Microsoft 365を組織で安全かつ効率的に運用するには、「誰がどのサービスやデータにアクセスできるのか」を明確に管理することが不可欠です。今回は、ユーザー管理とアクセス権限の基本的な考え方や、管理者として知っておくべきポイントについて解説します。

ユーザー管理の基本概念

Microsoft 365における「ユーザー管理」とは、組織内のメンバー一人一人に、必要なサービスやデータへのアクセス権限を適切に付与し、ライフサイクル全体を通じて管理することを指します。購入したプランのライセンスをユーザーに割り当てることによって、そのユーザーはプランのサービスを利用できるようになります。

ユーザーアカウントは、メール、ファイル共有、コラボレーションなど、多様なクラウドサービスの利用権限をひもづける「鍵」となります。

ユーザーアカウントのライフサイクル

ユーザーアカウントは、「登録」「運用」「停止・削除」といった3つのステップによるライフサイクルの下で利用されます。

(1)登録(オンボーディング)
新入社員や異動者など、組織に新たに加わるメンバーに対してアカウントを作成し、必要なライセンスや権限を割り当てます。

(2)運用(メンテナンス)
役職や所属の変更に応じて、権限やグループの見直しを行います。

(3)停止・削除(オフボーディング)
退職や異動などで組織から離れる際には、アカウントの無効化や削除を速やかに行い、情報漏洩リスクを抑えます。

なお、特定のデータや文書が特定のユーザーにのみアクセス権が与えられていた場合、そのユーザーを削除するとデータや文書へのアクセス管理が困難になります。不要になったユーザーはいきなり削除せずに、念のため、引継ぎが終了するまでは無効にしておき、一定期間経過観察してから削除するのがいいでしょう。

  • Microsoft 365管理センターのユーザー管理画面の例

ユーザー管理の重要性

ユーザー管理は、情報セキュリティやコンプライアンスの観点からも極めて重要です。ユーザーの不適切な管理は、不正アクセスや情報漏洩の原因となります。また、組織の規模が大きくなるほど、管理ミスや作業漏れが発生しやすくなるため、体系的な管理が求められます。

Microsoft 365のユーザー管理、アクセス権管理、資源管理には、Entra IDが使用されます。Entra IDはクラウドサービスに特化したActive Directoryで、以前はAzure Active Directory(AAD)と呼ばれていました。

Microsoft 365の管理画面であるMicrosoft 365管理センターで、基本的なユーザー管理を簡単に行えます。さらに詳細な管理については、Microsoft 365管理センターからMicrosoft Entra管理センターを開きます。

管理専用ユーザーアカウント
Microsoft 365では契約しているライセンス数に関係なくユーザーを作成できます。また、ユーザーに必ずしもライセンスを割り当てる必要はありません。一方で、ユーザーの権限の設定はライセンスとは関係なく設定できます。

したがって、「あるユーザーを作成し、そのユーザーにライセンスを割り当てない、しかしテナントの管理権限を設定する」ということもできます。この場合、このユーザーはプランのサービス(ExcelやWord、メール送受信、Teamsなど)を使うことはできませんが、Microsoft 365管理センターでテナント管理やユーザー管理を行える、管理専用ユーザーとなります。

セキュリティ上、日常業務を行う通常使用のユーザーと管理者は分離した方が好ましいため、このように管理権限を持ちながらもライセンスを割り当てない管理専用ユーザーを作成しておくといいでしょう。

また、管理者が1ユーザーしかない場合、万が一、そのユーザーでMicrosoft 365テナントにサインインできなくなると致命的なトラブルになります。万が一に備えて、同じパスワードや多要素認証を共有しない別の管理者ユーザーをあらかじめ作成しておくといいでしょう。

グループ管理の基本

Microsoft 365では、ユーザーを「グループ」単位でまとめて管理することで、効率的にアクセス権限やメール配信、ファイル共有などを制御できます。グループには主に「配布グループ」「セキュリティグループ」「Microsoft 365グループ」の3種類があり、それぞれ用途が異なります。

配布グループ

メールの一斉送信など、情報共有を目的としたグループです。権限管理には直接関与しません。メーリングリストのようなものと考えてください。

セキュリティグループ

ファイルやサイトへのアクセス権限をまとめて付与するためのグループです。セキュリティポリシーをグループ単位で適用できます。

Microsoft 365グループ

TeamsやSharePointなど、コラボレーションサービスと連携したグループです。メンバーは自動的に関連サービスの権限を獲得します。Teamsでチームを作成すると自動的にMicrosoft 365グループが作成されますし、Microsoft 365グループを作成すると自動的にTeamsのチームが作成されます。

グループ管理の目的は、ユーザー個々に権限を付与する手間を省き、管理負荷を軽減することです。組織の構造や業務プロセスに合わせてグループを作成し、メンバーの追加・削除を柔軟に行うことで、権限の一元管理や業務効率化が実現できます。

また、グループの所有者(管理者)を明確にすることで、日常的なメンバー管理を現場に委ねることもできます。グループ管理は、組織の成長や変化に柔軟に対応するための基盤となります。

