3 層の保護を使ってチームを構成するConfigure Teams with three tiers of protection

このシリーズの記事では、ファイルを保護するために、Microsoft Teams のチームと関連付けられた SharePoint サイトを、セキュリティとコラボレーションのしやすさのバランスを取りながら構成するための推奨事項を示します。The articles in this series provide recommendations for configuring teams in Microsoft Teams and their associated SharePoint sites for file protection that balances security with ease of collaboration.

この記事では、最もオープンな共有ポリシーを持つパブリック チームをはじめとして 4 つの異なる構成を定義します。追加の各構成は、保護における意味のあるステップ アップを表しますが、チーム内に保存されているファイルにアクセスして共同作業する機能は、関連するチーム メンバーのセットに縮小されます。This article defines four different configurations, starting with a public team with the most open sharing policies. Each additional configuration represents a meaningful step up in protection, while the ability to access and collaborate on files stored within teams is reduced to the relevant set of team members.

この記事で示されている構成は、データ、ID、デバイスを保護するための 3 つの層に関する Microsoft の推奨事項と調和しています。The configurations in this article align with Microsoft's recommendations for three tiers of protection for data, identities, and devices:

  • 基準の保護Baseline protection

  • 機密の保護sensitive protection

  • 高機密の保護Highly sensitive protection

以上の層と各層に推奨される機能については、「エンタープライズ アーキテクト向け Microsoft クラウドのイラスト」をご覧くださいFor more information about these tiers and capabilities recommended for each tier, see Microsoft cloud for enterprise architects illustrations

3 層の概要Three tiers at a glance

次の表は、各層の構成の要約を示しています。The following table summarizes the configurations for each tier. この構成を出発点として利用し、組織のニーズに合わせて構成を調整してください。Use these configurations as starting point recommendations and adjust the configurations to meet the needs of your organization. すべての層を必要としない場合があります。You may not need every tier.

- ベースライン (パブリック)Baseline (Public) ベースライン (プライベート)Baseline (Private) 機密Sensitive 高機密Highly sensitive
プライベート チームまたはパブリック チームPrivate or public team パブリックPublic KirklandPrivate KirklandPrivate KirklandPrivate
誰にアクセス権が与えられるかWho has access? B2B のユーザーを含む組織の全員。Everybody in the organization, including B2B users. チームのメンバーのみ。Only members of the team. 他のユーザーが関連するサイトに対するアクセスを要求できる。Others can request access to the associated site. チームのメンバーのみ。Only members of the team. チームのメンバーのみ。Only members of the team.
プライベート チャネルPrivate channels 所有者とメンバーがプライベート チャネルを作成できるOwners and members can create private channels 所有者とメンバーがプライベート チャネルを作成できるOwners and members can create private channels 所有者のみがプライベート チャネルを作成できるOnly owners can create private channels 所有者のみがプライベート チャネルを作成できるOnly owners can create private channels
サイトレベルのゲスト アクセスSite-level guest access 新規および既存のゲスト (既定値)。New and existing guests (default). 新規および既存のゲスト (既定値)。New and existing guests (default). チームのニーズに応じて、新規および既存のゲスト または 組織内のユーザーのみNew and existing guests or Only people in your organization depending on team needs. チームのニーズに応じて、新規および既存のゲスト または 組織内のユーザーのみNew and existing guests or Only people in your organization depending on team needs.
サイト共有設定Site sharing settings サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できますSite owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できますSite owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できますSite owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. サイト所有者のみが、ファイル、フォルダー、およびサイトを共有できますOnly site owners can share files, folders, and the site.
アクセス権の要求は オフ です。Access requests Off.
サイトレベルの非管理対象デバイス アクセスSite-level unmanaged device access デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可する (既定値)。Full access from desktop apps, mobile apps, and the web (default). デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可する (既定値)。Full access from desktop apps, mobile apps, and the web (default). 制限付きの、Web のみのアクセスを許可するAllow limited, web-only access. アクセスをブロックするBlock access.
既定の共有リンクの種類Default sharing link type 組織内のユーザーのみOnly people in your organization 組織内のユーザーのみOnly people in your organization 特定のユーザーSpecific people 既存のアクセス権をもつユーザーPeople with existing access
秘密度ラベルSensitivity labels なしNone なしNone チームを分類し、ゲスト共有および非管理対象デバイス アクセスを制御するために使用される秘密度ラベル。Sensitivity label used to classify the team and control guest sharing and unmanaged device access. チームを分類し、ゲスト共有および非管理対象デバイス アクセスを制御するために使用される秘密度ラベル。Sensitivity label used to classify the team and control guest sharing and unmanaged device access. ファイル上のラベルは、ファイルを暗号化するためにも使用できます。Label can also be used on files to encrypt files.

