Microsoft 365を導入したら最初にやるべき設定15選
Microsoft 365を契約したものの、初期設定のまま使い続けていませんか?
Microsoft 365は契約してすぐに使い始められる手軽さが魅力ですが、初期設定のままではセキュリティ上のリスクが残っていたり、本来使える便利な機能が無効になっていたりします。
本記事では、Microsoft 365を導入した中小企業のIT担当者が最初に設定すべき15項目を、優先度順に解説します。
セキュリティ設定(最優先)
1. セキュリティの既定値群を有効にする
Microsoft Entra IDの「セキュリティの既定値群(Security Defaults)」を有効にすると、全ユーザーにMFA(多要素認証)が適用されます。1つの設定変更だけで、アカウント侵害リスクを99.9%削減できる最もコストパフォーマンスの高い対策です。
設定場所:Microsoft Entra管理センター → プロパティ → セキュリティの既定値群の管理
Entra ID P1ライセンス以上をお持ちの場合は、セキュリティの既定値群ではなく条件付きアクセスポリシーで、より細かい制御が可能です。
2. グローバル管理者アカウントを整理する
グローバル管理者は最大5名以下に絞り、日常業務には使用しないようにしましょう。管理者アカウントには必ずMFAを設定し、緊急アクセス用のBreak Glassアカウント(MFAなし、超長パスワード、普段は使用禁止)を1つ作成しておくと安心です。
3. パスワードの有効期限ポリシーを見直す
Microsoft 365の初期設定では、パスワードの有効期限が設定されていない場合があります。現在のベストプラクティスでは、定期変更の強制よりもMFAの導入と長いパスワードの設定が推奨されています。
MFAを有効にした上で、パスワードの有効期限を「無期限」に設定し、代わりにパスワードの最小文字数を12文字以上に引き上げましょう。
4. 監査ログを有効にする
「誰がいつ何をしたか」を追跡するための監査ログ(Unified Audit Log)を有効にします。インシデント発生時の原因調査や、内部不正の検出に不可欠です。
設定場所:Microsoft Purview コンプライアンスポータル → 監査
5. 外部共有の範囲を制限する
SharePointとOneDriveの外部共有設定を確認してください。初期設定では、社員が社外の任意のメールアドレスにファイルを共有できる状態になっている場合があります。
「既存のゲストのみ」または「特定のドメインのみ許可」に制限し、意図しない情報漏えいを防ぎましょう。
設定場所:SharePoint管理センター → ポリシー → 共有
テナント基本設定
6. カスタムドメインを追加する
「@会社名.co.jp」のような独自ドメインでメールを使えるようにします。初期状態の「@会社名.onmicrosoft.com」のまま使い続けると、取引先からの信頼性に影響します。
DNSにMXレコード、SPFレコード、DKIM/DMARCレコードを追加することで、メールの到達率向上と詐称防止にも効果があります。
7. 組織のプロフィールを設定する
会社名、住所、技術担当者の連絡先を正しく設定します。Microsoftからの重要な通知(サービス障害情報、セキュリティアラート)はここに登録された連絡先に届きます。
設定場所:Microsoft 365管理センター → 設定 → 組織のプロフィール
8. ライセンスの自動割り当てを設定する
ユーザーを作成するたびに手動でライセンスを割り当てるのは非効率です。Entra IDのグループベースのライセンス割り当てを使えば、特定のグループにユーザーを追加するだけで、適切なライセンスが自動で割り当てられます。
メール設定
9. 共有メールボックスを活用する
「info@」「support@」のような代表メールアドレスは、共有メールボックスとして作成しましょう。共有メールボックスは追加のライセンス費用がかかりません。
個人のメールボックスに代表アドレスのエイリアスを設定する方法もありますが、担当者が変更になった時の引き継ぎが面倒になるため、共有メールボックスを推奨します。
10. メールの外部転送を禁止する
社員が自分のメールを個人のGmailなどに自動転送する設定を禁止しましょう。情報漏えいの温床になります。
設定場所:Exchange管理センター → メールフロー → ルール →「外部への自動転送をブロック」ルールを作成
データ管理
11. OneDriveの同期を設定する
社員のデスクトップやドキュメントフォルダをOneDriveに自動同期する「既知のフォルダー移動」を設定しましょう。PCが故障しても、クラウド上にデータが残るため、業務データの消失を防げます。
グループポリシーまたはIntuneで一括設定が可能です。
12. SharePointのサイト構造を設計する
部署ごとにSharePointサイトを作成し、ファイルの保存場所を統一しましょう。「ファイルサーバーの代わり」としてSharePointを使う場合は、フォルダ構造を事前に設計することで、後からの整理が不要になります。
ポイントは、個人の作業ファイルはOneDrive、チームで共有するファイルはSharePoint、という使い分けルールを最初に決めておくことです。
デバイス管理
13. Intuneでデバイスコンプライアンスポリシーを設定する
Microsoft 365 Business Premium以上のプランをお使いであれば、Intuneが含まれています。最低限、以下のコンプライアンスポリシーを設定しましょう。
- OSのバージョンが最新であること
- BitLockerが有効であること
- ウイルス対策ソフトが有効であること
- パスワードが設定されていること
ポリシーに違反しているデバイスからの社内リソースへのアクセスをブロックする設定と組み合わせると、セキュリティレベルが大幅に向上します。
14. Windows Autopilotを設定する
新しいPCを購入した際のセットアップを自動化する仕組みです。PCの電源を入れてインターネットに接続するだけで、会社の設定が自動的に適用されます。
ハードウェアベンダーにAutopilot用のデバイスIDを事前登録してもらうことで、IT担当者がPCに一切触れることなくキッティングが完了します。
15. Microsoft Defender for Businessを有効にする
Microsoft 365 Business Premiumに含まれるエンドポイントセキュリティ機能です。ウイルス対策、EDR(Endpoint Detection and Response)、脆弱性管理を統合的に提供します。
別途セキュリティソフトを購入する必要がなくなるため、コスト削減にもなります。
まとめ
15項目を一度に設定するのは大変ですが、優先度の高い1〜5のセキュリティ設定だけでも今週中に完了させてください。特に項目1のセキュリティの既定値群の有効化は、5分でできてセキュリティ効果が最も高い設定です。
Microsoft 365は機能が非常に豊富ですが、中小企業に必要な設定は限られています。本記事の15項目をベースに、自社の環境に合わせてカスタマイズしていただければ幸いです。
「設定作業を任せたい」「自社に最適な設定が分からない」という方は、情シス365のProject365(ITプロジェクト支援)でMicrosoft 365の導入・最適化を支援しています。現在の設定状況の診断から改善提案まで対応可能ですので、お気軽にご相談ください。