IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MS365&Entra > 【一般法人向け Microsoft 365】ゲストユーザー招待
最終更新日

【一般法人向け Microsoft 365】ゲストユーザー招待

MS365&Entra インフラ

一般法人向け Microsoft 365 ゲストユーザーのアプリ招待

Microsoft社が提供するクラウドベースのOffice総合パッケージ「Microsoft 365」の一般法人向けプランにおいて、ゲストユーザーを組織アプリ(Teams, SharePoint, グループメール)に招待する設定例を紹介します。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)
  • ゲストユーザー:Microsoftアカウントに登録済の個人のGmailメールを使用

 

 

ゲストユーザー招待の要件整理

プロジェクトAの開始にあたり、Teamsに新たなチームを用意し、ゲストユーザーを含めたコラボレーションができるようにします。

  • 所有者:System Admin(システム管理者)
  • メンバー:User Aaaさん(組織内ユーザー)、User Bbbさん(組織内ユーザー)、XXXさん(ゲストユーザー)
  • アプリ:Teamsの「Project_A」チーム
    • メール:上記チームにグループメールアドレスを用意し、外部との送受信を可能とする
    • ドキュメント:Teamsのファイルタブ(SharePoint)でドキュメントを管理する
  • 権限(ゲストユーザーの招待・本人確認は組織全体のルールとして設定)
    • ゲストユーザーの招待:システム管理者(guest_invite_membersグループ)しか実施できないようにする
    • ゲストユーザーの本人確認:定期的に確認コードによる本人確認を必要とする
    • チームメンバーの変更:メンバーが勝手にユーザーを追加・削除しないよう、所有者はシステム管理者のみとする
    • チーム内ドキュメント:ゲストユーザーを含め、編集閲覧可能とする
*ゲストユーザーはMicrosoftアカウントに登録済の個人のGmailアドレスを使用します(ゲストユーザーとして招待するには使用メールアドレスのMicrosoftアカウントへの登録が必要です)

 

ゲストユーザー招待の全体設定調整

Entra管理C ゲストユーザー招待者グループ作成

Webブラウザーより、Microsoft Entra管理センターにアクセスし、左メニューの[グループ>概要]を選択し、[新しいグループ]を選択します。

図表2-1 Entra管理センターのグループ作成へ

図表2-1 Entra管理センターのグループ作成へ

 

以下の通り設定し、[作成]を選択します。

  • グループの種類:セキュリティ
  • グループ名:(ゲストユーザーを招待できる人のグループであることが分かる名前)
  • グループにMicrosoft Entra IDロールを割り当てることができる:はい
  • 所有者・メンバー:システム管理者(System Admin)
  • 役割:ゲスト招待元

確認メッセージが表示されたら、[はい]を選択します。

図表2-2 ゲスト招待グループの設定

図表2-2 ゲスト招待グループの設定

 

Entra管理C ゲストユーザー招待の制限設定変更

左メニューの[ユーザー>ユーザー設定]を選択し、画面下部の[外部ユーザー]の[外部コラボレーションの設定を管理します]を選択します。

図表2-3 ゲスト招待の制限設定の変更へ

図表2-3 ゲスト招待の制限設定の変更へ

 

[ゲスト招待の設定>ゲスト招待の制限]の[特定の管理者ロールに割り当てられているユーザーのみがゲストユーザーを招待できる]を選択し、[保存]を選択します。

図表2-4 ゲスト招待の制限設定の変更

図表2-4 ゲスト招待の制限設定の変更

 

SP管理C SharePointの共有設定変更

Microsoft 365管理センターにアクセスし、左メニューの[すべて表示]を選択します。
展開された左メニューの[SharePoint]を選択します。

図表2-5 SharePoint管理センターへ

図表2-5 SharePoint管理センターへ

 

左メニューの[ポリシー>共有]を選択し、以下の通り設定を見直します。

  • コンテンツを共有できる相手:新規および既存のゲスト
  • 特定のセキュリティグループのユーザーのみに外部共有を許可する
  • セキュリティグループの管理:(図表2-6で作成したゲストユーザーを招待できるセキュリティグループを選択)

