Microsoft 365のアカウントの種類を整理 ― ユーザー・管理者・ゲスト・共有メールボックスの違いと使い分け
「新しい社員が入社したのでアカウントを作りたい」「外部のパートナーにSharePointを共有したい」「info@のメールを複数人で受け取りたい」——Microsoft 365を運用していると、さまざまな場面でアカウントの作成や設定が求められます。
しかし、Microsoft 365には複数の種類のアカウント(ユーザータイプ)があり、用途に応じて適切な種類を選ばないと、ライセンスの無駄遣いやセキュリティリスクに繋がります。
この記事では、Microsoft 365で利用できるアカウントの種類を整理し、それぞれの用途、ライセンスの要否、セキュリティ上の注意点を解説します。
アカウントの全体像
Microsoft 365(Entra ID)で扱うアカウントは、大きく以下の6種類に分類できます。
- 通常ユーザーアカウント: 社員が日常業務で使うアカウント
- 管理者アカウント(管理者ロール): テナントの管理権限を持つアカウント
- ゲストユーザー(B2Bコラボレーション): 社外のパートナーや取引先に付与するアカウント
- 共有メールボックス: 複数人でメールを共有するための専用メールボックス
- リソースアカウント(会議室・備品): 会議室や社用車などのリソース予約用アカウント
- サービスアカウント: システムやアプリケーションがAPIアクセスに使うアカウント
通常ユーザーアカウント
概要
社員1人につき1つ作成する、最も基本的なアカウントです。Entra ID上では「メンバー」ユーザーとして分類されます。ライセンスを割り当てることで、Exchange Online(メール)、Teams、SharePoint、OneDrive、Officeアプリなどを利用できます。
ライセンス
必須です。利用するサービスに応じたライセンス(Business Basic / Business Standard / Business Premium / E3 / E5など)を割り当てます。ライセンスが割り当てられていないユーザーアカウントは、Entra IDへのサインインは可能ですが、Microsoft 365のサービス(メール、Teams等)は利用できません。
運用上のポイント
1人1アカウントの原則: 1人の社員に複数のアカウントを作成するのは、ライセンスの無駄であり、セキュリティ管理も煩雑になります。部署兼務などで複数のメールアドレスが必要な場合は、エイリアス(別名アドレス)を追加するのが正しい対応です。
退職者のアカウント処理: 退職時にはアカウントのサインインをブロックし、一定期間(引き継ぎのため30日程度)保持した後に削除するのが一般的です。削除したアカウントは30日間ごみ箱に残り、その間は復元可能です。退職者のOneDriveデータやメールボックスの引き継ぎ手順も事前に決めておきましょう。
管理者アカウント(管理者ロール)
概要
Microsoft 365のテナント管理を行うためのアカウントです。正確には「アカウントの種類」ではなく、通常ユーザーアカウントに**管理者ロール(役割)**を割り当てることで管理権限を付与します。
主な管理者ロール
Entra IDには60以上の管理者ロールが定義されていますが、中小企業で主に使うのは以下のロールです。
グローバル管理者: テナント全体のすべての設定を変更できる最高権限のロール。ユーザー管理、ライセンス管理、セキュリティ設定、請求管理など、あらゆる操作が可能です。
ユーザー管理者: ユーザーアカウントの作成・変更・削除、パスワードリセット、ライセンスの割り当てが可能。日常的なアカウント管理はこのロールで十分です。
Exchange管理者: Exchange Onlineの設定(メールフロールール、共有メールボックスの作成、メッセージ追跡など)を管理できるロール。
SharePoint管理者: SharePoint OnlineとOneDrive for Businessの設定(サイトの作成・削除、外部共有の制御など)を管理できるロール。
セキュリティ管理者: Defender for Office 365やDefender for Endpointのセキュリティポリシー、条件付きアクセスポリシーなどを管理できるロール。
セキュリティ上の重要な注意点
グローバル管理者は最小限に: グローバル管理者ロールを持つアカウントが侵害されると、テナント全体が制御される致命的な事態になります。グローバル管理者は2〜4名に限定し、日常的な管理作業には必要最小限のロール(ユーザー管理者など)を使うのが鉄則です。
専用の管理者アカウントを作成する: 管理者権限を持つアカウントで日常業務(メールの読み書き、Web閲覧など)を行うと、フィッシングメールやマルウェアによる侵害リスクが高まります。理想的には、管理操作専用のアカウント(admin-yamada@contoso.co.jp など)を別途作成し、日常業務用のアカウントとは分離します。
