Teamsの共有チャネルを運用目線で検証してみる
はじめに
Teamsの共有チャネルの機能がリリースされてからしばらく経ちましたが、実運用で利用している組織はどれくらいあるのでしょうか?
以前まではゲストアクセス機能により、テナントを切り替えることで他組織とユーザーとコラボレーションできていましたが、「通知に気づきにくい」・「テナントを切り替えるのが面倒くさい」とslackの外部組織とのコラボレーション機能と比べると劣っていました(小声)。
共有チャネルにより外部組織とのコラボレーションの利便性が向上に期待できる一方、未知な部分もあるので運用時に出てきそうな疑問を検証してみました。
※2023年1月時点での情報です
ライセンス
Azure AD Premium P1ライセンスが両方のテナントに必要です。
事前設定
Teamsの共有チャネルを利用するには、Microsoft 365 グループ・Teams・Azure ADの事前設定が必要になります。
Microsoft 365 グループ組織設定
Microsoft 365管理センター > 設定 > 組織設定 > サービス > Microsoft 365 グループのゲスト設定を有効にする必要があります。
※既定で有効
Guest settings for Microsoft 365 Groups must be enabled to use shared channels with external participants.
Teamsポリシー
Teams管理センター > チーム > Teamsポリシー > グローバルポリシーに共有チャネルを作成・参加の設定があります。
この設定項目は既定でオンになっていますが、Azure ADのクロステナントアクセスが既定でオフになっているので、ユーザーが勝手に共有チャネルを利用することはできません。
今回はすべてオンにしたまま検証をしました。
設定項目の詳細はMicrosoft Learnに記載があります。
Azure AD クロステナントアクセス
Azure AD管理センター > External Identities > テナント間アクセスに設定項目があります。
今回は詳しい設定手順については省略させてもらいます。
クラウドネイティブさんのブログを参考にしていただければ幸いです。
設定内容の画面キャプチャは記事の最後に記載します。
共有チャネル作成手順
今回は割愛させていただきます。
日本マイクロソフトのYoutubeチャンネルやJBSさんのブログが分かりやすかったです。
検証
それでは小さいものも含めていろいろ検証します。
初回接続時にアクセス許可の画面が
招待された側にアクセス許可の確認がでるので承諾してください。
新規組織と接続する1回目に現れるみたいです。
※隠している部分は招待した組織名です
グローバル管理者とかでしか承諾できなかったらいやだなー
もしかしたらTeamsの外部ドメインの設定のせいかもしれません。
外部組織のドメインを許可することでアクセス許可が要求されないかも。
外部組織ユーザーはチーム名を確認できる?
確認できます。
ユーザーとして招待すると、外部組織ユーザーのTeamsのタブにチーム名とチャネル名が表示されます。
チームとして招待するとチャネルを管理する項目で確認できます。
変な名前は付けないようにしましょう。
ステータス・ステータスメッセージ確認できる?
お互いの組織で外部アクセスが許可されていれば確認できます。
外部アクセスが無効化されていれば確認できません。
自組織のユーザー
他組織のユーザー
遅くまでお仕事している方、ご安心ください。。。
チャネル間違えたときデータ漏洩しそう
チャット入力欄の上に外部組織が含まれていると知らせてくれるポップアップがあります。
共有チャネルに自組織のユーザーしかいない場合は表示されません
もっと厳密にやるとするとDLPが考えられます。
チームAに共有チャネルがある場合、チームBに共有したとしてもチームAのDLPが適用されます。
個別チャットできる?
お互いの組織で外部アクセスが許可されていればできます。
外部アクセスが無効化されていればできません。
エラーになります
チャネル会議は利用できる?
利用できます。
メッセージ機能も利用できました。
プライベートチャネルを出席者なしで予約してもチャネル参加者に会議案内メールはとばず、自組織のユーザーの予定表にも反映されません。
共有チャネルのメンバー統廃合はだれができる?
共有チャネルの所有者ができます。
共有チャネルの所有者ではないチームの所有者はメンバーを統廃合できないのでご注意ください。
共有チャネルを招待・参加できるユーザー・グループは制限できる?
できます。
Azure ADのクロステナントアクセスとTeamsポリシーで設定できます。
| 項目 | 説明 |
|---|---|
| 受信設定 | 自組織の共有チャネルに参加できる外部組織のユーザー・グループを制限 |
| 送信設定 | 外部組織の共有チャネルに参加できる自組織のユーザー・グループを制限 |
日本語が分かりにくいですが、受信設定で外部組織の誰を受け入れるか、送信設定で自組織の誰を外部組織に送り出すか。
Teamsポリシーは、グローバルポリシーとは別のカスタムポリシーを作成し、ユーザー・グループに割り当てることができます。
グローバルポリシーは共有チャネルの利用は禁止しておいて、カスタムポリシーは利用を許可することで実現できそうですが、あまりやりすぎると管理が大変なのでほどほどに。。
ユーザー・ゲストオブジェクトは作成される?
作成されません。
ただし、サインインログにはきちんと残ります。
サインインログに残る ≒ 条件付きアクセスを適用できるので、ユーザーの選択で「B2B直接接続ユーザー」を選択することでMFAを要求することもできます。(プレビュー機能)
※検証してみました!
招待したテナントと招待されたテナント両方のサインインログに残ります。良いですね。
ゲストユーザーは共有チャネルに参加できますか?
