Microsoft 365 管理者 完全ガイド
M365プラン選定からテナント初期設定、ユーザー管理、Exchange Online、SharePoint、Teams、セキュリティ・コンプライアンスまで、Microsoft 365管理の全てを体系的に解説します。
目次
1. M365プラン選定
Microsoft 365(M365)はプランが多岐にわたり、最初のプラン選定で迷う方が非常に多いです。中小企業のひとり情シスが選ぶべきプランを明確に整理します。
Business vs Enterprise
M365には大きく分けて「Business」プランと「Enterprise」プランがあります。ユーザー数300名以下の中小企業は、Businessプランが対象です。
| プラン | 上限ユーザー数 | デスクトップアプリ | メール | SharePoint | Intune | 高度なセキュリティ | 月額/ユーザー |
|---|---|---|---|---|---|---|---|
| Business Basic | 300 | なし(Web版のみ) | 50GB | あり | なし | なし | 約750円 |
| Business Standard | 300 | あり | 50GB | あり | なし | なし | 約1,560円 |
| Business Premium | 300 | あり | 50GB | あり | あり | あり | 約2,750円 |
| E3 | 無制限 | あり | 100GB | あり | あり | 一部 | 約4,500円 |
| E5 | 無制限 | あり | 100GB | あり | あり | フル | 約7,130円 |
ポイント:中小企業の多くには「Business Standard」が最適です。Officeデスクトップアプリ+メール+SharePoint+Teamsの基本機能が揃います。ただし、Intune(デバイス管理)や高度なセキュリティ機能が必要な場合は「Business Premium」を選択してください。特にリモートワークが多い企業では、Business Premiumの条件付きアクセスやデバイス管理が大きな価値を持ちます。
アドオンライセンスの活用
必要に応じてアドオンライセンスを追加することで、コストを最適化できます。
- Microsoft Defender for Business:Business Basic/StandardにEDR(エンドポイント検出と対応)を追加
- Entra ID P1/P2:条件付きアクセス、Identity Protection等の高度な認証管理
- Microsoft Intune:デバイス管理をBusiness Basic/Standardに追加
- Power BI Pro:高度なデータ分析・可視化
⚠️ 注意
ライセンスの「年間契約(年払い)」と「月次契約(月払い)」で価格が異なります。年間契約の方が約16~20%安くなりますが、途中解約時にペナルティが発生する場合があります。初めて導入する場合は、最初の数ヶ月は月次契約で運用し、安定したら年間契約に切り替えるのがリスクを抑えた方法です。
2. テナント初期設定
M365テナントの初期設定は、後から変更が難しい項目も含むため、最初に正しく設定することが重要です。
カスタムドメインの追加
M365のデフォルトドメイン(xxx.onmicrosoft.com)は変更できません。まず自社ドメインをカスタムドメインとして追加します。
- M365管理センターにアクセス → 「設定」→「ドメイン」→「ドメインの追加」
- ドメイン名を入力(例:example.co.jp)
- 所有権の確認:指定されたTXTレコードまたはMXレコードをDNSに追加
- DNS設定の更新:メール(MX)、自動検出(CNAME)、SPF(TXT)等のレコードを追加
DNS設定
カスタムドメイン追加時に設定が必要なDNSレコードです。
| レコード種別 | ホスト名 | 値 | 用途 |
|---|---|---|---|
| MX | @ | example-co-jp.mail.protection.outlook.com | メール配信 |
| CNAME | autodiscover | autodiscover.outlook.com | Outlook自動設定 |
| TXT | @ | v=spf1 include:spf.protection.outlook.com -all | SPF(送信者認証) |
| CNAME | selector1._domainkey | selector1-example-co-jp._domainkey.xxx.onmicrosoft.com | DKIM(メール署名) |
| TXT | _dmarc | v=DMARC1; p=quarantine; rua=mailto:dmarc@example.co.jp | DMARC(メール認証) |
