Exchange Online・Teams・SharePoint管理
Exchange Online管理
Exchange Onlineは、Microsoft 365のメール基盤として企業のコミュニケーションの中核を担います。Exchange管理センター(https://admin.exchange.microsoft.com)から管理を行います。
メールフロー設定
メールフローとは、メールが送受信される経路と、その途中で適用されるルール(トランスポートルール)の総称です。
主なメールフロー設定項目
| 設定項目 | 概要 | 設定場所 |
|---|---|---|
| トランスポートルール | メールの内容・送信先等に基づく自動処理ルール | Exchange管理センター → メールフロー → ルール |
| 承認済みドメイン | 組織で使用するメールドメインの登録 | Exchange管理センター → メールフロー → 承認済みドメイン |
| コネクタ | 外部メールサーバーとの接続設定 | Exchange管理センター → メールフロー → コネクタ |
| リモートドメイン | 外部ドメインへの送信時の書式・自動応答設定 | Exchange管理センター → メールフロー → リモートドメイン |
📋 具体例
よく使われるトランスポートルールの例:
- 外部メール警告:社外からのメールの件名に「[外部]」を自動付加し、なりすましメールに気づきやすくする
- 添付ファイルサイズ制限:10MBを超える添付ファイル付きメールをブロックまたは警告
- 免責事項の自動追加:全送信メールのフッターに会社の免責事項(Disclaimer)を追加
- 特定キーワードのブロック:機密情報を含むメールの外部送信を検知・ブロック
共有メールボックス
共有メールボックスは、複数のユーザーが共有してアクセスできるメールボックスです。追加のライセンスが不要(50GBまで無料)で、代表メールアドレス(info@、support@など)に最適です。
共有メールボックスの特徴:
- 専用のライセンス不要(50GBまで。50GB超の場合はライセンスが必要)
- 複数ユーザーがアクセス可能(「フルアクセス」と「メールボックス送信者」権限)
- 直接サインインは不可(ユーザー自身のメールボックスから開く)
- Outlook、Outlook on the Web、モバイルアプリからアクセス可能
- 自動返信(不在時メッセージ)の設定が可能
PowerShellでの共有メールボックス作成:
# Exchange Online PowerShellへの接続 Connect-ExchangeOnline -UserPrincipalName admin@contoso.com # 共有メールボックスの作成 New-Mailbox -Shared -Name "info" -DisplayName "お問い合わせ窓口" -Alias "info" # アクセス権限の付与 Add-MailboxPermission -Identity "info@contoso.com" -User "user1@contoso.com" -AccessRights FullAccess Add-RecipientPermission -Identity "info@contoso.com" -Trustee "user1@contoso.com" -AccessRights SendAs
ポイント:退職者のメールボックスを共有メールボックスに変換すると、ライセンスを回収しつつ過去のメールを保持できます。Convert-MailboxコマンドまたはExchange管理センターから変換でき、メールデータが失われることなくライセンスコストを削減できます。
メールセキュリティ設定
Exchange Onlineのメールセキュリティには以下の設定が重要です。
| 技術 | 目的 | 設定方法 |
|---|---|---|
| SPF | 送信元IPの正当性検証 | DNSにTXTレコードを追加(v=spf1 include:spf.protection.outlook.com -all) |
| DKIM | メールの改ざん検知 | Microsoft Defender ポータル → メール認証設定でDKIMを有効化 |
| DMARC | SPF/DKIM結果に基づく処理方針 | DNSにTXTレコードを追加(_dmarc.contoso.com) |
⚠️ 注意
SPF、DKIM、DMARCの3つすべてを正しく設定することで、自社ドメインのなりすましメールを大幅に防止できます。DMARCのポリシーは最初はp=none(監視のみ)から始め、レポートを分析して問題がないことを確認してからp=quarantine(隔離)→p=reject(拒否)と段階的に強化していくのが安全です。
Microsoft Teams管理
Microsoft Teamsは、チャット・ビデオ会議・ファイル共有・アプリ連携を統合したコミュニケーションプラットフォームです。Teams管理センター(https://admin.teams.microsoft.com)から管理します。
Teams管理ポリシー
Teamsの管理では、以下のポリシーを適切に設定することが重要です。
| ポリシー種別 | 制御対象 | 設定例 |
|---|---|---|
| メッセージングポリシー | チャットの機能制御 | 外部ユーザーとのチャット許可/禁止、GIFの使用制限 |
| 会議ポリシー | 会議の機能制御 | 録画の許可、匿名参加者のロビー待機、画面共有の範囲 |
| アプリ設定ポリシー | 利用可能なアプリの制御 | サードパーティアプリの許可/ブロック、固定表示アプリの指定 |
| 外部アクセス | 他テナントとの通信 | 特定ドメインとのフェデレーション許可/拒否 |
| ゲストアクセス | 外部ユーザーの参加 | ゲストの招待許可、ゲストの権限制限 |
チーム作成の管理
