Microsoft 365の全体像と管理
Microsoft 365とは
Microsoft 365(旧Office 365)は、Microsoftが提供するクラウドベースの統合生産性プラットフォームです。Word、Excel、PowerPointなどのOfficeアプリケーションに加え、Exchange Online(メール)、Teams(コミュニケーション)、SharePoint Online(文書管理)、OneDrive for Business(個人ストレージ)などのクラウドサービスが統合されています。
企業のIT管理者にとって、Microsoft 365は単なるOfficeツールの提供ではなく、ユーザー管理、セキュリティ設定、コンプライアンス対応、デバイス管理までを包括的に担う基盤となります。ひとり情シスの場面では、この管理範囲の広さが大きな負担になりうるため、効率的な運用設計が極めて重要です。
Microsoft 365のプラン体系
Microsoft 365には、企業規模や用途に応じた複数のプランが用意されています。中小企業向けのBusiness系と、大企業向けのEnterprise系に大別されます。
| プラン | 対象 | 主な特徴 | 月額目安(税抜/ユーザー) |
|---|---|---|---|
| Business Basic | 300人以下 | Web版Officeのみ、Exchange Online、Teams、SharePoint、OneDrive 1TB | 約750円 |
| Business Standard | 300人以下 | デスクトップ版Office含む、Basicの全機能+Bookings等 | 約1,560円 |
| Business Premium | 300人以下 | Standardの全機能+Intune、Entra ID P1、Defender for Business | 約2,750円 |
| E3 | 制限なし | デスクトップ版Office、高度なコンプライアンス、情報保護、Windows Enterprise | 約4,500円 |
| E5 | 制限なし | E3+電話システム、Power BI Pro、高度なセキュリティ・コンプライアンス | 約7,130円 |
ポイント:中小企業のひとり情シスにとって最もコストパフォーマンスが高いのはBusiness Premiumです。Intune(デバイス管理)とEntra ID P1(条件付きアクセス)が含まれており、セキュリティ面で大企業並みの対策が可能です。Business StandardとIntuneを個別契約するより割安になるケースが多いです。
Microsoft 365管理センター
Microsoft 365の管理はMicrosoft 365管理センター(https://admin.microsoft.com)を中心に行います。ここからユーザー管理、ライセンス割り当て、サービス設定、課金管理、セキュリティ設定などにアクセスできます。
主な管理センター(ポータル)の種類と役割は以下の通りです。
| 管理センター | URL | 主な管理対象 |
|---|---|---|
| Microsoft 365管理センター | admin.microsoft.com | ユーザー、ライセンス、課金、全体設定 |
| Exchange管理センター | admin.exchange.microsoft.com | メールフロー、メールボックス、トランスポートルール |
| Teams管理センター | admin.teams.microsoft.com | Teamsポリシー、会議設定、通話設定 |
| SharePoint管理センター | admin.microsoft.com/sharepoint | サイト管理、共有設定、ストレージ |
| Microsoft Entra管理センター | entra.microsoft.com | ID管理、条件付きアクセス、アプリ統合 |
| Microsoft Intune管理センター | intune.microsoft.com | デバイス管理、コンプライアンスポリシー、アプリ配布 |
| Microsoft Defender ポータル | security.microsoft.com | 脅威管理、インシデント対応、セキュリティスコア |
| Microsoft Purview | compliance.microsoft.com | データ保護、DLP、保持ポリシー、監査ログ |
⚠️ 注意
管理者ロールにはグローバル管理者(全権限)、ユーザー管理者、Exchange管理者、SharePoint管理者など多数の種類があります。セキュリティの観点から、グローバル管理者は最小限の人数(2名程度)に留め、日常業務には専用の管理者ロールを割り当てるのがベストプラクティスです。グローバル管理者アカウントには必ずMFAを有効化してください。
ユーザーとライセンス管理
Microsoft 365のユーザー管理は、組織の従業員アカウントのライフサイクル全体を管理する作業です。
ユーザーの追加方法
