セキュリティで保護されたゲスト共有環境を作成する
この記事では、Microsoft 365 でセキュリティで保護されたゲスト共有環境を作成するためのさまざまなオプションについて説明します。 これらの例は、使用可能なオプションの概要を示しています。 これらの手順は、組織のセキュリティとコンプライアンスのニーズに合わせて、いろいろ組み合わせて使用できます。
この文書には、以下の内容が含まれます。
- ゲスト用の多要素認証を設定する。
- ゲスト用の利用規約を設定する。
- ゲストがチームやサイトに対するアクセス許可をまだ必要としているか定期的に確認するため、四半期ごとのゲスト アクセス レビューを設定する。
- アンマネージド デバイスに対するゲストのアクセスを Web のみに制限する。
- ゲストを毎日認証するようにセッション タイムアウト ポリシーを構成する。
- 高度機密プロジェクト向けの機密情報の種類を作成する。
- 機密情報の種類を含むドキュメントに、機密ラベルを自動的に割り当てる。
- 機密ラベルの付いたファイルからゲストアクセスを自動的に削除します。
この記事で説明するオプションの一部には、ゲストが Azure Active Directory のアカウントを持っている必要があります。 ファイルやフォルダーをゲストと共有する際、ゲストがそのディレクトリに含まれていることを確認するには、SharePoint および OneDrive の Azure AD B2B (プレビュー) との統合を使用します。
この記事ではゲスト共有設定を有効化する方法については扱いません。 さまざまなシナリオでゲスト共有を有効化する方法の詳細については、「組織外のユーザーとの共同作業」を参照してください。
ゲスト用の多要素認証を設定する
多要素認証を行うと、アカウントが漏洩する可能性が大幅に軽減されます。 ゲストはガバナンス ポリシーやベスト プラクティスに準拠していない個人用メール アカウントを使用している可能性があるため、ゲストに対して多要素認証を必須にすることは特に重要です。 ゲストのユーザー名とパスワードが盗難された場合でも、2 番目の認証要素が要求されるため、不明なユーザーがサイトやファイルにアクセスする可能性を大幅に減少できます。
この例では、Azure Active Directory で条件付きアクセス ポリシーを使用して、ゲスト用の多要素認証を設定します。
ゲスト用の多要素認証を設定するには
- Azure条件付きアクセスポリシーに移動する。
- [条件付きアクセス|ポリシー] ブレードで、[新しいポリシー] をクリックします。
- [名前] フィールドに名前を入力します。
- [割り当て] の下の [ユーザーとグループ] をクリックします。
- [ユーザーとグループ] ブレードで、[ユーザーとグループの選択] を選択し、[すべてのゲストと外部ユーザー] チェック ボックスをオンにします。
- [割り当て] の下の [クラウド アプリまたはアクション] をクリックします。
- [クラウド アプリまたは操作] ブレードで、[対象] タブの [すべてのクラウド アプリ] を選択します。
- [アクセス制御] で、[許可] をクリックします。
- [許可] ブレードで、[多要素認証を要求する] チェック ボックスをオンにし、[選択] をクリックします。
- [新規] ブレードの [ポリシーの有効化] で、[オン] をクリックして、[作成] をクリックします。
これで、ゲストは、多要素認証に登録してからでなければ共有コンテンツ、サイト、チームにアクセスできなくなります。
詳細情報
ゲスト用の利用規約を設定する
ゲストは、お客様の組織との機密保持契約その他の法的契約に署名していないことがよくあります。 ゲストが共有ファイルにアクセスできるようにする前に、利用規約への同意をゲストに要求することができます。 この利用規約は、ゲストが初めて共有ファイルやサイトにアクセスしようとしたときに表示されるようにできます。
利用規約を作成するには、そのドキュメントを Word などのオーサリング プログラムでまず作成し、.pdf ファイルとして保存する必要があります。このファイルは Azure AD にアップロードできます。
Azure AD の利用規約を作成するには
Azure にグローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインします。
[利用規約] に移動します。
[新しい利用規約] をクリックします。
名前 と 表示名 を入力します。
[利用規約のドキュメント] には、作成した PDF ファイルを参照して選択します。
利用規約のドキュメントの言語を選択します。
[ユーザーは使用条件を展開する必要があります] を [オン] に設定します。
[条件付きアクセス] の下にある [Enforce with conditional access policy template] (条件付きアクセス ポリシーのテンプレートの適用) リストから、[後で条件付きアクセス ポリシーを作成する] を選択します。
[作成] をクリックします。
利用規約の作成が完了したら、次に、ゲストにその利用規約を表示する条件付きアクセス ポリシーを作成します。
