なぜ「Microsoft 365」の管理はややこしくなる？　原因と対処法：「Microsoft 365」フル活用のための管理術【前編】

「Microsoft 365」は、管理が複雑化する場合がある。複数の管理ポータルをうまく使いこなし、そうした問題を回避する方法を紹介する。

≫ 2024年07月31日 05時00分公開

なぜMicrosoft 365の管理は複雑になるのか

併せて読みたいお薦め記事

Microsoft 365運用のヒント

　Microsoft 365の管理が複雑になるのは、オンプレミスのID・アクセス管理システム「Active Directory」（以下AD）と、ADのクラウドサービス版「Microsoft Entra ID」（旧「Azure Active Directory」、以下Entra ID）が相互に影響し合うためだ。一方で設定を変更すると、もう一方に影響を与えることがあり、ライセンスの割り当てやパスワードのリセットなどが煩雑になる恐れがある。

　ADとEntra IDの設定を変更する際は、潜在的な影響を理解しておくことが重要だ。Microsoft 365でシングルサインオン（SSO）を実現するには、エンドユーザーの情報をADとEntra IDの間で同期しておく必要がある。しかし同期をすることで、どちらかにメインのユーザーアカウントがあり、もう一方にもアカウントが存在する状態になるため、ユーザー管理が難しくなる。

　原則としてMicrosoft 365のライセンスはADではなくEntra IDで割り当てる必要がある一方で、パスワードのリセットはオンプレミスとクラウドサービスの両方で実行できる点にも注意しなければならない。こうした使い分けは、アカウントロックを引き起こす恐れがある。

　Microsoftが複数の管理方法を提供していることは、アカウント管理を複雑にする。ADとEntra IDにアカウントが併存することで生じる問題を回避するためにも、それぞれにおけるライセンス管理方法を理解し、効果的に活用する必要がある。

Microsoft 365におけるライセンス管理

　ライセンスの追加や変更、削除、使用状況の監視などがMicrosoft 365管理者の主な業務だ。管理者は以下のいずれかのポータルサイトまたはツールを活用し、エンドユーザーにライセンスを割り当てる必要がある。

Microsoft 365管理センター
Microsoft Entra管理センター
クラウドサービス群「Microsoft Azure」管理ポータル内のEntra ID管理画面
コマンド実行ツール「PowerShell」
コマンドラインツール「Azureコマンドラインインターフェイス」
API（アプリケーションプログラミングインタフェース）群「Microsoft Graph」

　ライセンス管理方法としては、個々のエンドユーザーに直接ライセンスを割り当てる「手動割り当て」と、グループ内のエンドユーザーにライセンスを割り当てる「グループ割り当て」がある。標準ライセンスの場合は手動割り当てしか選べないが、Microsoft Entra IDのプレミアムライセンスを契約していれば、グループ割り当ても利用可能だ。

　グループ割り当てでは、エンドユーザーをグループに追加すると、そのグループに関連付けられているライセンスをエンドユーザーに対して自動的に付与できる。逆にエンドユーザーをグループから削除すると、同じライセンスを持つ別のグループに属していない限り、対応するライセンスも自動的に失効する。

　Microsoft Entra IDには「動的メンバーシップ」という機能もある。これは管理者が部署や場所、役職といったユーザー属性に基づいてルールを定義しておくと、エンドユーザーを自動的にグループに追加、削除する機能だ。例えば営業部門の全てのエンドユーザーを特定のグループのメンバーにするルールを作成すると、営業部門に追加された新しいエンドユーザーに、グループのルールを自動で適用する。

　動的メンバーシップは、大規模な企業の管理者がライセンス管理を効率化する際に役立つ。エンドユーザーに個別にライセンスを割り当てる労力の軽減や、ヒューマンエラーの抑制につながる。