参加できません。
既存のゲストユーザーを共有チャネルに招待したいとなった場合、共有チャネルのメンバーとして別途招待しましょう。
チームにはゲストとして参加している状態で、同チーム内の共有チャネルにも外部組織のメンバーとして参加できました。
移行の手間はかからなさそうで良かったです。
職場アカウントを持っていないアカウントは共有チャネル利用可能?
利用できません。
ゲストアカウントとして招待する必要があります。
外部コラボレーションでドメインの制限してるんだけど?
影響しません。
共有チャネルはゲストユーザーと関係のない設定になるので、許可しているドメイン以外の外部組織のユーザーも共有チャネルのメンバーとして招待できます。
ゲストユーザーとして招待できるドメインを制限している組織は多いと思います。
Azure AD管理センター > External Identities > 外部コラボレーションの設定
招待した側のSharePointサイトやOneDriveの共有リンクにアクセス可能?
外部共有設定が「すべてのユーザー」であれば共有リンクでアクセスできます。
「すべてのユーザー」以外だと、ゲストユーザーではないのでアクセスできません。
共有チャネルに紐づいたSharePointサイト以外アクセスできないよね?
アクセスできません。
外部組織の招待されたユーザーで共有チャネルに紐づいたサイトにアクセスしてみます。
親チームをクリックしてもチーム内の他のチャネルに紐づいたサイトのドキュメントにはアクセスできません。
よくわからないエラーメッセージ
図解するとこんな感じです。
チーム外のメンバーを共有チャネルにアクセスさせるには?
共有チャネルのメンバーとして追加することでチームメンバーでなくても共有チャネルにアクセスできます。
ただし、チーム内のメンバーではないのでチームサイトにはアクセスできません。
チーム内のメンバーは共有チャネルにアクセスできる?
共有チャネルのメンバーでないとアクセスできません。
ただし、共有チャネル作成時に「このチーム全員と共有する」にチェックを入れて作成すると、共有チャネルのメンバーではないチーム内のメンバーも、共有チャネルや共有チャネルに紐づいたサイトにアクセスできます。
※ユーザーは「チーム内のメンバーであるが、共有チャネルのメンバーではない」です。
あとからチームに参加したユーザーもアクセスできました
チェックを外して作成すると、チーム内のメンバーであっても共有チャネルとチャネルに紐づいたサイトを表示できません。
※下記キャプチャでは、株式会社B社様チャネルはチェックを外して作成しているので、チーム内のメンバーで共有チャネルのメンバーではないメンバーは、株式会社B社様チャネルが表示されていません。
チームサイトと共有チャネルに紐づいたサイトは地理的に同じデータセンターにあり、共有チャネルに紐づいたサイトにアクセスするには共有チャネルのメンバーである必要があると記載されているのですが。。。これにチェックをいれても共有チャネルのメンバーにはなっていません。
チームメンバー全員が共有チャネルに参加する必要がある場合は手間が省けますが、チェックボックスの設定項目はGUIでは設定変更ができないので、初期導入時はこの項目に気を付けてください。
チェックボックスの項目はTeamsアプリのチャネル設定で変更できました。
共有チャネルのメンバーにグループが追加されることで、チェックを入れることでチーム内のメンバーが共有チャネルにアクセスできる仕組みのようです。
ここからチームに共有することでTeamsの項目に増える。Teamじゃないのがややこしい。
今回のケースでもチームのゲストは共有チャネルにアクセスできませんでした。
そもそもゲストは共有チャネルにアクセスできないように内部的に処理されているかもしれません。
自分が所有者のチームを招待した時の考慮点は?
招待したチームのメンバーが共有チャネルに紐づいたサイトにアクセスできます。
※共有チャネルのメンバーではありません。
嫌な予感はした
外部組織のチームをチームとして招待した時の考慮点は?
外部組織のチームのメンバーは共有チャネルのメンバーに自動で割り当たらないので、外部組織のユーザーは共有チャネルに紐づいたサイトのファイルにアクセスできません。
外部組織のユーザーを共有チャネルのメンバーに全員加える必要があります。(招待した側が)
「招待するユーザーが多いときにチームに招待できると便利!!」と思ったけど、あと一歩。
管理者が共有チャネルの実態を確認できる?
招待した側のTeams管理センターでは、特定のチームの共有チャネル内のメンバーを確認できます。
※外部組織のメンバーは「(External)」のフラグが立ってます。
一方で、招待された側のTeams管理センターでは、「(外部)」のフラグが立った共有チャネルの存在は確認できますが、メンバーは確認できません(自組織のメンバーだけでも確認できればいいのに。PowerShellでいけるのかな?)
棚卸にはAzureADのアクセスレビュー(AAD Premium P2)や最終ログイン日などを活用できそうです。
招待した側のテナントに資産があるので、招待した側のテナントがしっかり管理しましょう。
おわりに
やり始めたらいろいろでてきた。。。
共有チャネルを利用しようとしている方に少しでも役に立てば幸いです。
共有チャネルの条件付きアクセスもまとめてみました。
設定項目(おまけ)
既定設定
受信設定 B2Bコラボレーション
受信設定 直接接続 ユーザーとグループ
受信設定 直接接続 外部アプリケーション
送信設定 B2Bコラボレーション
送信設定 直接接続 ユーザーとグループ
送信設定 直接接続 外部アプリケーション
Discussion