ポイント:SPF、DKIM、DMARCの3つは必ず設定してください。これらはメールの送信者なりすましを防ぐための仕組みで、設定しないと自社ドメインのメールが相手先の迷惑メールフォルダに振り分けられたり、フィッシングメールに悪用されるリスクがあります。2024年以降、GmailやYahoo!メールはこれらの認証に対応していないメールの受信制限を強化しています。
セキュリティ既定値群
M365テナント作成直後に「セキュリティ既定値群(Security Defaults)」を有効化することを強く推奨します。これにより、以下のセキュリティ対策が自動的に適用されます。
- 全ユーザーへのMFA(多要素認証)の強制
- レガシー認証プロトコルのブロック
- 管理者へのMFA登録要求
- 特権操作時のMFA要求
⚠️ 注意
セキュリティ既定値群は無料で利用できますが、条件付きアクセスとは併用できません。Business Premiumなどで条件付きアクセスを使う場合は、セキュリティ既定値群を無効化し、条件付きアクセスポリシーで同等以上のセキュリティを実現してください。セキュリティ既定値群を無効化する際は、先に条件付きアクセスポリシーを設定してからにしましょう。
3. ユーザー管理
M365のユーザー管理は日常業務の中核です。効率的な管理体制を確立しましょう。
ライセンス割り当て
ユーザー作成時にライセンスを割り当てます。効率的な管理のために、以下のアプローチをお勧めします。
- グループベースのライセンス割り当て:Entra IDのグループにライセンスを割り当て、ユーザーをグループに追加するだけで自動的にライセンスが付与される
- 部門別グループ:営業部グループにはBusiness Standardライセンス、パート社員グループにはBusiness Basicライセンスなど、部門や雇用形態で分ける
- ライセンス棚卸し:四半期ごとにライセンスの利用状況を確認。未使用ライセンスの回収を行う
📋 具体例
ライセンス管理の実例:社員50名のC社では、正社員40名にBusiness Standard、パート社員10名にBusiness Basicを割り当てています。「M365_BusinessStandard」「M365_BusinessBasic」というセキュリティグループを作成し、グループベースのライセンス割り当てを利用。新入社員は該当グループに追加するだけで自動的にライセンスが割り当てられ、退職時はグループから削除するだけで自動回収されます。年間のライセンスコスト最適化効果は約24万円(全員をStandardにした場合との差額)です。
MFA(多要素認証)の強制
MFAはサイバー攻撃の99.9%以上を防ぐとマイクロソフトが公表している最も効果的なセキュリティ対策です。
| MFA方式 | セキュリティ強度 | 利便性 | 推奨度 |
|---|---|---|---|
| Microsoft Authenticatorアプリ(プッシュ通知) | 高 | 高 | 最推奨 |
| Microsoft Authenticator(番号入力) | 非常に高 | 中 | 推奨 |
| FIDO2セキュリティキー | 最高 | 中 | 管理者向け |
| SMS認証 | 中(SIMスワップリスク) | 高 | 補助的に利用 |
| 電話認証 | 中 | 中 | Authenticatorが使えない場合 |
緊急アクセスアカウント
通常の管理者アカウントがMFAの障害やロックアウトでアクセスできなくなった場合に備え、緊急アクセスアカウント(Break Glass Account)を準備します。
- 2つ以上の緊急アクセスアカウントを作成
- グローバル管理者権限を付与
- MFAは設定しない(または物理セキュリティキーのみ)
- 条件付きアクセスポリシーから除外
- パスワードは非常に長く複雑なものを設定し、金庫で保管
- 使用時にアラートが通知されるよう監視を設定
⚠️ 注意
緊急アクセスアカウントは非常に強力な権限を持つため、厳重に管理してください。パスワードは2人以上で分割管理(前半と後半を別々の人が保管)し、使用時は必ずログを確認します。また、四半期ごとにアカウントでサインインできることを確認する棚卸しを実施してください。
4. Exchange Online管理
Exchange Onlineは、M365のメール・予定表・連絡先管理の基盤です。適切な設定で業務効率を大幅に向上できます。
メールフロー
Exchange Onlineのメールフロー(トランスポートルール)を活用して、メールの自動処理を設定できます。
| ルール例 | 条件 | アクション | 用途 |
|---|---|---|---|
| 外部メール免責事項 | 外部へ送信するメール | 免責事項(フッター)を追加 | 法的要件の遵守 |
| 大容量添付ファイル警告 | 添付ファイル10MB以上 | 送信者に通知 | メール容量管理 |
| 機密情報の外部送信ブロック | 件名/本文に「社外秘」を含む | 外部送信をブロック | 情報漏洩防止 |
| 特定ドメインの自動暗号化 | 特定の外部ドメインへ送信 | Office 365メッセージ暗号化 | 機密通信の保護 |
共有メールボックス
共有メールボックスは、追加ライセンスなしで利用できる便利な機能です。