条件付きアクセス ポリシーを作成するには
- Azure条件付きアクセスポリシーに移動する。
- [条件付きアクセス|ポリシー] ブレードで、[新しいポリシー] をクリックします。
- [名前] ボックスに、名前を入力します。
- [割り当て] の下の [ユーザーとグループ] をクリックします。
- [ユーザーとグループ] ブレードで、[ユーザーとグループの選択] を選択し、[すべてのゲストと外部ユーザー] チェック ボックスをオンにします。
- [割り当て] の下の [クラウド アプリまたはアクション] をクリックします。
- [含める] タブで、[アプリを選択] を選択し、[選択] をクリックします。
- [選択] ブレードで、Microsoft Teams、Office 365 SharePoint Online、Outlook Groups を選択し、[選択] をクリックします。
- [アクセス制御] で、[許可] をクリックします。
- [許可] ブレードで、「ゲストの利用規約」と入力し、[選択] をクリックします。
- [新規] ブレードの [ポリシーの有効化] で、[オン] をクリックして、[作成] をクリックします。
これで、ゲストがお客様の組織のコンテンツ、チームやサイトに初めてアクセスしようとしたときに、利用規約への同意を要求されるようになります。
注意
条件付きアクセスを使用するには、Azure AD Premium P1 ライセンスが必要です。 詳細については、「条件付きアクセスとは」 を参照してください。
詳細情報
ゲスト アクセス レビューを設定する
Azure AD のアクセス レビューを使用すると、さまざまなチームやグループに対するユーザー アクセスの定期的なレビューを自動化できます。 特に、ゲストのアクセス レビューを必須にすることにより、ゲストが必要以上に長く組織の機密情報へのアクセス権を保持しないようにできます。
ゲスト アクセス レビューを設定するには
[Identity Governance] ページの左側のメニューで、[アクセス レビュー] をクリックします。
[新しいアクセス レビュー] をクリックします。
[Teams + グループ] オプションを選択します。
[ゲスト ユーザーがいるすべての Microsoft 365 グループ] オプションを選択します。 グループを除外する場合は、[除外するグループの選択] をクリックします。
[ゲスト ユーザーのみ] オプションを選択し、[次へ: レビュー] をクリックします。
[レビュー担当者の選択] で、[グループ所有者] を選択します。
[フォールバック レビュー担当者の選択] をクリックし、フォールバック レビュー担当者を選択して、[選択] をクリックします。
[レビューの繰り返しを指定する] で、[四半期ごと] を選択します。
開始日と期間を選択します。
[終了] で、[しない] を選択し、[次へ: 設定] をクリックします。
[設定] タブで、ビジネス ルールに準拠しているかどうかの設定を確認します。
[次へ: 確認 + 作成] をクリックします。
レビュー名 を入力し、設定を確認します。
[作成] をクリックします。
SharePoint と OneDrive の場所では、ドキュメントが共有されているかどうかに関係なく、機密情報の検出直後に、すべてのゲストに対してドキュメントは事前にブロックされますが、内部ユーザーは引き続きドキュメントにアクセスできることに注意してください。
詳細情報
Azure AD のアクセス レビューでゲスト アクセスを管理する
グループまたはアプリケーションのアクセス レビューを Azure AD アクセス レビューで作成する
ゲスト用の Web 専用アクセスを設定する
ゲストが Web ブラウザーのみを使用してチーム、サイト、ファイルにアクセスするように要求することにより、攻撃面を減少させて、管理を容易にできます。
Microsoft 365 グループとTeamsの場合は、Azure AD の条件付きアクセスポリシーで行います。 SharePointについては、SharePoint 管理センターで構成されます。 ( 機密ラベルを使用して、ゲストのアクセスを web のみに制限することができます)
グループとチームに対して、ゲストのアクセスを Web のみに制限する方法
Azure条件付きアクセスポリシーに移動する。
[条件付きアクセス - ポリシー] ブレードで、[新しいポリシー] をクリックします。
[名前] ボックスに、名前を入力します。
[割り当て] の下の [ユーザーとグループ] をクリックします。
[ユーザーとグループ] ブレードで、[ユーザーとグループの選択] を選択し、[すべてのゲストと外部ユーザー] チェック ボックスをオンにします。
[割り当て] の下の [クラウド アプリまたはアクション] をクリックします。
[含める] タブで、[アプリを選択] を選択し、[選択] をクリックします。
[選択] ブレードで、Microsoft Teams、Outlookグループ を選択し、 選択 をクリックします。
[割り当て] の下の [条件] をクリックします。
[条件] ブレードで、[クライアント アプリ] をクリックします。
