Microsoft 365 を契約したものの、管理センターを開いて「何から手をつければいいかわからない」という方は多いのではないでしょうか。
私は M365 のサポートを 7 年以上やってきましたが、「最初にこれをやっておけば…」という後悔を何度も見てきました。
この記事では、契約直後にやるべき 10の設定を優先度順にまとめます。
この記事の対象者
- M365 を契約したばかりの管理者
- 「とりあえず使えてるからいいや」で放置している管理者
- 情シス担当がいない中小企業の担当者
前提
- Microsoft 365 Business Basic / Standard / Premium を想定
- 管理者権限を持っていること
- M365 管理センター: https://admin.microsoft.com
1. 認証方法の登録
重要度:★★★★★(最優先)
現在、Microsoft 365 ではセキュリティの既定値群が既定で有効化されているため、通常初回サインイン時に認証方法の登録を要求されます。
画面の指示に従って、電話番号または Microsoft Authenticator を登録してください。
手順
- M365 ポータルにサインイン
- "アカウントをセキュリティ保護しましょう" と表示されたら [次へ]
- QR コードが表示されたら、Microsoft Authenticator アプリを起動して読み取り
- PC 画面に表示された 2 桁のコードをスマートフォンに入力して完了
ワンポイント
- 管理者ユーザーは「別の方法を設定する」リンクが表示される
- スマートフォンの QR コードリーダーでは読み込めないので、必ず Authenticator アプリから起動すること
推奨:Microsoft Authenticator
スマートフォンに Microsoft Authenticator アプリをインストールして利用することを推奨します。
👉 サインイン ページからセキュリティ情報をセットアップする - Microsoft サポート
スマートフォンが使えない場合
ブラウザーの拡張機能も利用できます。携帯を貸与していない場合などは拡張機能を検討してください。
2. 認証方法の追加登録
重要度:★★★★★
携帯電話の機種変更や電話番号の変更など、登録した認証方法が突如利用できなくなった場合に備えて、追加の認証方法を登録しておきましょう。
なぜ必要か
- スマホを紛失した
- 機種変更で Authenticator が消えた
- 電話番号が変わった
こうなると、自分のアカウントにログインできなくなります。
手順
- マイ アカウント にアクセス
- 「セキュリティ情報」を選択
- 「+ サインイン方法の追加」をクリック
- 別の認証方法(電話番号、別の Authenticator など)を追加
最低でも 2つ以上の認証方法を登録しておくことを強くお勧めします。
3. 緊急アクセス用アカウントを作成する
重要度:★★★★★
管理者アカウントがロックされた時のための「非常口」です。
なぜ必要か
- 管理者が退職した
- 管理者の MFA デバイスが使えなくなった
- 何らかの理由で管理者アカウントがロックされた
この状態になると、テナント全体が管理不能になります。
手順
- M365 管理センター → 「ユーザー」→「アクティブなユーザー」
- 「ユーザーの追加」
- 画面に従い作成
ワンポイント
- "製品ライセンスなしでユーザーを作成する" を選択すると無料で作成可能
- "管理センターに対するアクセス許可" で「グローバル管理者」を付与
- 最低でも 2つの管理者アカウントがあればロックアウトを回避できる
管理方法
| 項目 | 推奨 |
|---|---|
| パスワード保管 | 金庫や封筒で物理保管 |
| 確認頻度 | 四半期に1回ログインテスト |
| 使用後 | 必ずパスワード変更 |
4. 組織のプロファイルを設定する
重要度:★★★★☆
意外と忘れがち。これを設定しないと、通知メールの送信元が不明な状態になります。
手順
M365 管理センター → 「設定」→「組織の設定」→「組織のプロファイル」タブ
なぜ必要か
- パスワードリセット通知などに組織名が表示される
- サポートに問い合わせる際に組織情報が必要
- 請求書の宛名にも反映
5. セルフサービス試用版と購入をオフにする
重要度:★★★★☆
この設定をオフにしないと、ユーザーが勝手に試用版やライセンスを購入できてしまいます。
問題点
- 知らないうちに有料ライセンスが増えている
- 請求が予想外に膨らむ
- ライセンス管理がカオスになる
手順
- M365 管理センター → 「設定」→「組織の設定」→「サービス」タブ
- 「セルフサービス試用版と購入」を選択
- すべての項目をオフに設定
