Policies for Microsoft 365 ポリシー作成
① サービスレベルのポリシー作成
本例では、シャドウユーザーの削除 ルールを例に、サービスレベルのポリシー設定方法を説明します。
その他のルールは ユーザーガイド をご参照ください。
利用アカウント:Policies for Microsoft 365 の アプリケーション管理者
1.マイサービス より、[Policies for Microsoft 365] をクリックします。
2.[ポリシー] の [サービスレベル] を選択し、[ポリシーの作成] をクリックします。
3.[+最初から作成] をクリックします。
※ Microsoft 365 の各種オブジェクトの利用シナリオに応じてポリシー テンプレートも用意されています。ポリシー テンプレートにはすでにルールが適用されているため、要件次第ではテンプレートからポリシーの作成をしてただくと便利です。
4.ポリシーの作成 一般情報 画面が表示されるので、任意の設定を実行して [次へ] をクリックします。
- オブジェクト タイプ … 作成するポリシーをどのオブジェクトタイプに適応するかを選択します。本例では、シャドウユーザーの削除 を Teams に適用するため、[Microsoft チーム] を選択します。
- ポリシー名:
- 既存のポリシーからコピーする … 既存のポリシーのルールや設定を再利用する場合に選択し、コピー元となるポリシーを指定して任意のポリシー名を入力します。
- 新規ポリシーを作成する … ポリシーを新規作成する場合に選択し、任意のポリシー名を入力します。本例では、こちらを選択します。
- 説明 … 作成するポリシーに説明が必要な場合は、任意の文章を入力できます。
5.ポリシーの作成 ルール 画面が表示されるので、[ルールの追加] をクリックします。
6.Microsoft チーム用のルールの追加 画面が表示されるので、任意の設定を実行します。
本例では、シャドウユーザーの削除 ルールをポリシーに追加する際の設定を説明します。
以下の画面ショットの設定値をご参考ください。
※ 画面ショットに記載している各設定値はあくまで一例です。御社環境に応じて任意に設定してください。
そのほかのルールの追加については後述の内容をご参照ください。
- [ポリシーに追加するルールを選択します:] のプルダウンから、[シャドウ ユーザーの削除] を選択します。
- このルールにフィルターを追加する … ルールの適用対象となるオブジェクトの範囲をさらに絞り込みたい場合にチェックを入れてさらに詳細なフィルターを設定することができます。
- [ルール設定] で任意のルールを設定します。設定項目は下記を参照ください。
- 以下のユーザーを監視しません: … このオプションに追加したユーザー / グループを監視対象から除外します。
- Microsoft Entra グループのメンバーを含む … このチェックボックスを選択すると、後段の [以下のユーザーを監視しません: ] でグループを指定した場合、そのグループに所属するメンバーも監視対象から除外します。選択しない場合、そのグループのみが監視対象から除外されます。
- 以下の定義グループ内のユーザー / グループを監視しません: … このオプションで選択した定義グループに所属するユーザー / グループを監視対象から除外します。
※ 定義グループの作成方法は ユーザーガイド を参照ください。 - 社内管理者 / SharePoint サービス管理者をスキップする … このチェックボックスを選択すると、SharePoint Online の社内管理者 / SharePoint サービス管理者グループを監視対象から除外します。
※社内管理者 = グローバル管理者 ロール SharePoint サービス管理者 = SharePoint 管理者 ロール - アクセス権が共有リンクで付与されたユーザーをスキップする … このチェックボックスを選択すると、SharePoint Online のコンテンツに対して共有リンク経由で権限が付与されたユーザーを監視対象から除外します。
- [違反が識別された場合、以下のアクションを実行して違反を自動修正します:]
- サイトからポリシー外のユーザーを削除する … このチェックボックスを選択すると、Policies for Microsoft 365 が違反を自動修正します。シャドウ ユーザーの削除 の場合は、このチェックボックスを選択することで シャドウユーザーが自動的に削除されます。
※ 違反を検知するだけの場合は、チェックを外します。
※ この修正はロールバック(元に戻す)ができません。そのため、リリース前にこのポリシーを小規模のワークスペースに適用して、期待通りに動作するかどうかを十分にテストすることをお勧めします。プロジェクトのリリース時点では、このオプションは選択せず、通知のみを設定するケースが一般的です。
- サイトからポリシー外のユーザーを削除する … このチェックボックスを選択すると、Policies for Microsoft 365 が違反を自動修正します。シャドウ ユーザーの削除 の場合は、このチェックボックスを選択することで シャドウユーザーが自動的に削除されます。
