3 層の保護を使ってチームを構成する
このシリーズの記事では、ファイルを保護するために、Microsoft Teams のチームと関連付けられた SharePoint サイトを、セキュリティとコラボレーションのしやすさのバランスを取りながら構成するための推奨事項を示します。
この記事では、最もオープンな共有ポリシーを持つパブリック チームをはじめとして 4 つの異なる構成を定義します。追加の各構成は、保護における意味のあるステップ アップを表しますが、チーム内に保存されているファイルにアクセスして共同作業する機能は、関連するチーム メンバーのセットに縮小されます。
この記事で示されている構成は、データ、ID、デバイスを保護するための 3 つの層に関する Microsoft の推奨事項と調和しています。
基準の保護
機密の保護
高機密の保護
以上の層と各層に推奨される機能については、「エンタープライズ アーキテクト向け Microsoft クラウドのイラスト」をご覧ください
3 層の概要
次の表は、各層の構成の要約を示しています。 この構成を出発点として利用し、組織のニーズに合わせて構成を調整してください。 すべての層を必要としない場合があります。
| ベースライン (パブリック) | ベースライン (プライベート) | 機密 | 高機密 | |
|---|---|---|---|---|
| プライベート チームまたはパブリック チーム | パブリック | プライベート | プライベート | プライベート |
| 誰にアクセス権が与えられるか | B2B のユーザーを含む組織の全員。 | チームのメンバーのみ。 他のユーザーが関連するサイトに対するアクセスを要求できる。 | チームのメンバーのみ。 | チームのメンバーのみ。 |
| プライベート チャネル | 所有者とメンバーがプライベート チャネルを作成できる | 所有者とメンバーがプライベート チャネルを作成できる | 所有者のみがプライベート チャネルを作成できる | 所有者のみがプライベート チャネルを作成できる |
| 共有チャネル | 所有者とメンバーが共有チャネルを作成できる | 所有者とメンバーが共有チャネルを作成できる | 所有者のみが共有チャネルを作成できる | 所有者のみが共有チャネルを作成できる |
| サイトレベルのゲスト アクセス | 新規および既存のゲスト (既定値)。 | 新規および既存のゲスト (既定値)。 | チームのニーズに応じて、新規および既存のゲスト または 組織内のユーザーのみ。 | チームのニーズに応じて、新規および既存のゲスト または 組織内のユーザーのみ。 |
| サイト共有設定 | サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できます。 | サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できます。 | サイトの所有者とメンバー、および編集アクセス許可を持つユーザーは、ファイルとフォルダーを共有できますが、サイトの所有者のみがサイトを共有できます。 | サイト所有者のみが、ファイル、フォルダー、およびサイトを共有できます。 アクセス権の要求は オフ です。 |
| サイトレベルの非管理対象デバイス アクセス | デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可する (既定値)。 | デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可する (既定値)。 | 制限付きの、Web のみのアクセスを許可する。 | アクセスをブロックする。 |
| 既定の共有リンクの種類 | 組織内のユーザーのみ | 組織内のユーザーのみ | 特定のユーザー | 既存のアクセス権をもつユーザー |
| 秘密度ラベル | なし | なし | チームを分類し、ゲスト共有および非管理対象デバイス アクセスを制御するために使用される秘密度ラベル。 | チームを分類し、ゲスト共有および非管理対象デバイス アクセスを制御するために使用される秘密度ラベル。 ファイル上のラベルは、ファイルを暗号化するためにも使用できます。 |
高機密性オプションのバリエーションである、セキュリティ分離によるチームでは、1 つのチームに固有の秘密度ラベルを使用します。これにより、セキュリティが強化されます。 このラベルを使用すると、ファイルを暗号化できます。また、そのチームのメンバーだけがファイルを読み取ることができます。
