Contents
Teams セキュリティ全体像とチェックリストの活用方法
Teams は Microsoft 365 の中核サービスとして、アイデンティティ管理・アクセス制御・情報保護・監査ログ を一元的に提供します。2026 年 4 月時点の公式ガイド(Microsoft Teams Security Guide)では、組織規模やリスク許容度に応じた設定項目が示されています。本節では、その主要項目を 必須 と 推奨 の 2 段階に分けたチェックリストを提示し、実務での活用フローを解説します。
ポイント:チェックリストは「全組織で必ず実施すべき設定」と「オプションだが導入効果が高いベストプラクティス」に分割することで、段階的なロールアウトと進捗管理が容易になります。
チェックリスト(2026 年版)
| カテゴリ | 必須項目 (全組織) | 推奨項目 (ベストプラクティス) |
|---|---|---|
| アイデンティティ | - MFA の全ユーザー適用 - 条件付きアクセスポリシーで デバイスコンプライアンス を必須化 |
- リスクベース認証のカスタムルール(例:漏洩パスワード検知時に承認フロー) |
| アクセス制御 | - ゲスト招待は管理者承認 - 外部共有期限(デフォルト 90 日)設定 |
- ゲスト権限の最小化テンプレート(閲覧のみ、アップロード禁止) |
| 情報保護 | - Purview DLP ラベルとポリシー作成 - ラベル自動適用(機密データ検出) |
- AI 補助による機微データ検出(※プレビュー機能であり、一般提供は未確認) |
| 会議管理 | - ロビー機能の有効化 - 録画保存先を OneDrive/SharePoint の暗号化ライブラリに限定 |
- 参加者認証に MFA を追加要求(外部ユーザーのみ) |
| アプリ統合 | - サードパーティ アプリはデフォルトブロック - 必要なアプリだけホワイトリスト登録 |
- API スコープを最小権限で限定し、定期的にアクセスレビュー実施 |
| ロギング・監査 | - Azure AD と Teams の統合監査ログ取得 - SOC/ISO 向けレポートテンプレートの作成 |
- 24 時間リアルタイム アラート(Azure Monitor)設定 |
出典:Microsoft Learn – Teams security checklist (2026)
多要素認証 (MFA) の全ユーザー適用手順
背景と重要性
組織内の認証情報が漏洩した場合、最初の防御ライン として MFA が不可欠です。Microsoft は Entra ID(旧 Azure AD)において、条件付きアクセスポリシーで全ユーザーに MFA を強制できることを推奨しています(Entra Conditional Access documentation)。
手順概要(Teams 管理センター 2026 年版)
- Azure ポータル にサインインし、左メニューから 「Azure Active Directory」 → 「Security」 → 「Conditional Access」 を選択。
- 「+ 新しいポリシー」ボタンをクリックし、以下の設定を行う。
| 項目 | 推奨設定例 |
|---|---|
| 名前 | 全ユーザー MFA 強制 |
| 対象 > ユーザーとグループ | 全ユーザー (管理者ロールは除外可) |
| クラウド アプリまたはアクション | Microsoft Teams(必要に応じて「All cloud apps」) |
| 条件 > デバイスプラットフォーム / 場所 | 信頼できる IP からのアクセスは除外可(※リスク評価が低い場合のみ) |
| アクセス制御 > Grant | 多要素認証を要求する にチェック |
- ポリシー状態を 「オン」 にし、作成 をクリック。
- 作成後は テストユーザーでサインイン し、MFA が期待通りに発動するか検証。
⚠️ 注意点:ポリシー適用直後は、一部のレガシーアプリが MFA に対応していない可能性があります。影響範囲を事前に Conditional Access Insights で確認してください(Insights ドキュメント)。
定期的な見直し
- 例外ユーザー(サービスアカウント等)は、最低限の期間だけ除外し、期限が過ぎたら自動解除するよう Azure AD の Access Review 機能を活用します。
- ポリシー適用状況は月次で Sign‑in logs を分析し、未適用ユーザーや失敗率の高いサインインを特定します(Sign‑in logs reference)。
ゲストアクセスと外部コラボレーションの制御ポイント