Teamsでは、誰でもチームを作成できるのがデフォルト設定です。しかし、管理されないチームが乱立すると運用が混乱するため、チーム作成権限を制限することを検討します。
- Entra IDで「Microsoft 365グループ」の作成権限を特定グループに制限
- チームの命名規則を設定(例:「部門名_プロジェクト名」)
- チームの有効期限ポリシーで不要なチームを自動削除(Entra ID P1以上)
ひとり情シスの視点:チーム作成を完全に禁止するのではなく、部門長やマネージャーに作成権限を委任し、命名規則とチームの説明記入を義務付けるのが現実的なバランスです。チームのオーナーが退職した場合に備え、各チームに必ず2名以上のオーナーを設定するルールも重要です。
📋 具体例
Teams外部アクセスの設定パターン:
- 完全オープン:すべての外部Teamsユーザーとの通信を許可(セキュリティリスク高)
- 特定ドメインのみ許可:取引先のドメイン(例:partner.co.jp)のみ許可リストに登録
- 完全ブロック:外部テナントとの通信をすべて拒否
- 推奨設定:デフォルトでブロックし、必要な取引先ドメインのみ許可リストに追加
SharePoint Online管理
SharePoint Onlineは、組織のファイル管理・情報共有・イントラネット構築の基盤です。SharePoint管理センター(https://admin.microsoft.com/sharepoint)から管理します。
サイト管理
SharePoint Onlineのサイトには2種類あります。
| サイト種別 | 用途 | 特徴 |
|---|---|---|
| チームサイト | 部門やプロジェクトのコラボレーション | Microsoft 365グループと連動、Teamsのファイルタブの実体 |
| コミュニケーションサイト | 社内向け情報発信・イントラネット | 組織全体への告知やナレッジベースに適する |
外部共有設定
SharePointの外部共有設定はテナント全体とサイト個別の2段階で制御されます。
| 共有レベル | 説明 | リスク |
|---|---|---|
| 認証不要のリンク(Anyone) | リンクを知っていれば誰でもアクセス可能 | 最高リスク |
| 新規・既存のゲスト | 認証されたゲストユーザーのみアクセス可能 | 中程度 |
| 既存のゲストのみ | 既にディレクトリに登録されたゲストのみ | 低リスク |
| 自組織内のユーザーのみ | 外部共有を完全に禁止 | 最低リスク |
⚠️ 注意
テナント全体の設定は各サイトの設定の上限を決めます。テナントレベルで「自組織内のユーザーのみ」に設定すると、個別サイトでゲスト共有を許可することはできません。推奨はテナントレベルで「新規・既存のゲスト」を許可し、機密性の高いサイトは個別に「自組織内のみ」に制限する方式です。
OneDrive for Business容量管理
OneDrive for Businessは、ユーザー個人のクラウドストレージです。デフォルトでは1ユーザーあたり1TBが割り当てられます(5ユーザー以上のテナントでは管理者が最大5TBまで拡張可能)。
OneDriveの管理ポイント:
- ストレージ制限の設定:SharePoint管理センターでユーザー個別にストレージ上限を変更可能
- 同期クライアントの制御:グループポリシーやIntuneでOneDrive同期クライアントの設定を展開
- 既知のフォルダー移動:デスクトップ、ドキュメント、写真フォルダーをOneDriveに自動リダイレクト(データ保護に極めて有効)
- 退職者のOneDrive:アカウント削除後30日間はマネージャーに自動委任される(デフォルト設定)
ポイント:「既知のフォルダー移動(Known Folder Move)」は、ひとり情シスにとって最も費用対効果の高い設定の一つです。ユーザーのデスクトップやドキュメントフォルダーをOneDriveに自動同期することで、PC故障時のデータ喪失を防止し、端末の入替時もスムーズにデータ移行できます。IntuneまたはGPOで一括展開しましょう。
保持ポリシー(Retention Policy)
保持ポリシーは、組織のデータを法的要件や業務要件に基づいて一定期間保持または削除する仕組みです。Microsoft Purview(https://compliance.microsoft.com)で設定します。
保持ポリシーの適用対象:
- Exchange Onlineのメール
- SharePoint / OneDriveのドキュメント
- Teamsのチャット・チャネルメッセージ
- Microsoft 365グループ
保持ポリシーの設定例:
| 対象 | 保持期間 | 保持後の処理 | 目的 |
|---|---|---|---|
| 全メール | 7年間 | 自動削除 | 税法上の書類保管義務 |
| Teamsチャット | 1年間 | 自動削除 | ストレージ節約 |
| 契約書フォルダ | 10年間 | レビュー後に処分 | 法務要件 |
| 退職者メールボックス | 1年間 | 自動削除 | 引継ぎ期間の確保 |
📋 具体例
中小企業での保持ポリシー運用例:
①まずExchange Onlineの全メールに「7年保持・その後自動削除」のポリシーを適用します。②次にTeamsのチャットメッセージに「1年保持・その後自動削除」を設定してストレージを管理します。③SharePointの「契約書」ライブラリには「10年保持」の保持ラベルを手動で適用できるようにします。保持ポリシーは「保持」と「削除」のどちらか、または両方を設定でき、保持期間中はユーザーが削除しても裏でデータが保管されます。
ひとり情シスの視点:保持ポリシーは法的要件に直結するため、経営層や顧問弁護士と相談して設定を決めることが重要です。まずは「とりあえず全メール7年保持」から始め、運用に慣れてきたらサービスごとに細分化していくアプローチが現実的です。
✅ 完了済み