個人のスマートフォンからTeamsのチャット機能を利用可能にしつつ、SPOを制限する方法

Share Point Online

1. 全体概要と結論

個人のスマートフォン(Android、iOS)からMicrosoft Teamsのチャット機能を利用可能にしつつ、SharePoint Onlineやその他のMicrosoft 365サービスへのアクセスを制限する方法について調査した。条件付きアクセスポリシーを利用することで制限は可能であるが、Microsoft TeamsとSharePoint Onlineのサービス依存関係により完全な分離は困難であることが判明した。

関連サービス

  • Microsoft Teams
  • SharePoint Online
  • Exchange Online
  • Entra ID (旧Azure AD)
  • Intune

主要な課題

  • 個人スマートフォンからのMicrosoft Teams利用制限
  • SharePoint Onlineへのアクセス制限
  • 条件付きアクセスポリシーの設定と影響範囲
  • Exchange Onlineの添付ファイルダウンロード制限

結論

条件付きアクセスポリシーを利用することで、特定のデバイスプラットフォーム(Android、iOS)に対してSharePoint Onlineやその他のMicrosoft 365サービスへのアクセスを制限することは可能である。ただし、Microsoft TeamsとSharePoint Onlineの依存関係により、Teamsの一部機能制限が発生する可能性がある。また、Exchange Onlineの添付ファイルダウンロード制限については追加の調査が必要である。

2. 調査内容

2.1. 個人スマートフォンからのTeams利用とSharePoint Onlineアクセス制限

調査の目的

個人のスマートフォン(Android、iOS)からMicrosoft Teamsのチャット機能を利用可能にしつつ、SharePoint Onlineやその他のMicrosoft 365サービスへのアクセスを制限する方法を検討した。

発生している疑問・懸念

  • 条件付きアクセスポリシーを設定した場合、Microsoft Teamsの利用に制限がかかる可能性がある。

関連環境

  • デバイス: Android、iOS
  • サービス: Microsoft Teams, SharePoint Online, Entra ID

調査結果

条件付きアクセスポリシーを利用することで、特定のデバイスプラットフォームに対してSharePoint Onlineやその他のMicrosoft 365サービスへのアクセスを制限することは可能である。ただし、Microsoft TeamsとSharePoint Onlineのサービス依存関係により、完全な分離は困難である。

【技術解説】
SharePoint OnlineはMicrosoft Teamsと密接に連携しており、条件付きアクセスポリシーを適用すると、Teamsの一部機能(例: ファイル共有)にも影響を与える可能性がある。これは「事前バインディングポリシー適用」によるもので、Teamsにアクセスする前にSharePoint Onlineのポリシーを満たす必要があるためである。

推奨される対応策

  1. 条件付きアクセスポリシーを以下のように設定する:
  • デバイスプラットフォーム: 「Android、iOS」
  • ターゲットリソース: 「すべてのアプリ」
  • 対象外: 「Microsoft Teams Services」
  • アクセス制御: 「ブロック」
  1. Microsoft Teamsアプリにサインインおよびチャットの利用は可能。ただし、Teamsで共有されたファイル(SharePoint Onlineに保存されたファイル)およびファイルタブの表示は不可。

2.2. Exchange Onlineの添付ファイルダウンロード制限

調査の目的

Exchange Onlineにおいて、非管理対象デバイス(Android、iOS)からメールの添付ファイルのダウンロードをブロックし、メール自体も閲覧できないようにする方法を検討した。

発生している疑問・懸念

  • 添付ファイルのダウンロードはブロック可能だが、メール本文の閲覧制限が実現できるか。

関連環境

  • デバイス: Android、iOS
  • サービス: Exchange Online

調査結果

Exchange Onlineにおける添付ファイルダウンロード制限は可能であるが、メール本文の閲覧制限については追加の設定が必要である。

【技術解説】
条件付きアクセスポリシーでは、添付ファイルのダウンロードを制限することは可能であるが、メール本文の閲覧制限は標準機能では提供されていない。これを実現するには、IntuneやAzureのデバイス管理機能を併用する必要がある。

推奨される対応策

  1. Intuneを利用して非管理対象デバイスに対する制限を強化。
  2. 条件付きアクセスポリシーの設定を見直し、メール本文の閲覧制限を検討。

3. 全ての参考URLリスト

コメント

タイトルとURLをコピーしました