高機密性オプションのバリエーションである、セキュリティ分離によるチームでは、1 つのチームに固有の秘密度ラベルを使用します。これにより、セキュリティが強化されます。A variation of the Highly sensitive option, Teams with security isolation uses a unique sensitivity label for one team, which provides additional security. このラベルを使用すると、ファイルを暗号化できます。また、そのチームのメンバーだけがファイルを読み取ることができます。You can use this label to encrypt files, and only members of that team will be able to read them.

ベースライン保護には、パブリック チームとプライベート チームが含まれます。Baseline protection includes public and private teams. パブリック チームは、組織内のだれでも検出およびアクセスできます。Public teams can be discovered and accessed by anybody in the organization. プライベート チームは、チームのメンバーのみが検出とアクセスを行うことができます。Private teams can only be discovered and accessed by members of the team. これらの構成はいずれも、関連付けられている SharePoint サイトの共有をチームの所有者に制限し、アクセス許可の管理に役立ちます。Both of these configurations restrict sharing of the associated SharePoint site to team owners to assist in permissions management.

機密保護および高機密保護に対するチームは、プライベート チームであり、関連するサイトの共有およびアクセス要求が制限されており、ゲスト共有、デバイス アクセス、コンテンツの暗号化に関するポリシーを設定するために、秘密度ラベルが使用されます。Teams for sensitive and highly sensitive protection are private teams in which sharing and the requesting of access for the associated site is limited and sensitivity labels are used to set policies around guest sharing, device access, and content encryption.

秘密度ラベルSensitivity labels

機密層および高機密層は、秘密度ラベルを使用して、チームとそのファイルをセキュリティで保護します。The sensitive and highly sensitive tiers use sensitivity labels to help secure the team and its files. これらの層を実装するには、Microsoft Teams、Office 365 グループ、SharePoint サイトのコンテンツを保護する秘密度ラベルを有効にする必要があります。To implement these tiers, you must enable sensitivity labels to protect content in Microsoft Teams, Office 365 groups, and SharePoint sites.

基準層では秘密度ラベルは必要ありませんが、「全般」 ラベルを作成して、すべてのチームにラベルを付けるように要求することを検討してください。While the baseline tier does not require sensitivity labels, consider creating a "general" label and then requiring that all teams be labeled. これにより、ユーザーがチームを作成するときに、秘密度について意識的に選択できるようになります。This will help ensure that users make a conscious choice about sensitivity when they create a team. 機密層または高機密層の展開を計画する場合は、基準チームや機密ではないファイルに使用できる「全般」ラベルの作成をお勧めします。If you plan to deploy the sensitive or highly sensitive tiers, we do recommend creating a "general" label that you can use for baseline teams and for files that are not sensitive.

秘密度ラベルを初めて使用する場合は、最初に「秘密度ラベルの使用を開始する」をお読みください。If you're new to using sensitivity labels, we recommend reading Get started with sensitivity labels to get started.

組織で既に秘密度レベルを展開している場合は、機密層や高機密層で使用するラベルがラベル戦略全体にどのように適合しているかを検討してください。If you have already rolled out sensitivity labels in your organization, consider how the labels used in the sensitive and highly sensitive tiers fit with your overall label strategy.

SharePoint サイトを共有するSharing the SharePoint site

各チームには、ドキュメントが保存されている、関連付けられている SharePoint サイトがあります。Each team has an associated SharePoint site where documents are stored. (これは、チーム チャネルの [ファイル] タブにあります。) SharePoint サイトは、独自のアクセス許可管理を保持します。ただし、チームのアクセス許可にリンクされています。(This is the Files tab in a teams channel.) The SharePoint site retains its own permission management, but is linked to team permissions. チームの所有者は、サイトの所有者として含まれ、チーム メンバーは関連付けられたサイトのサイト メンバーとして含まれます。Team owners are included as site owners and team members are included as site members in the associated site.