MFA(多要素認証)は必須: 管理者アカウントには例外なくMFAを適用してください。Microsoftのセキュリティ既定値群(Security Defaults)を有効にしている場合、管理者ロールを持つアカウントにはMFAが自動的に要求されます。
緊急アクセス用アカウント: MFAに使うデバイス(スマートフォン)の紛失や故障でグローバル管理者がサインインできなくなる事態に備えて、「緊急アクセス用アカウント(Break Glass Account)」を1〜2個作成しておくことが推奨されています。このアカウントはMFAを一部緩和した設定にし、複雑な長いパスワードを設定して金庫等に物理保管します。
参考: Microsoft Entra ID で緊急アクセス用管理者アカウントを管理する - Microsoft Learn
ゲストユーザー(B2Bコラボレーション)
概要
社外のパートナー、取引先、フリーランスなど、自社テナントのメンバーではない外部ユーザーに対して、Teams、SharePoint、Plannerなどの特定のリソースへのアクセスを許可するためのアカウントです。Entra IDではユーザータイプ「ゲスト」として分類されます。
ゲストユーザーは自分自身のメールアドレス(外部のMicrosoft 365アカウント、Googleアカウント、個人のMicrosoftアカウントなど)でサインインします。自社テナントにパスワードを管理する必要がなく、外部ユーザーの認証は相手側のIDプロバイダーに委任されます。
ライセンス
ゲストユーザーにはMicrosoft 365のライセンスを割り当てる必要はありません。ゲストユーザーのアクセスは、自社テナントのライセンス(有料ユーザー1名あたりゲスト5名まで、という比率)でカバーされます。
ただし、ゲストユーザーに有料機能(たとえばPower BIのレポート閲覧など)を利用させる場合は、別途ライセンスが必要になるケースがあります。
用途の例
- 社外のプロジェクトメンバーをTeamsのチームに招待する
- 取引先にSharePointサイトのドキュメントを共有する
- フリーランスにPlannerのタスクを割り当てる
セキュリティ上の注意点
ゲストアクセスの定期棚卸し: プロジェクト終了後もゲストユーザーが残り続け、不要なアクセス権が放置されるケースは非常に多いです。四半期に1回、ゲストユーザーの一覧を確認し、不要なゲストを無効化・削除する運用を設けてください。Entra IDの「アクセスレビュー」機能(Entra ID P2)を使えば、この棚卸しを自動化できます。
ゲストの権限範囲を制限する: 既定ではゲストユーザーは自社のユーザーディレクトリ(社員の一覧)を参照できます。これを制限したい場合は、Entra IDの「外部コラボレーション設定」でゲストユーザーのアクセス権を制限できます。
条件付きアクセスの適用: ゲストユーザーにもMFAを要求する条件付きアクセスポリシーを適用することを推奨します。
共有メールボックス
概要
info@contoso.co.jp や support@contoso.co.jp のような、複数の社員で共有するメールアドレスを作成するための仕組みです。共有メールボックスは独立したアカウントとして存在しますが、直接サインインして使うのではなく、アクセス権を付与された通常ユーザーが自分のOutlookから開いて利用します。
ライセンス
50GB以下の共有メールボックスにはライセンスの割り当てが不要です。これがユーザーアカウントとの大きな違いです。「info@」用に通常ユーザーアカウントを作成してライセンスを割り当てるのは、ライセンスの無駄遣いです。共有メールボックスを使えば、追加のライセンスコストなしで共有メールアドレスを運用できます。
ただし、共有メールボックスの容量が50GBを超える場合や、アーカイブ機能を利用する場合はライセンスの割り当てが必要になります。
通常ユーザーアカウントとの使い分け
「info@」のメールを受け取るためだけに通常ユーザーアカウントを作成し、そのパスワードを複数人で共有している——このような運用は、セキュリティリスクが高く(パスワード共有、退職者のアクセス残存)、ライセンスも無駄になります。共有メールボックスに移行すれば、これらの問題をすべて解決できます。
共有メールボックスの制限
- 共有メールボックスには直接サインインできない(アクセス権を持つユーザー経由でのみ利用)
- TeamsやOneDriveは利用できない
- 送信時の差出人を共有メールボックスのアドレスにする「送信者(Send As)」権限を個別に設定する必要がある
リソースアカウント(会議室・備品)
概要