- 手動追加:管理センター → アクティブなユーザー → ユーザーの追加
- CSV一括追加:CSVファイルを使って複数ユーザーを同時作成(大量追加時に便利)
- PowerShellによる追加:
New-MgUserコマンドレットで自動化 - Entra ID Connect同期:オンプレミスActive Directoryとの自動同期
ライセンスの割り当て
ユーザーにはライセンスを割り当てないとサービスを利用できません。ライセンス管理のポイントは以下の通りです。
- 不要なサービス(例:Plannerを使わない場合)は個別にオフにできる
- 退職者のライセンスは早期に回収し、コスト削減に活用
- 共有メールボックスはライセンス不要(50GB無料)
- ライセンスの割り当てはグループベースが効率的(Entra ID P1以上)
📋 具体例
50人規模の企業で、営業部(20名)はBusiness Standard、管理部門(10名)はBusiness Basic、役員(5名)はBusiness Premiumとする場合、Entra IDのセキュリティグループを部門別に作成し、グループベースのライセンス割り当てを設定します。新入社員を該当グループに追加するだけで自動的にライセンスが付与され、退職時はグループから削除するだけで回収されます。
セキュリティの既定値群(Security Defaults)
Microsoft 365のテナントを作成すると、セキュリティの既定値群(Security Defaults)がデフォルトで有効になっています。これはMicrosoftが推奨する基本的なセキュリティ設定をワンクリックで適用する機能です。
セキュリティの既定値群で有効化される主な設定:
- すべてのユーザーにMFA(多要素認証)の登録を要求
- 管理者に対してMFAを強制
- レガシー認証プロトコル(POP3、IMAP、SMTP AUTH等)のブロック
- 必要に応じたMFAチャレンジの実行
⚠️ 注意
セキュリティの既定値群は、条件付きアクセスポリシーを使用する場合は無効にする必要があります。Business Premiumや Entra ID P1/P2ライセンスで条件付きアクセスを設計する場合は、セキュリティの既定値群をオフにし、より細かなポリシーで制御します。ただし、条件付きアクセスの設定が不十分な状態でセキュリティの既定値群を無効化すると、セキュリティレベルが低下するため注意が必要です。
PowerShellによる管理の基本
GUI(管理センター)だけでなく、PowerShellを活用することで管理業務を大幅に効率化できます。Microsoft 365の管理にはMicrosoft Graph PowerShell SDKが現在の標準です。
基本的な接続手順:
# Microsoft Graph PowerShell SDKのインストール Install-Module Microsoft.Graph -Scope CurrentUser # 接続(必要なスコープを指定) Connect-MgGraph -Scopes "User.ReadWrite.All","Group.ReadWrite.All" # ユーザー一覧の取得 Get-MgUser -All | Select-Object DisplayName, UserPrincipalName, AccountEnabled # 特定ユーザーのライセンス確認 Get-MgUserLicenseDetail -UserId "user@contoso.com"
ひとり情シスの視点:PowerShellスクリプトを作成しておくと、入退社時のアカウント作成・削除、ライセンスレポートの自動生成、退職者アカウントの一括無効化などを素早く実行できます。月1回のライセンス棚卸しレポートを自動メール送信するスクリプトを作成しておくと、コスト管理にも有効です。
テナント設定の初期構成
Microsoft 365テナントを新規セットアップする際に設定すべき重要項目を整理します。
- カスタムドメインの追加:独自ドメイン(例:contoso.co.jp)をテナントに登録し、DNSレコード(TXT, MX, CNAME)を設定
- 組織のプロファイル設定:会社名、所在地、技術担当者の連絡先を登録
- 多要素認証の有効化:全管理者アカウントで即座にMFAを有効化
- 監査ログの有効化:Microsoft Purviewの統合監査ログを有効化し、管理操作のログを記録
- 外部共有設定の確認:SharePointとOneDriveの外部共有ポリシーを組織のセキュリティポリシーに合わせて制限
- 緊急アクセス用アカウント:MFA機器紛失時に備えた「ブレークグラス」アカウントを作成(強力なパスワード設定、MFA除外、金庫保管)
ポイント:緊急アクセス用アカウント(Break Glass Account)は、すべてのMFAやアクセス条件が利用不能になった場合の最終手段です。このアカウントは条件付きアクセスの対象外とし、パスワードは紙に書いて金庫に保管します。監査ログでこのアカウントの使用を監視するアラートを設定しておくことが推奨されます。
✅ 完了済み