この結果、アクセス許可では次の操作が許可されます。The resulting permissions allow:

  • チームの所有者がサイトを管理し、サイト コンテンツに対してフル コントロールを持つこと。Team owners to administer the site and have full control over the site contents.
  • チーム メンバーがサイト上でファイルを作成および編集すること。Team members to create and edit files on the site.

既定では、チームの所有者とメンバーは、チームにチーム外のユーザーを実際に追加することなく、サイト自体を共有できます。By default, team owners and members can share the site itself with people outside the team without actually adding them to the team. これは、ユーザー管理を複雑にし、チームの所有者が気付くことなく、チーム メンバーではないユーザーが、チーム ファイルにアクセスできる可能性がるため、お勧めしません。We recommend against this as it complicates user management and can lead to people who are not team members having access to team files without team owners realizing it. これを回避するために、保護の基準レベルから開始して、サイトを直接共有できるのが所有者のみにすることをお勧めします。To help prevent this, starting in the baseline level of protection, we recommend that only owners be allowed to share the site directly.

Teams には読み取り専用のアクセス許可オプションはありませんが、SharePoint サイトでは許可されます。パートナー グループの関係者が、チーム ファイルの表示は必要だが編集は必要ない場合は、SharePoint サイトに読み取りアクセス許可を持たせて、直接追加する方法を検討してください。While teams do not have a read-only permission option, the SharePoint site does. If you have stakeholders of partner groups who need to be able to view team files but not edit them, consider adding them directly to the SharePoint site with Read permissions.

ファイルとフォルダーを共有するSharing files and folders

既定では、チームの所有者とメンバーの両方は、チーム外のユーザーとファイルおよびフォルダーを共有できます。By default, both owners and members of the team can share files and folders with people outside the team. ゲスト共有を許可している場合、組織外のユーザーが含まれることがあります。This may include people outside your organization, if you have allowed guest sharing. すべての 3 つの層で、偶発的な過剰共有を防ぐために、既定の共有リンクの種類を更新します。In all three tiers, we update the default sharing link type to help avoid accidental oversharing. 高機密層では、チームの所有者のみに共有を制限しています。In the highly sensitive tier, we restrict such sharing to team owners only.

ゲスト共有Guest sharing

組織外のユーザーと共同作業する必要がある場合は、共有と管理の最適な操作性を実現するために、Azure AD B2B と SharePoint と OneDrive の統合を構成することをお勧めします。If you need to collaborate with people outside your organization, we recommend configuring SharePoint and OneDrive integration with Azure AD B2B for the best sharing and administration experience.

チームのゲスト共有は、既定では無効になっていますが、Office 365 グループ (チーム メンバーシップが保存されている) と SharePoint は有効です。Teams guest sharing is off by default, though sharing for Office 365 groups (where team membership is stored) and SharePoint is on. 基準層でチーム共有を有効にすると、機密層および高機密層において、秘密度ラベルを使用して、チーム共有を必要に応じて無効にできます。We turn Teams sharing on in the baseline tier, and you can turn it off if needed in the sensitive and highly sensitive tiers by using a sensitivity label.

機密度ラベルは、チームのゲスト共有にのみ影響します。関連付けられている SharePoint サイトのゲスト共有の設定は別々に制御されます。機密性層と高機密性層の両方に対して、ユーザーは、2 つの設定を揃える必要があります。The sensitivity label only affects guest sharing for the team. Guest sharing settings for the associated SharePoint site are controlled separately, and we have you align the two settings for both the sensitive and highly sensitive tiers.

高機密層で、適用するファイルを暗号化するように秘密度ラベルを構成します。In the highly sensitive tier, we configure the sensitivity label to encrypt files to which it is applied. ゲストがこれらのファイルにアクセスできるようにする必要がある場合は、ラベルを作成するときにアクセス許可を付与する必要があります。If you need guests to have access to these files, you must give them permissions when you create the label.

