セキュアに Microsoft Teams を利用するための機能とライセンス

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

Microsoft Teams は Office 365 E1 や E3 等を利用している方が利用可能となっており、非常に簡単に導入すことが可能となっています。
[Microsoft Teams 用の Office 365 ライセンス]
https://docs.microsoft.com/ja-jp/microsoftteams/office-365-licensing

一方、システムや情報を管理する方からすると、正しくセキュアに使ってもらわないと情報漏えいなどのセキュリティインシデントやコンプライアンスの問題が発生しかねません。
この記事ではどのライセンスを持っていると、何が出来るかご紹介いたします。

基本機能

Office 365 E1 では基本機能として以下のような機能が利用可能となります。

チームの作成
個人およびチーム内のチャット
チーム内のファイル共有
チャットやチーム内での Web 会議やビデオ通話など

上位のライセンスによってセキュリティやコンプライアンスに関わる機能をどこまで利用できるかご紹介します。

Office 365 E3 の場合

※ Microsoft 365 E3 または上位ライセンスを含む

訴訟ホールド / 監査ログ（90日まで）
[Microsoft Teams ユーザーまたはチームに訴訟ホールドを適用する]
https://docs.microsoft.com/ja-jp/MicrosoftTeams/legal-hold

Microsoft Intune の場合

※ EMS E3 および Microsoft 365 E3 または上位ライセンスを含む

モバイルデバイス内での Teams データの管理
[アプリ保護ポリシーとは]
https://docs.microsoft.com/ja-jp/intune/app-protection-policy

Azure AD Premium P1 の場合

※ EMS E3 および Microsoft 365 E3 または上位ライセンスを含む

条件付きアクセスによるアクセス元 IP 制御
[条件付きアクセスとは]
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/overview
チームを作成できるユーザーの管理
[Office 365 グループを作成できるユーザーを管理する]
https://docs.microsoft.com/ja-jp/office365/admin/create-groups/manage-creation-of-groups?view=o365-worldwide
チーム名のルール管理
[Azure Active Directory での Office 365 グループに対する名前付けポリシーの強制]
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-naming-policy
チームのライフサイクル管理
[Office 365 グループの有効期限ポリシーの構成]
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-lifecycle
ゲスト招待時の外部ドメイン制御
[Office 365 のグループへのゲストアクセスの許可/ブロック]
https://docs.microsoft.com/ja-jp/exchange/recipients-in-exchange-online/manage-group-access-to-office-365-groups
チームメンバーの自動管理
[動的グループの作成と状態チェックを行う]
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-create-rule

Azure AD Premium P1 + Microsoft Intune の場合

※ EMS E3 および Microsoft 365 E3 または上位ライセンスを含む

条件付きアクセスによるアクセス元デバイス制御

Office 365 ATP P1 の場合

※ EMS E5 および Microsoft 365 E5 または上位ライセンスを含む

Teams で共有されたファイルの未知のマルウェア検出やブロック
[Office 365 ATP for SharePoint、OneDrive、Microsoft Teams]
https://docs.microsoft.com/ja-jp/office365/securitycompliance/atp-for-spo-odb-and-teams
Teams で共有された危険な URL のリンククリック対策
[Office 365 ATP の安全なリンク]
https://docs.microsoft.com/ja-jp/office365/securitycompliance/atp-safe-links

Microsoft Cloud App Security の場合

※ EMS E5 および Microsoft 365 E5 を含む

Teams で共有されたファイルの監視、機密情報が含まれたファイルの検疫
[管理者検疫によるファイルの保護]
https://docs.microsoft.com/ja-jp/cloud-app-security/use-case-admin-quarantine
個人顛末からの Teams 利用時のセッション制御（ダウンロード、コピー、印刷禁止）
[セッションポリシー]
https://docs.microsoft.com/ja-jp/cloud-app-security/session-policy-aad

Azure AD Premium P2 の場合

※ EMS E5 および Microsoft 365 E5 を含む

チームメンバーの単発または定期的な棚卸し
[Azure AD アクセスレビューとは]
https://docs.microsoft.com/ja-jp/azure/active-directory/governance/access-reviews-overview
不審なサインインや資格情報の漏えい等に対する多要素認証の強制やパスワードリセット
[Azure Active Directory Identity Protection とは]
https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/overview
Teams の管理における期限付き特権管理
[Azure AD Privileged Identity Management とは]
https://docs.microsoft.com/ja-jp/azure/active-directory/privileged-identity-management/pim-configure

Azure AD P1 + Microsoft Intune + Microsoft Defender ATP の場合

※ Microsoft 365 E5 を含む

マルウェア感染などのリスクのある端末からのアクセスを一時的にブロック
[Microsoft Defender ATP の条件付きアクセスを構成する]
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/configure-conditional-access

Office 365 Advanced Compliance の場合

※ Office 365 E5 および Microsoft 365 E5 を含む

監査ログを1年保管
[セキュリティ/コンプライアンスセンターで監査ログを検索する]
https://docs.microsoft.com/ja-jp/office365/securitycompliance/search-the-audit-log-in-security-and-compliance
特定部門やグループ間のコミュニケションをブロック
[Microsoft Teams の情報障壁]
https://docs.microsoft.com/ja-jp/MicrosoftTeams/information-barriers-in-teams
機密情報が含まれたチャットのブロック
[データ損失防止と Microsoft Teams]
https://docs.microsoft.com/ja-jp/office365/securitycompliance/dlp-microsoft-teams
特定ユーザーやグループ内のチャットの監視
[Office 365 の監督ポリシー]
https://docs.microsoft.com/ja-jp/office365/securitycompliance/dlp-microsoft-teams
保持期限が切れたコンテンツの最終削除確認
[廃棄レビューの概要]
https://docs.microsoft.com/ja-jp/office365/securitycompliance/disposition-reviews

Azure Information Protection P2 の場合

※ EMS E5 および Microsoft 365 を含む

共有されたファイルの自動分類および暗号化
[Azure Information Protection 分類ラベルを自動的に適用する]
https://docs.microsoft.com/ja-jp/cloud-app-security/use-case-information-protection

以上です。

まとめ

いかがでしょうか。
Teams の導入はセキュリティやコンプライアンスの対策をしっかりやると、意外とやることは沢山あります。

お困りの際はぜひ弊社までお問い合わせください。

当サイトはパーソルクロステクノロジー㈱より提供しています

基本機能

Office 365 E3 の場合

Microsoft Intune の場合

Azure AD Premium P1 の場合

Azure AD Premium P1 + Microsoft Intune の場合

Office 365 ATP P1 の場合

Microsoft Cloud App Security の場合

Azure AD Premium P2 の場合

Azure AD P1 + Microsoft Intune + Microsoft Defender ATP の場合

Office 365 Advanced Compliance の場合

Azure Information Protection P2 の場合

まとめ

注意事項・免責事項