なぜゲスト管理が重要か
ゲストユーザーは組織境界を越えて情報にアクセスできるため、最小権限・期限限定 の原則を徹底しないとデータ漏洩リスクが増大します。Microsoft が提供する External collaboration settings(公式ガイド)に沿った設定を行うことがベストプラクティスです。
手順詳細(2026 年 4 月版)
1. Teams 管理センターでゲストアクセス有効化
導入文:まずは Teams 側の全体設定でゲスト機能をオンにします。
- Teams 管理センター → 「組織全体設定」→「ゲストアクセス」へ移動し、スイッチを オン にする。
- 設定項目として チャット、会議、ファイル共有 の許可範囲を選択。
2. Azure AD で招待フローを管理
導入文:次に Azure AD 側で承認プロセスと期限設定を行います。
| 操作 | 手順 |
|---|---|
| 外部コラボレーション設定 | Azure ポータル → 「Azure Active Directory」→「External Identities」→「External collaboration settings」へ。 |
| 招待承認フロー | 「管理者承認必須」に変更し、必要に応じて メール通知 を有効化(招待ポリシーの設定方法)。 |
| アクセス期限 | 「Invitation expiration」 の値を 90 日に設定。期限切れになると自動でアカウントが無効化されます。 |
3. Teams 側のチーム・チャネル制限
導入文:招待後はゲストが所属できる場所を限定します。
- Teams 管理センター → 「チーム」→ 該当チームの「設定」→「メンバー権限」で ゲストは閲覧のみ に設定。
- 必要に応じて ファイル共有 の権限を ダウンロード不可 に変更(PowerShell コマンド例:
Set-TeamChannelUser -GroupId <TeamId> -DisplayName "<Channel>" -User <GuestUserId> -Role Guest)。
4. 定期的なアクセスレビュー
- Azure AD の Access Review 機能を利用し、四半期ごとに全ゲストアカウントの有効性を自動評価。
- レビュー結果は Power Automate でメール通知し、不要アカウントは Azure AD → Users → Delete によって削除。
ベストプラクティスまとめ
| シナリオ | 推奨設定 |
|---|---|
| 外部パートナーとの定例会議 | 招待メールに「ロビーで承認」旨を記載し、ホストが手動で入室許可 |
| 社内全体ブロードキャスト | 「組織内ユーザーは自動入室」、外部は すべて拒否(ポリシーで設定) |
| 機密ドキュメントを含むチャネル | ゲストの ファイルアップロード を無効化、閲覧のみ許可 |
出典:Microsoft Docs – External collaboration best practices (2026)
情報保護ポリシー・DLP 設定と条件付きアクセスポリシー
DLP と AI 補助機能の現状
Microsoft Purview の Data loss prevention (DLP) は、機密情報を検知し自動でラベル付与やアクセス制御を行います。2026 年 2 月に発表された AI 補助による機微データ検出 はプレビュー段階であり、一般提供は未確定です(Purview AI preview)。本稿では、プレビュー機能は「オプションかつ実装前に評価が必要」と明示します。
1. DLP ラベルとポリシー作成(Microsoft Purview)
導入文:まずは情報分類ラベルを定義し、Teams に適用できるようにポリシー化します。
- Purview コンプライアンス ポータル → 「情報保護」→「ラベル」へ移動(バージョン 2026.4)。
-
新規ラベル 作成時の推奨設定例:
-
名前:
機密 – 金融取引 - 自動適用条件:正規表現でクレジットカード番号(PCI DSS)や日本国内の個人情報(マイナンバー)を検出。
-
保護アクション:暗号化、外部共有ブロック、コピー/貼り付け禁止。
-
作成したラベルを 「Teams のチャネル」 と 「会話」 に適用できるよう ポリシー を作成し、有効化(情報保護ラベルの Teams への適用方法)。
2. 条件付きアクセスポリシーでリスクベース認証を実装
導入文:次に、デバイスや場所のリスク評価と連携させたアクセス制御ポリシーを作成します。
| 条件 | 推奨ポリシー例 |
|---|---|