  • Microsoft 365管理センターのMicrosoft 365グループの管理画面の例

アクセス権限の基本的な考え方

アクセス権限とは、「誰がどのリソース(ファイル、メール、サイトなど)をどのように操作できるか」を定義するものです。Microsoft 365では、ユーザーやグループに対して、閲覧・編集・管理など、さまざまな権限レベルを設定できます。

以下、権限管理の原則のポイントになります。

最小権限の原則

ユーザーには、業務上必要な最低限の権限のみを付与します。過剰な権限は、情報漏洩や誤操作のリスクを高めます。

グループ単位での権限付与

権限はできるだけグループ単位で付与し、個別ユーザーへの直接付与は避けます。これにより、管理の効率化と権限の一元化が図れます。

権限の継承と例外

グループに権限を付与すると、そのメンバー全員に権限が継承されます。ただし、特別な事情がある場合は、個別に権限を付与することも可能です。

権限のライフサイクル

権限は、ユーザーの役職や業務内容の変化に応じて見直しが必要です。異動や退職時には、速やかに権限の変更や取り消しを行い、不要なアクセスを遮断することが重要です。また、プロジェクト単位で一時的な権限を付与する場合も、プロジェクト終了時に確実に権限を解除する運用が求められます。

セキュリティの基本:パスワードポリシーと多要素認証

Microsoft 365におけるセキュリティの基本はパスワードポリシーと多要素認証です。以下、それぞれのポイントを紹介します。

パスワードポリシーの意義

Microsoft 365を安全に運用するには、強固なパスワードポリシーの設定が不可欠です。パスワードは、英数字・記号を組み合わせた複雑なものを推奨し、定期的な変更や再利用の禁止など、組織のセキュリティ基準に合わせて設定します。

パスワードポリシーは、不正アクセスやアカウント乗っ取りのリスクを低減するための基本的な対策です。特に管理者アカウントや機密情報にアクセスするユーザーには、より厳格なポリシーを適用することが推奨されます。

多要素認証の導入意義

パスワードだけでは防ぎきれないセキュリティリスクに対応するため、多要素認証(MFA:Multi-Factor Authentication)の導入が重要です。多要素認証は、パスワードに加えてスマートフォンへの通知や認証アプリによる確認など、2つ以上の認証要素を要求することで、アカウントの安全性を大幅に高めます。

多要素認証は、特に管理者アカウントや外部からのアクセスが多いユーザーに対して必須化することが推奨されます。導入により、パスワード漏洩時のリスクを低減し、組織全体のセキュリティレベルを向上させることができます。

  • Microsoft Entra管理センターの認証方式設定画面の例

Microsoft 365の多要素認証には、「Microsoft 365以外のメールアドレスを使う」「電話番号を使う」「携帯電話のSMSを使う」「スマートフォンの認証アプリ(Microsoft Authenticator)を使う」などの方法がありますが、基本的にユーザーごとに使用しているスマートフォンを前提とした認証方法です。

Microsoft 365のサインインは現在、多要素認証が既定の設定となっていることが多いです。管理者がユーザーアカウントを作成した時点ではパスワードを設定するだけで済みますが、ユーザーが初めてサインインしたときに、電話番号や他メールアドレスなど、多要素認証の設定を促されます。

そのため、組織のユーザーにスマートフォンを支給するか、あるいは組織のユーザーの個人所有のスマートフォンをMicrosoft 365サインイン時の多要素認証に利用させるか、いずれにせよ、組織内のスマートフォンの利用に関するルール決めが必要になります。

  • スマートフォン(Android、iOS)向けのアプリMicrosoft Authenticatorの画面。Microsoft 365のEntra IDと連携し、サインイン時にスマートフォンの認証機能(ワンタイムパスワードや顔認証、指紋認証など)を併用する。なお、Microsoft AuthenticatorはMicrosoft 365だけでなく、さまざまなオンライン認証に利用できる。名札のアイコンのユーザーはEntra IDのユーザーを意味し、人物のアイコンのユーザーは無料の個人向けMicrosoftアカウントを意味する

管理者としての心構え

最後に、Microsoft 365のユーザー管理とアクセス権限における管理者としての心構えについてまとめてみました。

ユーザー管理とアクセス権限は組織の根幹

Microsoft 365のユーザー管理とアクセス権限は、単なる事務作業ではなく、組織の情報セキュリティや業務効率に直結する重要な業務です。管理者は、ユーザーのライフサイクルや業務内容の変化に敏感に対応し、権限の過不足がないよう常に意識する必要があります。

継続的な見直しと改善

ユーザー管理や権限設定は、一度設定したら終わりではありません。組織の変化やセキュリティ脅威の進化に合わせて、定期的に見直しと改善を行うことが求められます。また、グループ管理や権限付与のルールを明確にし、属人化を防ぐことも重要です。

情報セキュリティの意識向上

管理者は、ユーザーに対して情報セキュリティの重要性を周知し、パスワード管理やMFAの徹底を促す役割も担います。組織全体でセキュリティ意識を高めることで、Microsoft 365の安全な運用が実現します。

まとめ Microsoft 365のユーザー管理とアクセス権限は、組織の情報セキュリティと業務効率を支える基盤です。ユーザーアカウントのライフサイクル管理、グループ単位での効率的な権限付与、最小権限の原則、パスワードポリシーや多要素認証の導入など、管理者として押さえるべき基本的な考え方を理解し、実践することが重要です。