ベースライン保護には、パブリック チームとプライベート チームが含まれます。 パブリック チームは、組織内のだれでも検出およびアクセスできます。 プライベート チームは、チームのメンバーのみが検出とアクセスを行うことができます。 これらの構成はいずれも、関連付けられている SharePoint サイトの共有をチームの所有者に制限し、アクセス許可の管理に役立ちます。
機密保護および高機密保護に対するチームは、プライベート チームであり、関連するサイトの共有およびアクセス要求が制限されており、ゲスト共有、デバイス アクセス、コンテンツの暗号化に関するポリシーを設定するために、秘密度ラベルが使用されます。
秘密度ラベル
機密層および高機密層は、秘密度ラベルを使用して、チームとそのファイルをセキュリティで保護します。 これらの層を実装するには、Microsoft Teams、Office 365 グループ、SharePoint サイトのコンテンツを保護する秘密度ラベルを有効にする必要があります。
基準層では秘密度ラベルは必要ありませんが、「全般」 ラベルを作成して、すべてのチームにラベルを付けるように要求することを検討してください。 これにより、ユーザーがチームを作成するときに、秘密度について意識的に選択できるようになります。 機密層または高機密層の展開を計画する場合は、基準チームや機密ではないファイルに使用できる「全般」ラベルの作成をお勧めします。
秘密度ラベルを初めて使用する場合は、最初に「秘密度ラベルの使用を開始する」をお読みください。
組織で既に秘密度レベルを展開している場合は、機密層や高機密層で使用するラベルがラベル戦略全体にどのように適合しているかを検討してください。
SharePoint サイトを共有する
各チームには、ドキュメントが保存されている、関連付けられている SharePoint サイトがあります。 (これは、チーム チャネルの [ファイル] タブにあります。) SharePoint サイトは、独自のアクセス許可管理を保持します。ただし、チームのアクセス許可にリンクされています。 チームの所有者は、サイトの所有者として含まれ、チーム メンバーは関連付けられたサイトのサイト メンバーとして含まれます。
この結果、アクセス許可では次の操作が許可されます。
- チームの所有者がサイトを管理し、サイト コンテンツに対してフル コントロールを持つこと。
- チーム メンバーがサイト上でファイルを作成および編集すること。
既定では、チームの所有者とメンバーは、チームにチーム外のユーザーを実際に追加することなく、サイト自体を共有できます。 これは、ユーザー管理を複雑にし、チームの所有者が気付くことなく、チーム メンバーではないユーザーが、チーム ファイルにアクセスできる可能性がるため、お勧めしません。 これを回避するために、保護の基準レベルから開始して、サイトを直接共有できるのが所有者のみにすることをお勧めします。
Teams には読み取り専用のアクセス許可オプションはありませんが、SharePoint サイトでは許可されます。パートナー グループの関係者が、チーム ファイルの表示は必要だが編集は必要ない場合は、SharePoint サイトに読み取りアクセス許可を持たせて、直接追加する方法を検討してください。
ファイルとフォルダーを共有する
既定では、チームの所有者とメンバーの両方は、チーム外のユーザーとファイルおよびフォルダーを共有できます。 ゲスト共有を許可している場合、組織外のユーザーが含まれることがあります。 すべての 3 つの層で、偶発的な過剰共有を防ぐために、既定の共有リンクの種類を更新します。 高機密層では、チームの所有者のみに共有を制限しています。
組織外のユーザーとの共有
組織外のユーザーと Teams のコンテンツを共有する必要がある場合は、次の 2 つのオプションがあります。
- ゲスト共有 - ゲスト共有では、Azure AD B2B コラボレーションが使用されます。これにより、ユーザーは組織外のユーザーとファイル、フォルダー、サイト、グループ、チームを共有できます。 これらのユーザーは、ゲスト アカウントを使用して、ディレクトリ内の共有リソースにアクセスします。
- 共有チャネル - 共有チャネルでは、Azure AD B2B 直接接続が使用されます。これにより、ユーザーは他の Azure AD 組織のユーザーと組織内のリソースを共有できます。 これらのユーザーは、自分の職場または学校アカウントを使用して、Teams 内の共有チャネルにアクセスします。 組織内にゲスト アカウントは作成されません。
