1つ前のページで説明した利用者の本人確認(認証)が終わった後、次のステップが承認です。
承認とは、メール・ファイル・アプリ・管理設定などのリソースへのアクセスを「許可する・しない」を決める仕組みです。
承認を適切に設定することで、ユーザーは仕事に必要なデータやツールだけにアクセスでき、それ以上の操作はできなくなります。
Microsoft 365 では、管理者が状況に応じて承認の方法を使い分けます。
たとえば、管理者には「役割」に応じた操作権限を与え、一般ユーザーには「ファイルやサイトごと」にアクセス許可を設定します。
社外からのアクセスや、管理されていない端末からの接続など、リスクが高い状況では、追加の制限をかけることもできます。
また、管理者はグループ単位でアクセス許可をまとめて割り当てることで、手間を減らしながら一貫性を保てます。
Microsoft 365 での承認
承認は、以下に基づいて、サービス・データ・操作へのアクセスを制御する仕組みです。
- 割り当てられた役割
- アクセス許可
- グループへの所属
- リソース固有の設定
基本的な考え方は「最小限の特権の原則」、つまりユーザーは意図した内容だけを見たり操作したりでき、それ以上はできないようにすることです。
Microsoft 365 では、承認の方法として主に以下の2つがあります。
① 役割によるアクセス制御(管理者向け)
担当に応じた役割を割り当てることで、その役割の範囲内の設定や操作だけができます。
役割は Microsoft Entra ID に組み込まれており、主な例は以下の通りです。
| 担当名 | 役割 |
|---|---|
| 全体管理者 | すべての設定・サービスを操作できる。信頼できる少数の人に限定する |
| Exchange 管理者 | メール関連の管理 |
| SharePoint 管理者 | ファイル共有サイトの管理 |
| Teams 管理者 | Teams の管理 |
| ユーザー管理者 | 利用者アカウントの管理 |
役割ごとに操作できる範囲が明確に定義されており、必要に応じてカスタム役割を作ることもできます。
② グループ・リソース固有のアクセス制御(一般利用者向け)
一般ユーザーのアクセスは、グループへの所属や、特定のリソースに対するアクセス許可によって決まります。
ここで重要なのは、このアクセス権が「管理者ロール(例:全体管理者)」とは別の仕組みであるという点です。
つまり、管理者でなくても、特定のファイルやサイトに対して「読み取り」「編集」「管理」といった操作権限を持つことができます。
たとえば、Microsoft 365 グループのメンバーとして追加されたユーザーは、Outlook の共有メールボックスや予定表、SharePoint サイト、Planner のボードなど、そのグループの共有リソースにアクセスできるようになります。
特に SharePoint は「リソース固有のアクセス許可」を設定できる代表的なサービスです。サイト、ドキュメントライブラリ、フォルダー、ファイルといった複数の階層でアクセス許可を設定でき、次のような組み込みロールが用意されています。
- ビジター:読み取り専用
- メンバー:編集可能
- 所有者:すべての操作が可能
例として、「Marketing Team」グループのメンバーである Sarah さんは、そのチームの SharePoint サイトを編集できます。
一方、「イベント計画」サイトにはビジターとして登録されているため、閲覧はできますが、編集やファイルのアップロードは行えません。
つまり、ユーザーのアクセス権はグループやリソースごとに個別に設定され、同じユーザーでも操作範囲が異なることがあります。
高度な承認シナリオ
ここまで説明した「役割によるアクセス制御」と「グループ・リソース固有のアクセス制御」は、承認の基本的な方法です。
これらを土台として、より複雑な状況に対応するのが高度な承認シナリオです。
① 条件付きアクセス
高度な承認の中でも特に強力な仕組みです。
サインインのリスク・端末の状態・ユーザーの場所・アクセスするデータの機密性などの条件に応じて、アクセスの制限を動的に適用します。
たとえば以下のような設定が可能です。
- 個人の端末から財務データにアクセスする場合は、追加の本人確認(MFA)を求める
- 社外の場所からサインインする場合は、SharePoint へのアクセスを完全にブロックする
② 特権 ID 管理(PIM)
管理者役割への「必要なときだけ」のアクセス(Just-In-Time アクセス)を実現する仕組みです。
