Teamsの「ゲストアクセス」ガバナンス ― 招待・権限・棚卸しのルール設計と運用
「取引先をTeamsのチームに招待したら便利だった」——ゲストアクセスは社外パートナーとのコラボレーションを劇的に効率化しますが、ガバナンスなしで運用すると、退職した取引先担当者、終了したプロジェクトのゲスト、誰が招待したかわからないゲストがテナントに残り続ける状態になります。
ゲストアクセスのリスク
不要なゲストの残存: プロジェクト終了後もゲストが残り、社内のTeamsチャネルやSharePointサイトにアクセスし続ける。
招待の無秩序化: 誰でも自由にゲストを招待できる設定の場合、管理者が把握していないゲストが大量に存在する。
情報の過剰共有: ゲストがアクセスできるチーム/チャネルに、本来見せるべきでない社内情報が共有されている。
ガバナンス設計の4つのポイント
1. 招待権限の制限
Entra IDの「外部コラボレーション設定」で、ゲストを招待できるユーザーを制限します。
- 全員が招待可能(既定): 最もリスクが高い。中小企業でも非推奨
- 特定のロールのみ招待可能: ゲスト招待者ロールまたは管理者のみに限定。推奨設定
- 管理者のみ招待可能: 最も制限が厳しい。少人数の組織で管理者の負荷が許容できる場合
2. ゲストのアクセス範囲制御
Teamsの設定: Teams管理センターで、ゲストが利用できる機能(チャット、通話、画面共有、ファイル共有等)を制御できます。
SharePointの外部共有レベル: 「認証済みの外部ユーザーのみ」に設定し、匿名リンクは禁止を推奨。
ゲストのディレクトリ参照制限: Entra IDの設定で、ゲストが社内ユーザーの一覧を参照できないよう制限可能です。
3. 定期棚卸しの仕組み化
手動棚卸し: 四半期に1回、Entra管理センターで「ユーザータイプ:ゲスト」でフィルタし、不要なゲストを削除。
自動棚卸し(Entra ID P2): Entra IDのアクセスレビュー機能を使えば、チームの所有者に対して「このゲストはまだ必要ですか?」という確認を自動的に定期送信し、応答がなければ自動でアクセスを剥奪する運用が構築できます。
4. ゲストの有効期限設定
Entra IDの「外部コラボレーション設定」で、ゲストアカウントの有効期限(たとえば90日)を設定できます。期限が近づくと所有者に更新確認が送信され、更新されなければ自動的にアクセスが失効します。
運用ルールテンプレート
- ゲスト招待はチーム所有者または管理者のみ可能
- 招待時に「目的」「想定期間」をチーム所有者が記録
- ゲストにはMFAを必須化(条件付きアクセスポリシー)
- 四半期ごとにゲスト一覧を棚卸し(Entra IDアクセスレビューまたは手動)
- プロジェクト終了時にゲストの削除をプロジェクト完了チェックリストに含める
まとめ
ゲストアクセスは「招待の制限」「権限範囲の制御」「定期棚卸し」の3点をルール化するだけで、リスクを大幅に低減できます。まずは招待権限を管理者・チーム所有者に限定するところから始めてください。
情シス365では、Teamsのガバナンス設計(ゲスト管理、チーム作成ポリシー、命名規則)を支援しています。お気軽にご相談ください。