状況に応じて、ゲスト共有と共有チャネルの両方が役立ちます。 それぞれの詳細、および特定のシナリオでどちらを使用するかを決める方法については、「外部コラボレーションを計画する」を参照してください。
ゲスト共有を使用する予定の場合は、共有と管理の最適な操作性を実現するために、Azure AD B2B と SharePoint と OneDrive の統合を構成することをお勧めします。
Teams のゲスト共有は既定ではオンになっていますが、機密層および高機密層では、秘密度ラベルを使用して、必要に応じて無効にできます。 共有チャネルは既定でオンになっていますが、共同作業を行う組織ごとに組織間の関係を設定する必要があります。 詳細については、「チャネルで外部の参加者と共同作業する」を参照してください。
高機密層で、適用するファイルを暗号化するように秘密度ラベルを構成します。 ゲストがこれらのファイルにアクセスできるようにする必要がある場合は、ラベルを作成するときにアクセス許可を付与する必要があります。 共有チャネルの外部参加者に秘密度ラベルに対するアクセス許可を与えることはできません。また、秘密度ラベルで暗号化されたコンテンツにアクセスすることもできません。
組織外のユーザーと共同作業する必要がある場合は、基準層および機密層または高機密層に対するゲスト共有を有効のままにしておくことを強くお勧めします。 Microsoft 365 のゲスト共有機能を利用すると、メールメッセージの添付ファイルとしてファイルを送信する場合より、より安全で管理可能な共有を行うことができます。 また、ユーザーが管理されていないコンシューマー製品を使用して合法的な外部コラボレーターと共有を行うシャドウ IT のリスクを低減します。
Azure AD を使用する他の組織と定期的に共同作業を行う場合は、共有チャネルを選択する方が適している可能性があります。 共有チャネルは、他の組織の Teams クライアントにシームレスに表示され、外部の参加者はゲスト アカウントを使用して別途ログインするのではなく、通常使用している組織のユーザー アカウントを使用することができます。
組織に対して安全で生産性の高いゲスト共有環境を作成するには、次の参考資料をご覧ください。
- 認証されていないユーザーとファイルおよびフォルダーを共有するためのベスト プラクティス
- 組織外のユーザーと共有する場合、ファイルが偶発的に公開されることを制限する
- セキュリティで保護されたゲスト共有環境を作成する
非管理対象デバイスからのアクセス
機密層および高機密層では、秘密度ラベルを使用して SharePoint コンテンツへのアクセスを制限します。 Azure AD の条件付きアクセスには、場所、リスク、デバイスのコンプライアンス、およびその他の要因に基づく制限を含む、ユーザーが Microsoft 365 にアクセスする方法を決定する多くのオプションが用意されています。 条件付きアクセスとは? を読み、組織にとって、どのような追加ポリシーが適切であるかを検討することをお勧めします。
ゲストは、多くの場合、組織で管理されているデバイスを持たされていないことに注意してください。いずれかの層でゲストを許可する場合、Teans やサイトへのアクセスに使用するデバイスの種類を検討し、それに合わせて被管理対象デバイスのポリシーを設定します。
Microsoft 365 間でデバイス アクセスを制御する
秘密度ラベルにある管理対象ではないデバイス設定は、SharePoint アクセスだけに影響します。 管理対象ではないデバイスの制御を SharePoint 以外で拡張する場合は、代わりに組織にあるすべてのアプリとサービスに Azure Active Directory 条件付きアクセス ポリシーを作成 することができます。 Microsoft 365 サービス専用にこのポリシーを構成するには、クラウド アプリまたは操作 で Office 365 クラウド アプリを選択します。
すべての Microsoft 365 サービスに影響を与えるポリシーを使用すると、セキュリティが向上し、ユーザーのエクスペリエンスが向上する可能性があります。たとえば、SharePoint でのみ管理されていないデバイスへのアクセスをブロックすると、ユーザーは管理されていないデバイスを使用してチーム内のチャットにアクセスできますが、Files タブにアクセスしようとするとアクセスできなくなります。Office 365 クラウド アプリを使用すると、サービスの依存関係に関する問題を回避できます。
次の手順
保護の基準レベルを構成することから開始します。 必要に応じて、基準の上部に機密保護および高機密保護を追加できます。