はじめに
今回の記事では、Microsoft 365 Defender ポータルのセキュアスコアの中でも Teams の項目に焦点を当ててご紹介します。
セキュアスコア項目の中でもかなりイメージしやすく実践しやすい内容となりますので、「M365 のセキュリティについて考えていきたい」と考えている方にとって参考にしやすい内容になるのではと思います。
セキュアスコアと Teams 管理センターを見比べながら、セキュリティを強化し、リスクを最小限に抑えるためのステップについて詳しく見ていきましょう!
Microsoft 365 Defenderとは
Microsoft 365 Defender についての基本的な情報は、今回の記事では割愛しますので、
公式ドキュメントや他の記事をご参照ください。
今回の記事ではMicrosoft 365 Defender の中でも セキュアスコアに注目してご紹介します。
セキュアスコアに記載されている項目は、"ゼロトラスト" の観点から Microsoft 365 をセキュアに活用するための推奨設定です。
Microsoft 365 Defender を利用できる環境にいる方は、ぜひ参考にし、検討していただければ幸いです。
ただし、すべての設定を有効にすると、組織によっては適さない場合もあるため、組織の運用方法に合わせて検討を行ってください。
Teams の各種項目
この記事では Microsoft 365 開発者用検証ライセンス(Microsoft 365 E5)を使用しています。
2023年10月1日時点では6/73の項目がTeams に関連した項目です。
各項目の設定方法は該当の項目を選択してから、「全般」→「実装」に記載されています。
セキュアスコアで記載されている内容は、今回検証した内容では全て Teams 管理センター の会議ポリシーから設定が出来ます。
<Microsoft 365 Defender ポータル>
<Microsoft Teams 管理センター>
Teams 会議でのプレゼンテーションを許可するユーザーを構成する
こちらは Teams 会議で画面共有等をするユーザーを制限するか否かの設定となります。
具体的には、「発表者」の権限を与えられたユーザーのみが画面共有などを行えるようになります。
会議ごとに主催者が発表者を選択する必要はありますが、これにより、想定外の人物がコンテンツの共有をしてしまい、情報が漏洩するといったリスクを軽減できます。
社外との会議が多い組織や、1対多のようなミーティングの多い組織におすすめの設定です。
招待されたユーザーのみが Teams 会議に自動的に入室を許可されます
会議に直接入室するユーザーと、一度ロビーで待機するユーザーの設定です。
「全員」「組織内のユーザー」等々いくつかの選択肢がありますが、セキュアスコアのポイントとして反映されるのは「招待されたユーザー」となります。
この設定を有効にすることで、組織内外問わず予期せぬのユーザーの入室を防ぐ効果があります。
セキュリティの面からも心理的な面からも有効にしておくことをおすすめします。
匿名ユーザーの会議への参加を制限する
匿名ユーザー(=認証されていないユーザー)が会議に参加することを制限するか否かの設定です。
「匿名ユーザーが会議に参加できます」をオフにすることによって認証されたユーザーのみがTeams 会議に参加できるようになり、セキュリティが向上します。
ただし、B to C 企業や、Teams を利用していないユーザーにとって不便になる場合があると思いますので、各所と相談の上で設定することをおすすめします。
匿名ユーザーによる Teams 会議の開始を制限する
匿名ユーザー以外のユーザーが入室していない状態でも匿名ユーザーが会議を開始できるようにするか否かの設定となります。
匿名ユーザーが会議を開始できる、という観点のみでセキュリティ的な善悪を判断するのは難しいのですが、個人的には信頼できるユーザーが開始した上で匿名ユーザーが参加したほうがなんとなく気持ち的にスッキリするな、、という気がします。
Teams 会議で外部参加者が制御できないように制限する
こちらの項目は、外部参加者に対して、Teams の画面共有時、遠隔操作をさせるか否かの項目となります。
基本的に操作される側が「許可」を押さない限りは操作を要求されても操作されることはありませんが、
もし制御を渡した際は操作側が自由にファイルを閲覧したり、操作をしたり出来るといった状態になりますので、想定外の操作をされて情報漏洩する等と言った重大インシデントに繋がりかねない操作となりますので、万が一のことを考え、外部参加者は制御できないように設定しておくことをおすすめします。
ダイヤルイン ユーザーが会議ロビーをバイパスできないように制限する
ダイヤルインユーザーはアプリによる認証なく参加できるユーザーとなりますので、
設定された番号を知っているユーザーであれば誰でも参加可能な状態となります。
その為、誰でも会議に参加できる状態を避け、会議ロビーを通り、許可されたユーザーだけが入室できるように設定することをおすすめします。
まとめ
セキュアスコアの中でも Teams に焦点を当ててご紹介しましたが、これ以外にもセキュアスコアの項目には様々なものがあります。
セキュアスコアのポイントを確認し、設定を適切に調整することで、情報漏洩やセキュリティリスクを軽減できます。ただし、設定を適用する前に、組織のニーズと適用範囲を検討する必要があります。セキュリティと利便性のバランスを取りながら、Microsoft365 を最適に活用していきましょう!