特に理由がなければ、すべてオフにすることをお勧めします。必要なライセンスは管理者が一括で購入・割り当てするのが安全です。
6. ユーザーが所有するアプリとサービスを設定する
重要度:★★★★☆
ユーザーが組織のアカウントでサードパーティのアプリやサービスにアクセスすることを制御します。
手順
管理センター → 「設定」→「組織の設定」→「サービス」タブ →「ユーザーが所有するアプリとサービス」
設定項目
| 項目 | 推奨 |
|---|---|
| ユーザーが Office ストアにアクセスできるようにする | 組織のポリシーによる |
| ユーザーが組織の代理として試用版を開始できるようにする | オフ |
| ユーザーが初めてサインインするときに、ライセンスを自動的に要求できるようにする | 任意 |
なぜ重要か
- 野良アプリの乱立を防ぐ
- セキュリティリスクの軽減
- シャドー IT 対策
7. ゲスト招待設定を確認する
重要度:★★★★☆
外部ユーザー(ゲスト)を Teams や SharePoint に招待できる範囲を制御します。
手順
- Microsoft Entra 管理センター にアクセス
- 「External Identities」→「外部コラボレーション設定」
- ゲスト招待の設定を確認
設定項目
| 設定 | リスク |
|---|---|
| 組織内のすべてのユーザーがゲストを招待できる | 🔴 最も緩い(危険) |
| 特定の管理者ロールのみ招待可能 | 🟡 中程度 |
| 管理者を含め招待不可 | 🟢 最も厳しい |
セキュリティを重視するなら、「メンバー ユーザーと特定の管理者ロールに割り当てられたユーザーがゲストを招待できる」以上に制限することをお勧めします。
8. 共有設定を確認・制限する
重要度:★★★★☆
SharePoint / OneDrive の外部共有設定がデフォルトで「誰とでも共有可能」になっている場合があります。
手順
- SharePoint 管理センターにアクセス
- 「ポリシー」→「共有」
- 外部共有レベルを確認
推奨設定
外部共有を制限する場合は、以下に設定:
- SharePoint: 「新規および既存のゲスト」または「既存のゲストのみ」
- OneDrive: SharePoint と同等以下
9. 監査ログを有効化する
重要度:★★★★☆
何か問題が起きた時に「誰が何をしたか」がわからないと調査できません。
手順
- Microsoft Purview コンプライアンスポータル にアクセス
- 「監査」を選択
- 「監査を有効にする」をクリック(既に有効な場合は表示されない)
有効化が完了すると検索画面が表示されます。
注意点
- 有効化後のログのみ記録される
- ログの保持期間はライセンスによる(180日〜1年)
- 過去に遡っての記録は不可 → 早めに有効化
10. グループの作成権限を制限する
重要度:★★★☆☆
デフォルトでは、全ユーザーが Microsoft 365 グループ(=Teams のチーム)を自由に作成できます。
問題点
- 誰でもチームを作れる → 乱立して管理不能に
- 不要な SharePoint サイトが大量に作成される
- 命名規則なしでカオスに
手順
- Microsoft Entra 管理センターにアクセス
- 「グループ」→「全般」
- 以下を確認・変更
| 設定 | 推奨 |
|---|---|
| Microsoft 365 グループを作成できるユーザー | いいえ(管理者のみ) |
| セキュリティ グループを作成できるユーザー | いいえ(管理者のみ) |
最初は管理者のみ作成可能に設定し、必要に応じて権限を持つグループを作成して許可範囲を広げる方法がお勧めです。
まとめ:チェックリスト
| # | 設定項目 | 完了 |
|---|---|---|
| 1 | 認証方法の登録 | ☐ |
| 2 | 認証方法の追加登録 | ☐ |
| 3 | 緊急アクセス用アカウントを作成 | ☐ |
| 4 | 組織のプロファイルを設定 | ☐ |
| 5 | セルフサービス試用版と購入をオフ | ☐ |
| 6 | ユーザーが所有するアプリとサービスを設定 | ☐ |
| 7 | ゲスト招待設定を確認 | ☐ |
| 8 | 共有設定を確認・制限 | ☐ |
| 9 | 監査ログを有効化 | ☐ |
| 10 | グループの作成権限を制限 | ☐ |
忘れているものがあれば今すぐチェック!
特に「認証方法の追加登録」と「緊急アクセス用アカウント」は、問題が起きてからでは遅いです。
関連リソース
本記事で紹介した設定の確認を自動化したい方向けに、PowerShellスクリプトをGitHubで公開しています。
- MFA設定状況の一括確認
- 非アクティブユーザーの検出
- ライセンス割当状況のエクスポート
もっと詳しく学びたい方へ
「属人化ゼロの教科書」第1章 + AIプロンプト5選を無料配布中