| デバイスが 非コンプライアンス(MDM 未登録) | アクセスブロック → 「承認済みデバイスからのみ」サインイン許可 |
| IP が 高リスク地域(例:国外) | MFA 再要求 + DLP ラベル適用の強制 |
| ユーザーが 漏洩パスワード と判定された場合 | アカウントロックアウトまたは管理者承認フロー |
設定手順(Entra ID 2026 年版)
- Azure ポータル → 「Azure Active Directory」→「Security」→「Conditional Access」→「+ 新しいポリシー」。
- 対象:
全ユーザー(例外はセキュリティ管理者)。 - 条件 タブで 場所 と デバイスプラットフォーム を選択し、リスク評価 を有効化。
- アクセス制御 → 「Grant」 で 「多要素認証を要求する」 と 「承認済みデバイスのみ」 にチェック。
📊 検証:ポリシー作成後は Conditional Access Insights のシミュレーション機能で影響範囲を事前確認(Insights シミュレーション手順)。
3. 運用とチューニング
- ポリシーモニター で毎週レポートを取得し、誤検知や過剰制限がないかレビュー。
- DLP 検出イベントは Purview Audit (Unified audit log) に記録されるため、Azure Monitor と Power BI を連携させたダッシュボードで可視化(Audit log integration guide)。
出典:Microsoft Learn – DLP and Conditional Access integration (2026)
会議セキュリティ:認証、録画保存先、ロビー機能
本節の目的と期待効果
会議は組織内外の情報が最も集中して流通する場です。参加者認証・ロビー制御・録画管理 を統一的に設定すれば、未承認ユーザーの侵入や録画データ漏洩リスクを大幅に低減できます。
1. 会議ポリシーの作成と適用
導入文:Teams 管理センターで全社標準の会議ポリシーを定義し、対象ユーザーへ割り当てます。
- Teams 管理センター → 「ミーティング」→「会議ポリシー」→「+ 作成」。
- ポリシー名例:
MeetingSecurityStandard (2026)。 - 主な設定項目と推奨値(バージョン 2026.04)
| 設定項目 | 推奨値 |
|---|---|
| 会議ロビー | 「外部ユーザーはロビーに待機」 → 「組織内参加者は自動入室」 |
| サインイン必須 | 有効(全ユーザー) |
| 録画保存先 | OneDrive/SharePoint の暗号化ライブラリ(/TeamsRecordings フォルダー) |
| 画面共有権限 | 組織内ユーザーは自動許可、外部はホストが手動で承認 |
| 録画の自動削除 | Retention policy 30 日後に自動削除 |
- 作成したポリシーを 全員 に割り当てるか、重要部署(例:法務・開発)単位で段階的に適用。
2. 録画管理と Microsoft Stream の位置付け
導入文:録画データの保存先は従来の Stream Classic から OneDrive/SharePoint に移行していますが、Stream Classic は段階的に廃止されつつあります。
- Microsoft Stream(Classic) は「オンプレミス版が残存」しているものの、2025 年以降は新規機能提供が停止し、既存テナントは OneDrive/SharePoint へ自動リダイレクトされます(Stream retirement FAQ)。
- 録画保存先を OneDrive/SharePoint に統一することで、情報保護ラベル と Retention policy が直接適用でき、監査証跡も Azure AD のサインインログと連携可能です。
3. ロビー運用の実務例
| シナリオ | 推奨ロジック |
|---|---|
| 外部パートナーとの定例会議 | 招待メールに「ロビーで承認が必要」旨を明記し、ホストが手動で入室許可。 |
| 社内全体ブロードキャスト(タウンホール) | 「組織内ユーザーは自動入室」、外部は すべて拒否 に設定(ポリシーで実装)。 |
| 機密プロジェクトのワークショップ | ロビーに加えて MFA 再要求 を条件付きアクセスポリシーで付与。 |
出典:Microsoft Docs – Meeting policies in Teams (2026)
サードパーティアプリ許可管理・監査ログと SOC / ISO 対応
最小権限の原則でリスクを抑える