- 用途:info@、support@、sales@など、部門やチーム共有のメールアドレス
- 容量:50GBまで無料(50GB超はライセンス必要)
- アクセス権:フルアクセス(メールの読み書き)と「送信者として送信」を個別に設定可能
- 制約:直接サインインはできない。Outlookの追加メールボックスとしてアクセス
📋 具体例
共有メールボックスの活用例:info@example.co.jpを共有メールボックスとして作成し、総務部の3名にフルアクセス権限を付与。お客様からの問い合わせメールを3名で分担して対応できます。誰が返信したかも共有メールボックス内で確認でき、対応漏れを防げます。さらに、自動返信(不在時メッセージ)も共有メールボックスに設定でき、営業時間外の問い合わせにも即座に返答できます。
アーカイブと保持ポリシー
メールの長期保存とコンプライアンス対応には、アーカイブメールボックスと保持ポリシーを活用します。
- インプレースアーカイブ:古いメールを自動的にアーカイブメールボックスに移動。メインメールボックスの容量を節約
- 保持ポリシー:メールの保持期間を設定。法的要件に基づき、一定期間の保持を強制
- 訴訟ホールド:法的紛争時にメールの削除を防止。ユーザーが削除しても保持される
ポイント:日本の法規制では、電子帳簿保存法により電子取引データ(メール含む)を一定期間保存する義務があります。業種により保存期間は異なりますが、一般的には7年間の保存が推奨されます。M365の保持ポリシーでメールの自動削除を防ぎ、コンプライアンスを確保しましょう。
5. SharePoint & OneDrive管理
SharePoint OnlineとOneDrive for Businessは、M365のファイル管理基盤です。適切に設計・運用することで、ファイルサーバーの代替として機能します。
SharePointサイト設計
SharePointサイトの構造を事前に設計することで、情報の散逸を防ぎ、効率的なファイル管理を実現できます。
| サイト種別 | 用途 | 作成例 | アクセス権 |
|---|---|---|---|
| チームサイト | 部門・プロジェクトの共同作業 | 営業部サイト、新製品PJサイト | メンバー制(Teamsと連携) |
| コミュニケーションサイト | 全社への情報発信 | 社内ポータル、社内報 | 全社閲覧、編集者限定 |
| ハブサイト | 関連サイトの集約 | 全社ハブ | ハブ自体の権限+各サイトの権限 |
外部共有設定
外部ユーザーとのファイル共有は便利ですが、情報漏洩のリスクもあります。適切に設定しましょう。
| 共有レベル | 説明 | リスク | 推奨場面 |
|---|---|---|---|
| リンクを知っている全員(匿名) | リンクを持つ誰でもアクセス可 | 最も高い | 原則禁止 |
| 既存のゲスト | 招待済みの外部ユーザーのみ | 中程度 | 継続的な取引先 |
| 新規および既存のゲスト | メールアドレスで招待・認証 | 中程度 | 一般的な外部共有 |
| 組織内のユーザーのみ | 社内ユーザーのみ | 最も低い | 社内機密情報 |
⚠️ 注意
匿名リンク(「リンクを知っている全員」)は原則禁止にしてください。SharePoint管理センターのテナントレベル設定で無効化できます。どうしても匿名リンクが必要な場合は、有効期限(7~30日)とパスワードを設定し、ダウンロード禁止(閲覧のみ)にすることでリスクを軽減できます。
容量管理
M365テナントのストレージ容量は有限です。計画的な管理が必要です。
- テナント全体のSharePoint容量:1TB + ユーザー数 × 10GB
- 個人のOneDrive容量:1ユーザーあたり1TB(Business Basic/Standard)
- 容量監視:SharePoint管理センターの「アクティブなサイト」で各サイトの使用量を確認
- 容量削減策:バージョン履歴の制限(50バージョン程度に)、ゴミ箱の定期清掃、古いサイトのアーカイブ
📋 具体例
容量管理の実例:社員50名のD社ではテナント全体で1TB+500GB=1.5TBのSharePoint容量を利用可能。各部門サイトに容量上限を設定(営業部200GB、技術部300GB、管理部100GB、全社共有200GB、予備700GB)し、月次で利用状況を確認。バージョン履歴を「メジャーバージョン50世代」に制限し、不要なバージョンによる容量消費を防いでいます。
6. Teams管理
Microsoft Teamsは、M365のコミュニケーション・コラボレーション基盤です。適切な管理なしに運用すると、チームが乱立して情報が散逸します。
チーム作成ポリシー
誰でもチームを作成できるデフォルト設定は、中小企業では混乱の元です。チーム作成に関するルールを定めましょう。
- 作成権限の制限:チーム作成を管理者または特定のグループメンバーのみに制限(Entra IDのグループ設定で実現)
- 命名規則:「部門名_用途」(例:営業_商談管理、技術_開発PJ-A)のような命名規則を策定
- 有効期限:プロジェクトチームには有効期限を設定(例:1年)。期限到来時にオーナーに確認し、不要なら自動削除