[クライアント アプリ] ブレードで、[構成] の [はい] をクリックし、[モバイル アプリとデスクトップ クライアント]、[Exchange ActiveSync クライアント]、[その他のクライアント] の設定をします。[ブラウザー]] のチェック ボックスをオフにします。
[完了] をクリックします。
[アクセス制御] で、[許可] をクリックします。
[許可] ブレードで、[デバイスは準拠としてマーク済みである必要がある] および [Hybrid Azure AD 参加済みデバイスが必要] を選択します。
[複数のコントロールの場合] の下の [選択したコントロールのいずれかが必要] を選択して、[選択] をクリックします。
[新規] ブレードの [ポリシーの有効化] で、[オン] をクリックして、[作成] をクリックします。
SharePointでゲストのアクセスを Web のみに制限するには
- SharePoint 管理センターで、ポリシー を展開し、[アクセス制御] を選択します。
- [管理 されていないデバイス] を選択します。
- 制限付きの web のみのアクセスを許可する オプションを選択して、[保存] を選択します。
SharePoint 管理センターのこの設定では、Azure AD の条件付きアクセスポリシーをサポートしています。
ゲストにセッション タイムアウトを構成する
ゲストに定期的な認証を要求することにより、ゲストのデバイスがセキュリティで保護されていない場合も、不明なユーザーがお客様の組織のコンテンツにアクセスする可能性を減少できます。 ゲスト用のセッション タイムアウト条件付きアクセス ポリシーを、Azure AD で設定できます。
ゲスト セッション タイムアウト ポリシーを設定するには
- Azure条件付きアクセスポリシーに移動する。
- [条件付きアクセス - ポリシー] ブレードで、[新しいポリシー] をクリックします。
- [名前] ボックスに「ゲスト セッション タイムアウト」と入力します。
- [割り当て] の下の [ユーザーとグループ] をクリックします。
- [ユーザーとグループ] ブレードで、[ユーザーとグループの選択] を選択し、[すべてのゲストと外部ユーザー] チェック ボックスをオンにします。
- [割り当て] の下の [クラウド アプリまたはアクション] をクリックします。
- [含める] タブで、[アプリを選択] を選択し、[選択] をクリックします。
- [選択] ブレードで、Microsoft Teams、Office 365 SharePoint Online、Outlook Groups を選択し、[選択] をクリックします。
- [アクセス制御] で、[セッション] をクリックします。
- [セッション] ブレードで、[サインイン頻度] を選択します。
- 期間として [1] および [日] を選択し、[選択] をクリックします。
- [新規] ブレードの [ポリシーの有効化] で、[オン] をクリックして、[作成] をクリックします。
極秘プロジェクト向けの機密情報の種類を作成する
機密情報の種類は、コンプライアンス要件を適用するためにポリシー ワークフローで使用できる定義済みの文字列です。 Microsoft Purview コンプライアンス ポータルには、運転免許証番号、クレジット カード番号、銀行口座番号など、100 を超える機密情報の種類が付属しています。
カスタムの機密情報の種類を作成して、お客様の組織に固有のコンテンツを管理するために利用することもできます。 この例では、機密プロジェクト向けにカスタムの機密情報の種類を作成します。 そのようにすると、この機密情報の種類を使用して、機密ラベルを自動的に適用できるようになります。
機密情報の種類を作成するには
- Microsoft Purview コンプライアンス センターの左側のナビゲーションで、[分類] を展開し、[機密情報の種類] をクリックします。
- [作成] をクリックします。
- [名前] と [説明] に「Project Saturn」と入力し、[次へ] をクリックします。
- [要素の追加] をクリックします。
- [次が含まれているコンテンツを検出する] リストで [キーワード] を選択して、キーワード ボックスに「Project Saturn」と入力します。
- [次へ] をクリックし、[完了] をクリックします。
- 機密情報の種類をテストするかどうかをたずねられたら、[いいえ] をクリックします。
詳細情報
機密情報の種類に基づいて、機密情報ラベルを割り当てる自動ラベル付けポリシーを作成する
組織で機密情報のラベルを使用している場合、定義された機密情報の種類を含むファイルにラベルを自動的に適用することができます。
新しい自動ラベル付けポリシーを作成するには:
- Microsoft Purview 管理センターを開きます。
- 左側のナビゲーションで、[ 情報の保護] をクリックします。
- [オートラベル] タブで、[自動ラベル付けポリシーの作成 をクリックします。
- [ [このラベルを適用する情報を選択 ] ページで、[ カスタム ] を選び、 次へ をクリックします。