組織外のユーザーと共同作業する必要がある場合は、基準層および機密層または高機密層に対するゲスト共有を有効のままにしておくことを強くお勧めします。We highly recommend that you leave guest sharing on for the baseline tier and for the sensitive or highly sensitive tiers if you need to collaborate with people outside your organization. Microsoft 365 のゲスト共有機能を利用すると、メールメッセージの添付ファイルとしてファイルを送信する場合より、より安全で管理可能な共有を行うことができます。The guest sharing features in Microsoft 365 provide a much more secure and governable sharing experience than sending files as attachments in email messages. また、ユーザーが管理されていないコンシューマー製品を使用して合法的な外部コラボレーターと共有を行うシャドウ IT のリスクを低減します。It also reduces the risk of shadow IT where users use ungoverned consumer products to share with legitimate external collaborators.

組織に対して安全で生産性の高いゲスト共有環境を作成するには、次の参考資料をご覧ください。See the following references to create a secure and productive guest sharing environment for your organization:

非管理対象デバイスからのアクセスAccess from unmanaged devices

機密層および高機密層では、秘密度ラベルを使用して SharePoint コンテンツへのアクセスを制限します。For the sensitive and highly sensitive tiers, we restrict access to SharePoint content with sensitivity labels. Azure AD の条件付きアクセスには、場所、リスク、デバイスのコンプライアンス、およびその他の要因に基づく制限を含む、ユーザーが Microsoft 365 にアクセスする方法を決定する多くのオプションが用意されています。Azure AD conditional access offers many options for determining how people access Microsoft 365, including limitations based on location, risk, device compliance, and other factors. 条件付きアクセスとは? を読み、組織にとって、どのような追加ポリシーが適切であるかを検討することをお勧めします。We recommend you read What is Conditional Access? and consider which additional policies might be appropriate for your organization.

ゲストは、多くの場合、組織で管理されているデバイスを持たされていないことに注意してください。いずれかの層でゲストを許可する場合、Teans やサイトへのアクセスに使用するデバイスの種類を検討し、それに合わせて被管理対象デバイスのポリシーを設定します。Note that guests often don't have devices that are managed by your organization. If you allow guests in any of the tiers, consider what kinds of devices they'll be using to access teams and sites and set your unmanaged device policies accordingly.

Microsoft 365 間でデバイス アクセスを制御するControl device access across Microsoft 365

秘密度ラベルにある管理対象ではないデバイス設定は、SharePoint アクセスだけに影響します。The unmanaged devices setting in sensitivity labels only affect SharePoint access. 管理対象ではないデバイスの制御を SharePoint 以外で拡張する場合は、代わりに組織にあるすべてのアプリとサービスに Azure Active Directory 条件付きアクセス ポリシーを作成 することができます。If you want to expand control of unmanaged devices beyond SharePoint, you can Create an Azure Active Directory conditional access policy for all apps and services in your organization instead. Microsoft 365 サービス専用にこのポリシーを構成するには、クラウド アプリまたは操作Office 365 クラウド アプリを選択します。To configure this policy specifically for Microsoft 365 services, select the Office 365 cloud app under Cloud apps or actions.

Azure Active Directory 条件付きアクセス ポリシーにある Office 365 クラウド アプリのスクリーンショット

すべての Microsoft 365 サービスに関連するポリシーを使用すれば、セキュリティが向上し、ユーザー環境を改善することができるようになります。Using a policy that affects all Microsoft 365 services can lead to better security and a better experience for your users. たとえば、SharePoint だけで管理対象ではないデバイスへのアクセスをブロックすると、ユーザーは管理対象ではないデバイスを使用してチーム内のチャットにアクセスできますが、[ファイル] タブにアクセスしようとするとアクセスできなくなります。Office 365 クラウド アプリを使用すると、サービスの依存関係 に関する問題を回避できます。For example, when you block access to unmanaged devices in SharePoint only, users can access the chat in a team with an unmanaged device, but will lose access when they try to access the Files tab. Using the Office 365 cloud app helps avoid issues with service dependencies.

次の手順Next step

保護の基準レベルを構成することから開始します。Start by configuring the baseline level of protection. 必要に応じて、基準の上部に機密保護および高機密保護を追加できます。If needed you can add sensitive protection and highly sensitive protection on top of the baseline.

関連項目See also

Microsoft Teams のセキュリティとコンプライアンスSecurity and compliance in Microsoft Teams

セキュリティ/コンプライアンス センターのアラート ポリシーAlert policies in the security and compliance center