昇格した権限を保持できる期間を制限することで、権限の悪用や攻撃のリスクを減らします。
たとえば、IT 管理者が特定の作業のために Exchange 管理者役割を一時的に申請し、承認された時間が終わるとシステムが自動でアクセスを削除します。
管理者が常に強い権限を持ち続ける状態を防げます。
③ アクセスパッケージ
複数のリソースへのアクセス許可を一まとめにして、承認の手続き(ワークフロー)を通じて割り当てる仕組みです。
特定のアプリ・Teams・SharePoint サイトに期間限定でアクセスが必要な新入社員や外部の協力者を受け入れる際に特に役立ちます。
④ 秘密度ラベル
アクセスが許可された後でも、機密文書の印刷・コピー・転送などの操作を制限できます。
ラベルはドキュメント自体に適用されるため、保存場所や開こうとするユーザーに関係なく、制限が常に有効です。
これらを組み合わせることで、単純な「許可する・しない」の判断を超えた、状況に応じた細かいアクセス制御が実現できます。
これはゼロトラストと呼ばれる考え方、つまり「常に確認し、必要最小限だけ許可する」という原則に沿ったアプローチです。
アクセス管理を動かすのは「ユーザー」と「グループ」
Microsoft 365 のアクセス管理は、ユーザーとグループという2つの仕組みを使って実際に運用します。
この2つは「主要なセキュリティオブジェクト」と呼ばれ、アプリ・サービス・データへのアクセスを管理するための中心的な存在です。
管理者はこれらの仕組みと、各種類を使うタイミングを理解することが、安全で効率的なアクセス管理の土台となります。
ユーザーとは
ユーザーは個人の身元を表すもので、ユーザー名(ユーザープリンシパル名・UPN とも呼ぶ)・資格情報・ライセンス・割り当てられた役割・グループへの所属などの情報を持ちます。
社内の従業員だけでなく、外部の協力者(ゲスト)・自動処理用のアカウント・システムが自動生成したアカウントなども含まれます。
役職・部署・オフィスの場所・上長などの属性情報を使って、管理を整理したり自動化したりすることもできます。
5種類のグループ
個人ひとりひとりにアクセス許可を設定すると、手間がかかるだけでなく、設定のばらつきやミスが起きやすくなります。
グループ単位でまとめて管理することで、一貫性が高まり、入退社・異動の際の手続きも大幅に楽になります。
ただし、グループには5種類あり、用途がそれぞれ異なります。
種類を間違えると意図した管理ができないため、どの場面でどのグループを使うかを理解することが重要です。
① セキュリティグループ
SharePoint・Teams・Exchange・条件付きアクセスなど、リソースへのアクセス制御だけを目的としたグループです。
グループ自体にはメールボックスや予定表は作られません。
たとえば「Finance Read Only」グループに追加すると、特定の SharePoint ライブラリを閲覧できるようになりますが、グループ宛てにメールを送ることはできません。
② Microsoft 365 グループ
チーム作業全般を支えるグループです。グループを作成すると、以下のリソースが自動でまとめて作られます。
- Outlook の共有メールボックス
- グループ予定表
- ファイル共有用の SharePoint ドキュメントライブラリ
- タスク管理用の Planner ボード
- 任意で接続できる Teams のワークスペース
たとえば「マーケティングチーム」グループを作成すると、共有メールボックス・キャンペーン用の予定表・SharePoint サイト・Planner ボード・Teams が自動でリンクされ、すぐに使える状態になります。
メンバーを追加するだけで、これらすべてのリソースへのアクセスが自動で付与されます。
③ メール対応セキュリティグループ
セキュリティグループと同じようにアクセス制御ができ、さらにグループ宛てのメールをメンバー全員が受け取れます。
たとえば「Finance Managers」グループは、予算 SharePoint サイトへの編集権限を持ちながら、毎月の財務報告をメールで受け取ることができます。
④ 配布グループ
メールの一斉送信だけを目的としたグループです。アクセス制御には使えません。たとえば人事部が全社員に通知を送る「会社のお知らせ」グループがこれにあたります。
⑤ 動的グループ
部署・役職・オフィスの場所など、ユーザーの属性情報に基づいて、メンバーが自動で追加・削除されるグループです。