アプリケーション固有の設定を管理する方法

　一部のMicrosoft 365のアプリケーションは、オンラインストレージ「OneDrive for Business」や社内ポータルサイト構築ツール「SharePoint Online」と連携している。これによって、エンドユーザーによるOneDrive for BusinessやSharePoint Onlineへのアクセス権を容易に追加、管理できる。ただし特定の設定変更が全てのアプリケーションに影響を与えるわけではない。SharePoint Onlineの共有設定を変更しても、メールサーバ「Microsoft Exchange Online」やその他のサービスには影響しない。一方、企業が接続を承認したドメインなどの設定は、複数のサービスに影響を与える可能性がある。

　Entra IDは、SharePoint OnlineやMicrosoft Exchange Online、コラボレーションツール「Microsoft Teams」などのアプリケーション固有の設定は対象外だ。こうしたアプリケーションは、Microsoft 365管理センターかアプリケーションごとの管理ポータルを介して設定する必要がある。

　以下、幾つかのMicrosoft 365のサービスを例に挙げ、管理ポータルを介して変更可能なユーザー設定の項目を紹介しよう。

Microsoft Exchange Online

メールボックスのアクセス許可
- エンドユーザーが自身のメールボックスにアクセスし、実行可能な操作を設定する。
モバイルデバイスメールボックスポリシー
- メールボックスにアクセスする際の、パスワードの長さやパスワードの要件といったモバイルデバイスに関する設定を実施する。

Microsoft Teams

Microsoft Teams全般に関するポリシー
- 会議、メッセージング、アプリケーションのセットアップなど、Microsoft Teamsで利用可能な機能を管理する。
ゲストユーザーのアクセス許可
- 外部のゲストユーザーが招待先のチーム内で実行できる操作を制御する。

OneDrive for Business

ストレージ容量の設定
- 各エンドユーザーが利用できるストレージの最大容量を指定する。
共有設定
- 外部へのファイルの共有可否や、共有時に使用できるリンクの種類を設定する。
同期設定
- OneDrive for Businessと同期できるデバイスを制御する。

SharePoint Online

共有設定
- SharePointサイト（SharePoint Onlineやオンプレミス版の「SharePoint」で作成したWebサイト）の共有機能を管理する。
アクセス制御
- 特定のIPアドレスからのアクセスの許可や禁止など、SharePoint Onlineへのアクセスを制御する。
外部コラボレーション設定
- 外部のエンドユーザーとコンテンツを共有する際の設定を管理する。

Exchange Onlineメールボックスの管理方法

　Exchange Onlineのメールボックスは、Microsoft 365の管理ポータルを使用して管理する。その際、重要な作業の一つが、複数のエンドユーザーが共通のメールアドレスからメールを送受信できる「共有メールボックス」の作成だ。

　共有メールボックスは、部門間やチーム内のコミュニケーションを効率化するための重要なツールだ。サポートチームがエンドユーザーからの問い合わせに対応する際、複数のチームメンバーが共有メールボックスを通じて同じメールのやりとりを参照できる。

　メールボックスへのアクセス権限の割り当ても重要な作業だ。Microsoft 365の管理ポータルを通じて、特定のメールボックスにアクセス可能なユーザーと、そのアクセスレベルを設定できる。この設定には以下の種類がある。

フルアクセス権限
- エンドユーザーはメールボックスを開き、メールやタスク、予定表といった全てのコンテンツにアクセスできる。
Send as（メールボックス所有者として送信する）権限
- エンドユーザーは共有メールボックスのアドレスからメールを送信できる。受信者には、共有メールボックスのグループがそのメールを送信したように見える。
Send on behalf（代理人として送信する）権限
- エンドユーザーは共有メールボックスのグループの代表としてメールを送信できる。受信者には、個人（グループの代表者）がそのメールを送信したように見える。

　Exchange Onlineのもう一つの重要な機能「メール転送」は、特定のメールボックスから別のメールボックスに自動でメールを転送する機能だ。企業を離れたエンドユーザーや長期休暇に入るエンドユーザーがいる場合、そのエンドユーザーに送信されたメールを別のチームメンバーの受信トレイに転送できる。

　後編は、セキュリティとコンプライアンスに関する機能を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

TechTargetジャパントップ情報系システム