するブログを公開しました。 Microsoft の従業員が Microsoft Teams のアバターを会議でどのように使用しているか。 このドキュメントは、ユーザーと共有したい資料を通知するのに役立ちます。
まとめ
Microsoft Mesh には、リモートおよびハイブリッドワークプレースでのコミュニケーションとコラボレーションを強化する強力な機能が多数用意されています。 このサービスはサービスにまたがるエクスペリエンスを提供するため、必要なすべての利害関係者が、ここに記載されているものと、organizationに固有の他の関係者の両方に入力を提供するように計画してください。