会議室や社用車、プロジェクターなどの物理リソースの予約管理に使うアカウントです。Exchange Onlineの「リソースメールボックス」(会議室メールボックス / 備品メールボックス)として作成します。
Outlookの予定表から会議室を予約すると、リソースメールボックスが自動的に承認(または拒否)を行います。ダブルブッキングの防止や、予約時間の制限などの設定が可能です。
ライセンス
基本的な会議室予約機能のみであればライセンスは不要です。ただし、会議室にTeams Roomsデバイスを設置する場合は、Teams Roomsライセンスが必要です。
運用上のポイント
会議室の命名規則を統一しておくと(例:「本社_3F_会議室A」)、Outlookの予約画面で検索しやすくなります。拠点名、フロア、部屋名を含む命名が一般的です。
サービスアカウント
概要
システムやアプリケーションがMicrosoft 365のAPIにアクセスする際に使用するアカウントです。たとえば、業務アプリからExchange OnlineのAPIを呼び出してメールを送信する、SharePoint OnlineのAPIを呼び出してファイルを操作する、といった用途です。
推奨される構成
Entra IDでは、サービスアカウントとして以下の3つの方法が用意されています。
アプリ登録(サービスプリンシパル): 最も推奨される方法です。Entra IDの「アプリの登録」で作成し、必要最小限のAPI権限を付与します。クライアントシークレットまたは証明書で認証し、ユーザーアカウントのパスワードに依存しません。
マネージドID: Azure上のリソース(Virtual Machine、App Serviceなど)からMicrosoft 365のAPIにアクセスする場合に使います。Azureが自動的に認証を管理するため、シークレットの管理が不要です。
通常ユーザーアカウントの流用(非推奨): 「system@contoso.co.jp」のような通常アカウントを作成し、そのアカウントでAPIにアクセスする方法です。パスワードの管理が必要で、パスワード有効期限による認証切れやセキュリティリスクがあるため、推奨されません。
セキュリティ上の注意点
通常ユーザーアカウントをシステム連携に使わない: 先述のとおり、通常ユーザーアカウントをシステム用に流用すると、パスワード有効期限の管理、MFAの制約(MFAが有効な環境ではシステムが認証できない)、退職に伴うアカウント削除の影響など、多くの運用課題が発生します。
最小権限の原則: サービスアカウント(アプリ登録)には、必要最小限のAPI権限のみを付与してください。「管理者の同意」が必要なアプリケーション権限は特に慎重に審査が必要です。
シークレットの有効期限管理: アプリ登録のクライアントシークレットには有効期限があります(最大2年)。有効期限切れでシステム連携が突然止まるトラブルを防ぐために、有効期限の管理とローテーションの仕組みを構築しておく必要があります。
アカウントの種類と用途の早見表
| 種類 | 主な用途 | ライセンス | サインイン | MFA |
|---|---|---|---|---|
| 通常ユーザー | 社員の日常業務 | 必須 | 本人が直接 | 必須(推奨) |
| 管理者ロール | テナント管理 | 必須(通常ユーザー+ロール) | 本人が直接 | 必須 |
| ゲストユーザー | 社外パートナーとの共同作業 | 不要 | 外部IDでサインイン | 推奨 |
| 共有メールボックス | 共有メールアドレス | 不要(50GB以下) | 直接サインイン不可 | — |
| リソースアカウント | 会議室・備品予約 | 不要(基本機能) | 直接サインイン不可 | — |
| サービスアカウント | システム/API連携 | 不要(アプリ登録) | シークレット/証明書 | — |
まとめ
Microsoft 365のアカウント管理で最も重要なのは、「用途に応じた適切なアカウントの種類を選択する」ことです。共有メールアドレスのために通常ユーザーアカウントを作成してライセンスを無駄にしたり、システム連携に通常ユーザーアカウントを流用してセキュリティリスクを抱えたりする運用は、適切なアカウントの種類を知っていれば回避できます。
特に中小企業では、共有メールボックスの活用(ライセンスコスト削減)、管理者ロールの最小権限化(セキュリティ強化)、ゲストユーザーの定期棚卸し(情報漏えい防止)の3点を意識するだけで、アカウント管理の品質が大きく向上します。
情シス365では、Microsoft 365のアカウント設計、管理者ロールの最適化、ゲストユーザーの棚卸し運用の構築を支援しています。「アカウント管理がルール化されていない」「共有アカウントのパスワードを複数人で使い回している」という方は、お気軽にご相談ください。