たとえば「部署=営業」という条件を設定すると、部署が変わったタイミングで自動的にグループへの追加・削除が行われます。管理者が手動で操作する必要はありません。
動的グループは、セキュリティグループとしても Microsoft 365 グループとしても作成できます。
ただし、メンバーの追加・削除は属性情報だけに基づくため、個人を手動で追加・削除することはできません。人の入れ替わりが多い大規模な組織で特に役立ちます。
以上の5種類を正しく使い分けることが、アクセス管理の土台となります。
次に、これらのグループを実際に作成・運用するためのツールを見ていきます。
グループ管理のツール
管理者はニーズと専門知識のレベルに応じて、以下の3種類のツールを使い分けます。
① Microsoft 365 管理センター
グループの作成・メンバーの追加や削除・設定の変更など、日常的な作業に向いています。
画面操作で完結するため、小〜中規模の環境や、基本的な管理作業を行う担当者に最適です。
② Microsoft Entra 管理センター
より高度な管理が必要な場面で使います。
動的グループのルール設定・条件付きアクセスの適用・サインイン履歴や監査ログの確認などができます。
複雑なセキュリティ要件を持つ組織や、複数の環境をまたぐ管理に向いています。
③ PowerShell・Microsoft Graph API
大量の変更処理や、他システムとの自動連携が必要な場面で使います。
たとえば、PowerShell を使うとユーザーの一覧を1回の操作でセキュリティグループに追加でき、時間の節約とミスの防止につながります。
また Microsoft Graph を使って人事システムと連携すると、誰かが部署に参加・退職したタイミングで、グループへの追加・削除が手動の操作なしで自動的に行われます。
グループを正しく使うことの意味
個人ひとりひとりにアクセス許可を設定すると、設定のばらつきやギャップが生まれ、セキュリティ上のリスクにつながります。
グループ単位で管理することで、こうした問題を防ぎながら、大規模なアクセス管理を一貫して行えます。
たとえば「Marketing Team」グループに新しいメンバーを追加すると、共有メールボックス・予定表・SharePoint サイト・Planner ボードへのアクセスが自動で付与されます。
グループを離れると、これらすべてのアクセスが自動で取り消されます。
退職者のアクセス権が残り続けるリスクを防ぐことにもつながります。
運用上の基本として、グループは以下のような業務の単位に合わせて作ることが推奨されています。
- 部署単位:「Finance Team」「HR Staff」など、機密データや特定のアプリへのアクセスを管理する
- プロジェクト単位:「Product Launch Q1」など、期間限定で複数の部署をまたいだ作業をする
- 属性連動:動的グループを使い、「部署=営業」などの条件でメンバーを自動管理する
グループの構造を丁寧に設計し、メンバーシップを常に最新の状態に保つことで、Microsoft 365 上に安全でスケーラブルな管理の仕組みを構築できます。
まとめ
Microsoft 365 のアクセス管理の核心は、「必要な人に・必要なものだけを・必要な期間だけ」許可するという考え方です。
役割・グループ・条件付きアクセスを組み合わせることで、この原則を組織全体で一貫して実現できます。
グループを業務の単位に合わせて設計し、メンバーシップを最新の状態に保つことが、安全でスケーラブルな環境づくりの第一歩です。
参考URL
https://learn.microsoft.com/ja-jp/microsoft-365/admin/misc/microsoft-365-admin-overview
https://learn.microsoft.com/ja-jp/entra/identity/role-based-access-control/m365-workload-docs
https://learn.microsoft.com/ja-jp/microsoft-365/admin/create-groups/office-365-groups
https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/overview
https://learn.microsoft.com/ja-jp/entra/id-governance/privileged-identity-management/pim-configure