図表2-6 SharePoint外部共有設定の変更

図表2-6 SharePoint外部共有設定の変更

 

前の画面の下半分です。設定変更したら、[保存]を選択します。

  • 確認コードを使用するユーザーは、この日数の後に再認証を行う必要があります:30
  • リンクの種類:特定のユーザー(ユーザーが指定したユーザーのみ)

図表2-7 SharePoint外部共有設定の変更の続き

図表2-7 SharePoint外部共有設定の変更の続き

 

Intune管理C ゲストユーザーの多要素認証要求除外

多要素認証の要求に関する条件付きアクセスポリシーが設定済かつゲストユーザーに要求したくない場合、割り当てから除外します。

*以前の記事で多要素認証の設定例を紹介していますので、よろしければ参考にしてください


Microsoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>条件付きアクセス]を選択します。
サブメニューの[ポリシー]を選択し、多要素認証の要求ポリシーを選択します。

図表2-8 Intune管理センターの条件付きアクセスポリシー設定へ

図表2-8 Intune管理センターの条件付きアクセスポリシー設定へ

 

左が変更前、右が変更後の例です。この例では、すべてのユーザーを対象としていたのを、組織内のメンバーグループのみを対象とする形で、ゲストユーザーを対象から除外しています。

図表2-9 多要素認証の対象からゲストユーザーを除外

図表2-9 多要素認証の対象からゲストユーザーを除外

 

 

 

チーム作成、グループメール設定

Teams管理C チーム作成

Microsoft 365管理センターにアクセスし、左メニューの[すべて表示]を選択します。
展開された左メニューの[Teams]を選択します。

図表3-1 Teams管理センターへ

図表3-1 Teams管理センターへ

 

左メニューの[チーム>チームを管理]を選択し、[追加]を選択します。
[新しいチームの追加]画面で以下の通り設定し、[適用]を選択します。

  • 名前:Project_A
  • 所有者:システム管理者
  • プライバシー:プライベート
*ここで指定した[名前]がグループメールアドレスの@から左部分になります
*所有者はゲストユーザーの招待ができます。冒頭の要件の通り、組織内メンバーが勝手に招待することのないよう、システム管理者のみを設定しています

図表3-2 新しいチームの作成

図表3-2 新しいチームの作成

 

Teams管理C 組織内メンバー追加

図表3-2で作成したチームを選択します。

図表3-3 作成したチームの設定へ

図表3-3 作成したチームの設定へ

 

画面上部のメールアドレスがこのチームのグループメールアドレスです。メンバーなら使用可能です。
[メンバーの追加]を選択し、一旦組織内のメンバーを追加します。
なお、Teams管理センターの画面は次の工程でまた使用しますので、閉じずにそのままにしておいてください。

図表3-4 作成したチームの設定(メンバー追加)

図表3-4 作成したチームの設定(メンバー追加)

 

Exchange管理C グループメール設定変更

Microsoft 365管理センターにアクセスし、左メニューの[すべて表示]を選択します。
展開された左メニューの[Exchange]を選択します。

図表3-5 Exchange管理センターへ

図表3-5 Exchange管理センターへ

 

左メニューの[受信者>グループ]を選択し、図表3-4で作成したチームのグループメールを選択します。
[設定]タブを選択し、全般設定の上二つにチェックをつけ、[保存]を選択します。

*全般設定の一番目の項目にチェックをつけないと、外部からのメールを受信できません。また、二番目の項目はグループのメールボックスだけでなく、各自のメールボックスにもメッセージを送るかどうかで、好みに応じてオフ/オンします

図表3-6 グループメールの設定

図表3-6 グループメールの設定

 

ゲストユーザー招待・メンバー追加

Entra管理C ゲストユーザー招待

Microsoft Entra管理センターの左メニューの[ユーザー>すべてのユーザー]を選択し、[新しいユーザー>外部ユーザーの招待]を選択します。

図表4-1 Entra管理センターのゲストユーザーの招待へ

図表4-1 Entra管理センターのゲストユーザーの招待へ

 

ゲストユーザーのメールアドレスと表示名を入力し、招待メッセージを適宜入力し、[レビューと保存]を選択します。
設定内容を確認し、問題なければ[招待]を選択します。