- ポリシーの名前と説明を入力して、次へ をクリックします。
- [ ラベル を適用する場所を選択する] ページで、SharePoint サイト をオンにして、サイト の選択 をクリックします。
- オートラベル機能を有効にするサイトの URLを追加し、完了 をクリックします。
- [次へ] をクリックします。
- [共通 または高度なルールの設定] ページで、[共通のルール] を選択し、[次へ] をクリックします。
- [すべての場所のコンテンツのルールを定義する] ページで、新しいルール をクリックします。
- [新しいルール]の ページで、ルールに名前を付けて、条件の追加 をクリックし、[コンテンツに機密情報の種類が含まれている をクリックします。
- [ 追加] をクリックし、[ 機密情報の種類] をクリックして、使用する機密情報の種類を選び、 追加 をクリックし、[ 保存 をクリックします。
- [次へ] をクリックします。
- ラベルの選択 をクリックして、使用するラベルを選び、[ 追加] をクリックします。
- [次へ] をクリックします。
- ポリシーを [シミュレーションモード] にして、[ 次へ] をクリックします。
- [ ポリシーの作成] をクリックし、 [完了] をクリックします。
ポリシーが設定されている状態でユーザーがドキュメントに「Project Saturn」と入力すると、自動ラベル付けポリシーがファイルをスキャンする際に特定のラベルが自動的に適用されます。
詳細情報
高度な機密ファイルへのゲスト アクセスを削除するDLPポリシーを作成する
Microsoft Purview データ損失防止 (DLP) を使用して、機密コンテンツの不要なゲスト共有を防ぐことができます。 データ損失防止は、ファイルの機密情報ラベルに基づき、ゲストアクセスを削除することができます。
DLP ルールを作成するには
Microsoft Purview コンプライアンス管理センターで、[データ損失防止] ページに移動します。
[ポリシーの作成] をクリックします。
[カスタム] を選択し、[次へ] をクリックします。
ポリシーの名前を入力し、[次へ] をクリックします。
[ポリシーを適用する場所] ページで、SharePoint サイト と OneDrive アカウント 以外のすべての設定をオフにし、[次へ] をクリックします。
[ポリシーの設定を定義] ページで、[次へ] をクリックします。
[高度な DLP ルールのカスタマイズ] ページで [ルールの作成] をクリックし、ルールの名前を入力します。
[ 条件 で、[ 条件の追加] をクリックし、[ コンテンツを含む を選択します。
[ 追加] をクリックし、機密度ラベル を選択し、使用するラベルを選択して、 追加 をクリックします。
[ アクション ] で、[ アクションの追加] をクリックし [ アクセスを制限する、またはMicrosoft 365のロケーションでコンテンツを暗号化する] を選択します。
Microsoft 365 の保存場所でのコンテンツのアクセスを制限する、またはコンテンツを暗号化する チェックボックスをオンにしてから、[ 組織外のユーザーにのみ] オプションを選びます。
[保存] をクリックし、[次へ] をクリックします。
テスト オプションを選択し、[次へ] をクリックします。
[送信] をクリックしてから、[完了] をクリックします。
ゲストがサイトまたはチーム全体のメンバーである場合、このポリシーはゲストのアクセスを削除しないことに注意してください。 ゲスト メンバーを含むサイトやチームで機密性の高いドキュメントを使用する計画がある場合は、次のオプションを検討してください。
- プライベート チャネルを使用し、プライベート チャネルで組織のメンバーのみを許可します。
- 共有チャネルを使用 して組織外のユーザーと共同作業を行い、チーム自体には組織内のユーザーのみを含めます。
追加オプション
Microsoft 365 および Azure Active Directory には、ゲスト共有環境のセキュリティ保護に役立つ追加オプションがいくつかあります。
- 許可または拒否された共有ドメインの一覧を作成して、ユーザーが共有できるユーザーを制限できます。 詳細については、「Restrict sharing of SharePoint and OneDrive content by domain (ドメインによる SharePoint および OneDrive コンテンツの共有の制限)」および「B2B ユーザーに対する特定組織からの招待を許可またはブロックする」を参照してください。
- ユーザーが接続できる他の Azure Active Directory テナントを制限できます。 詳細については、「テナント制限使用による SaaS クラウド アプリケーションへのアクセスの管理」を参照してください。
- パートナーがゲスト アカウントの管理を支援できる、管理された環境を作成できます。 詳細については、「Create a B2B extranet with managed guests (管理されたゲストで B2B エクストラネットを作成する)」を参照してください。