サードパーティ アプリが過剰な API 権限を取得すると、サプライチェーン攻撃 の入口になる可能性があります。Microsoft が推奨する ホワイトリスト方式 と 最小権限 を組み合わせた承認フローは、SOC 2 や ISO 27001 の「アクセス制御」要件に適合します(Microsoft compliance framework)。
手順詳細
1. アプリ許可ポリシーの作成
導入文:Teams 管理センターで全社レベルのアプリ許可ポリシーを定義します。
- Teams 管理センター → 「組織全体設定」→「アプリ許可ポリシー」。
- ポリシー名例:
ThirdPartyAppControl_MinimumScope (2026)。 - 設定項目
| 項目 | 推奨設定 |
|---|---|
| デフォルト | 「すべてのサードパーティ アプリはブロック」 |
| 許可対象 | 業務必須アプリ(例:Planner、Trello)を手動で選択 |
| スコープ制限 | API 権限は Read のみ、必要に応じて Write を個別付与 |
2. Azure AD アクセス要求による承認フロー
導入文:ユーザーが新規アプリを利用したい場合の申請・承認プロセスです。
- Azure AD → 「エンタープライズ アプリ」→「アクセス要求(Access requests)」を有効化。
- ユーザーは Teams クライアントまたはポータルから 「アプリ使用リクエスト」 を送信。
- セキュリティ管理者が Power Automate のフローで承認メールを受け取り、最小権限(例:
User.Read,ChannelMessage.Read.All)を割り当てた上でポリシーを更新。
3. ロギング・監査体制の構築
導入文:全てのアプリ操作とデータアクセスは統合ログとして取得し、コンプライアンスレポートに活用します。
| ログ種別 | 取得元 | 主な利用シナリオ |
|---|---|---|
| ユーザーサインイン | Azure AD Sign‑in logs | MFA 適用状況・異常 IP 検知 |
| アプリ使用履歴 | Teams 管理センター → 「レポート」→「アプリ使用」 | 許可済み vs 未承認アプリの比較 |
| データ共有イベント | Microsoft Purview Unified audit log | DLP トリガーとアクセスログの相関分析 |
| 会議操作ログ | Teams の「会議レポート」 | 録画開始・停止、ロビー通過履歴 |
- 取得したログは Azure Monitor → Log Analytics に集約し、Power BI ダッシュボードで月次 監査証跡レポート を自動生成(Audit log reporting guide)。
- SOC 2 / ISO 27001 の A.12.4 Logging and Monitoring 要件に合わせ、レポートには「イベント種別」「発生日時」「担当者」「対応ステータス」を必ず記載。
定期レビューと自動化
- アクセスレビュー(四半期ごと)で全サードパーティアプリの権限を再評価し、不要なスコープは即時削除。
- Power Automate で期限切れの承認リクエストを自動的に無効化し、通知メールを送信するフローを構築(テンプレート例:
RemoveExpiredAppPermissions)。
出典:Microsoft Docs – Manage third‑party apps in Teams (2026)
まとめ
本稿では、Teams のセキュリティ全体像 を俯瞰しつつ、実務で即活用できる チェックリスト・設定手順・監査レポート作成方法 を2026 年時点の公式情報に基づいて具体化しました。
- MFA の全員適用は条件付きアクセスポリシーで一本化し、定期的なサインインログレビューで運用を維持。
- ゲスト管理は Azure AD の招待承認フローと期限設定で最小権限・期間限定を徹底。
- 情報保護は Purview DLP ラベルと条件付きアクセスポリシーの連携により、機密データ流出リスクを自動ブロック。AI 補助検出はプレビュー段階である旨を明示し、導入前に評価が必要です。
- 会議セキュリティはロビー機能と OneDrive/SharePoint への録画保存で統一管理し、Stream Classic の廃止状況も正しく認識。
- サードパーティアプリは最小権限ホワイトリスト方式と Azure AD アクセス要求フローで制御し、監査ログを SOC/ISO 要件に合わせてレポート化。
これらの施策を段階的に実装すれば、Teams 環境の 可視性・防御力・コンプライアンス適合度 が大幅に向上します。ぜひ本チェックリストと手順を基盤として、組織固有のポリシーへ落とし込みください。