図表4-2 ゲストユーザーの招待

図表4-2 ゲストユーザーの招待

 

Teams管理C ゲストユーザーのメンバー追加

再びTeams管理センターの画面に戻り、[メンバーの追加]を選択します。
図表4-2のEntra管理センターで登録したゲストユーザーを追加します。

図表4-3 Teamsのチームメンバーへのゲストユーザー追加

図表4-3 Teamsのチームメンバーへのゲストユーザー追加

 

ゲストユーザーがチームのメンバーになりました。
この後、このゲストユーザーでTeamsのチームにアクセスを試してみます。

図表4-4 Teamsのチームメンバーの確認

図表4-4 Teamsのチームメンバーの確認

 

ゲストユーザーのアクセス確認

ゲストユーザー(XXXさん)のメールボックスに招待メールが届いています。[招待の承諾]を選択します。

図表5-1 ゲストユーザーのアクセス確認(招待メール)

図表5-1 ゲストユーザーのアクセス確認(招待メール)

 

[コード送信]を選択します。
ゲストユーザー(XXXさん)のメールボックスに確認コードが届きますので、これをコピーします。

図表5-2 ゲストユーザーのアクセス確認(確認コード処理)

図表5-2 ゲストユーザーのアクセス確認(確認コード処理)

 

図表5-2でコピーした確認コードをペーストし、[サインイン]を選択します。
[承諾]を選択します。

図表5-3 ゲストユーザーのアクセス確認(確認コード処理の続き)

図表5-3 ゲストユーザーのアクセス確認(確認コード処理の続き)

 

[次へ]を選択します。
マイアプリ画面に遷移しますが、Teamsのアイコンがない場合は、デスクトップアプリを開きます。
なお、デスクトップアプリがない場合は、公式サイトからダウンロード・インストールします。

図表5-4 ゲストユーザーのアクセス確認(マイアプリ)

図表5-4 ゲストユーザーのアクセス確認(マイアプリ)

 

Teamsにサインインすると、右上の通知アイコンにメッセージが届いている筈です。これを選択します。

図表5-5 ゲストユーザーのアクセス確認(Teamsデスクトップアプリ-サインイン)

図表5-5 ゲストユーザーのアクセス確認(Teamsデスクトップアプリ-サインイン)

 

招待元のTeamsが起動したら、左メニューの[チーム]を選択します。招待されたProject_Aチームが表示されます。
チームメンバーとのやり取りができれば問題ありません。

図表5-6 ゲストユーザーのアクセス確認(Teamsデスクトップアプリ-チームへ)

図表5-6 ゲストユーザーのアクセス確認(Teamsデスクトップアプリ-チームへ)

 

続けてTeamsの[ファイル]タブ(SharePointのドキュメント機能と同じ)のドキュメント閲覧・編集が行えるどうかを確認します。

図表5-7 ゲストユーザーのアクセス確認(Teamsデスクトップアプリ-ファイル操作)

図表5-7 ゲストユーザーのアクセス確認(Teamsデスクトップアプリ-ファイル操作)

 

最後に、これはゲストユーザーの作業という訳ではありませんが、プロジェクトメンバー外(ゲストユーザーではない)のアドレスからグループメールにメールを送信し、ゲストユーザー・組織内ユーザーが受信できるか確認します。

図表5-8 外部からのグループアドレス宛のメール受信状況

図表5-8 外部からのグループアドレス宛のメール受信状況

 

おわりに

こうして手順化してみると、ゲストユーザーの招待のために意外とやることが多いと感じます。しかし、工程2は初回のみの作業のため、以降はそれほど手間ではありません。

 

工程2のSharePoint管理センターのポリシー設定の「コンテンツを共有できる相手」に関して補足します。デフォルト設定のままですとリンクを知っていたら誰でもアクセスできる状態であり、組織の機密情報を扱う場合においてはセキュリティが緩いです。外部のユーザーとのコラボレーションを開始する前に、見直しを検討することをお奨めします。

 

 

当ブログの関連記事

elmgrn.hatenablog.com