- チーム一覧の管理:全チームの一覧と用途を管理台帳に記録
ポイント:チーム作成権限を制限するのは管理上の負荷とのトレードオフです。完全に管理者に限定すると、チーム作成の依頼が殺到してひとり情シスの負担が増えます。推奨は「各部門のマネージャーに作成権限を付与し、命名規則と事前申請を義務付ける」アプローチです。これにより、管理負荷を分散しつつ、野良チームの乱立を防げます。
外部アクセスとゲストアクセス
| 機能 | 外部アクセス | ゲストアクセス |
|---|---|---|
| 対象 | 他のM365テナントのユーザー | 外部のメールアドレスを持つ誰でも |
| できること | チャット、通話 | チームへの参加、ファイル共有、会議 |
| 管理単位 | ドメイン単位で許可/拒否 | 個別ユーザー単位で招待 |
| 推奨設定 | 許可(取引先ドメインのみに限定も可) | 許可(ただし承認プロセスを設ける) |
会議設定
Teams会議のデフォルト設定を見直し、セキュリティとユーザビリティのバランスを取りましょう。
| 設定項目 | デフォルト | 推奨設定 | 理由 |
|---|---|---|---|
| 匿名ユーザーの会議参加 | 有効 | 有効(ロビーで待機) | 社外との会議に必要 |
| ロビーをバイパスできるユーザー | 組織内のユーザー | 組織内のユーザー | 不正参加の防止 |
| 録画の許可 | 有効 | 有効(保存先はOneDrive/SharePoint) | 議事録の代替として有用 |
| トランスクリプション | 無効 | 有効 | 文字起こしで記録を残せる |
| チャットの許可 | 有効 | 有効 | 会議中のコミュニケーション手段 |
📋 具体例
Teams運用ルールの例:1) チーム作成は部門長以上が申請フォームで申請 → 情シスが作成。2) チーム名は「部門_用途」の形式。3) ゲスト招待は上長承認後に実施。4) プロジェクト完了後のチームは「アーカイブ」(削除ではない)。5) ファイルはTeams内のSharePointに保存し、個人のOneDriveにはプロジェクトファイルを保存しない。これにより、情報の一元管理と退職時のスムーズな引き継ぎが実現できます。
7. セキュリティ & コンプライアンス
M365のセキュリティ機能を適切に活用することで、中小企業でもエンタープライズレベルのセキュリティを実現できます。
DLP(データ損失防止)
DLPポリシーを使って、機密情報の意図しない外部流出を防ぎます。
- マイナンバー:メールやファイルにマイナンバーが含まれている場合、外部送信をブロック
- クレジットカード番号:クレジットカード番号パターンの検出と保護
- カスタムルール:自社固有のキーワード(プロジェクトコード名、製品名等)を検出対象に追加
ポイント:DLPは最初から厳しくしすぎると、業務に支障をきたし、ユーザーからの反発を招きます。まずは「検出のみ(ブロックしない)」モードで運用を開始し、どのようなデータが検出されるかを確認してください。1~2ヶ月間のデータを分析した上で、段階的にブロックルールを適用するのが成功のコツです。
監査ログ
M365の監査ログは、セキュリティインシデントの調査やコンプライアンス対応に不可欠です。
- 標準監査:デフォルトで有効。90日間のログ保持(Business)/180日間(Enterprise)
- 監視対象:ログイン履歴、ファイルアクセス、メール送受信、管理者操作、外部共有
- 検索方法:Microsoft Purview コンプライアンスポータル → 「監査」で検索
- アラート設定:特定のイベント(大量ファイルダウンロード、海外からのログイン等)でアラートを自動送信
条件付きアクセス(Business Premium以上)
条件付きアクセスは、「誰が」「どこから」「どのデバイスで」「何に」アクセスするかに基づいて、アクセスを許可/拒否/追加認証要求する機能です。
| ポリシー例 | 条件 | アクション |
|---|---|---|
| 社外からのアクセスにMFA | 信頼できるIP以外から | MFAを要求 |
| 管理ポータルの保護 | 管理者ロールでの管理ポータルアクセス | MFA+準拠デバイス必須 |
| 未管理デバイスの制限 | Intune非準拠デバイス | Webアクセスのみ許可(ダウンロード禁止) |
| リスクベース認証 | リスクの高いサインイン検出時 | パスワード変更を強制 |
| 国別アクセス制限 | 日本以外の国からのアクセス | ブロック(出張先は例外追加) |
⚠️ 注意
条件付きアクセスポリシーの設定ミスは、全ユーザーがM365にアクセスできなくなる重大インシデントにつながります。必ず「レポートのみ」モードで十分にテストしてから「有効」に切り替えてください。また、緊急アクセスアカウントはすべての条件付きアクセスポリシーから除外しておくことが絶対に必要です。
M365の管理は多岐にわたりますが、まずは「MFAの有効化」「外部共有の制限」「監査ログの確認」の3つから始めてください。これだけでもセキュリティレベルは大幅に向上します。