- 以下のユーザーを監視しません: … このオプションに追加したユーザー / グループを監視対象から除外します。
- [以下のユーザーに違反のメール通知を送信します:] でポリシー違反時の通知先を設定します。設定項目は下記を参照ください。
- 管理者
- 特定のユーザーまたはグループを含む … このチェックボックスを選択すると、特定のユーザーやグループを指定してメール通知を送信できます。
- グループ / チームの所有者を含む … このチェックボックスを選択すると、対象のグループ/チームの所有者にメール通知を送信できます。
- 管理者用のメール テンプレートを選択します:
- 既定のメール テンプレートを使用する … このオプションを選択すると、既定の通知メールテンプレートを使用します。
- メール テンプレートを選択する … このオプションを選択すると、カスタマイズしたメールテンプレートを選択して使用します。
※ メールテンプレートの作成方法は ユーザーガイド を参照ください。
- 管理者
- [ポリシーに追加] をクリックします。
※ そのほかのルールについては、以下の画面ショットを参考に適宜ルールを追加してください。
※ 画面ショットに記載している各設定値はあくまで一例です。御社環境に応じて任意に設定してください。
7.ポリシーの作成 ルール 画面に戻るので、[次へ] をクリックします。
※ [+ ルールの追加] より、1つのポリシーに複数のルールを設定することもできます。
8.ポリシーの作成 ポリシーの割り当て 画面が表示されるので、任意の設定を実行して [次へ] をクリックします。
- フィルター … ポリシーを適用する対象チームをさらに絞り込むことができます。
※ ルールに対してフィルターを設定している場合、ルールで設定したフィルターが優先されます。 - 範囲 … ポリシーを適用する範囲をコンテナー単位で設定します。
9.ポリシーの作成 スケジュール 画面が表示されるので、任意の設定を実行します。
- スキャン間隔 … ポリシー実行ジョブの間隔を指定します。
※ ルール違反の状況把握を目的として1日間隔または1週間隔で設定されるケースが一般的です。 - スキャンの開始時間 … ポリシー実行ジョブの開始時間を指定します。
※ 業務期間中のパフォーマンス低下を避けるため、夜間の 0時0分 で設定されるケースが一般的です。 - 保持期間 … ポリシーに違反した情報を Policies for Microsoft 365 で保持する日数を定義します。保持期間を過ぎると、違反の詳細やジョブの詳細は Policies for Microsoft 365 から削除されます。
※ 最長の30日間に設定されるケースが一般的です。
10.確認 画面が表示されるので、作成したポリシーの内容を確認し、[下書きとして保存] か [公開] をクリックします。
※ [下書きとして保存] ではジョブが実行されず、作成したポリシーを下書きとして保存します。[公開] ボタンをクリックすると、[公開] か [公開して実行] を選択できます。[公開] では、設定されたスケジュールになると自動実行されます。[公開して実行] ボタンをクリックすると、その場で即時に 1 回ジョブが実行され、かつ予定されたスケジュールでも実行されます。
以上でサービスレベルのポリシー作成は完了になります。
② テナントレベルのポリシー作成
本例では、ゴーストゲストユーザーの検出 ルールを例に、テナントレベルのポリシー設定方法を説明します。
その他のルールは ユーザーガイド をご参照ください。
利用アカウント:Policies for Microsoft 365 の アプリケーション管理者
1.マイサービス より、[Policies for Microsoft 365] をクリックします。
2.[ポリシー] の [テナント レベル] を選択し、[ポリシーの作成] をクリックします。
3.[+最初から作成] をクリックします。
※ Microsoft 365 の利用シナリオに応じてポリシーのテンプレートも用意しています。テンプレートにはすでにルールが適用されているため、要件次第ではテンプレートからポリシーの作成をしてただくと便利です。
4.ポリシーの作成 一般情報 画面が表示されるので、任意の設定を実行して [次へ] をクリックします。
- ポリシー名:
- 既存のポリシーからコピーする … 既存のポリシーのルールや設定を再利用する場合に選択し、コピー元となるポリシーを指定して任意のポリシー名を入力します。
- 新規ポリシーを作成する … ポリシーを新規作成する場合に選択し、任意のポリシー名を入力します。本例では、こちらを選択します。
- 説明 … 作成するポリシーに説明が必要な場合は、任意の文章を入力できます。
5.ポリシーの作成 ルール 画面が表示されるので、[ルールの追加] をクリックします。
6.ルールの追加 画面が表示されるので、任意の設定を実行します。
本例では、ゴーストゲストユーザーの検出 ルールをポリシーに追加する際の設定を説明します。
以下の画面ショットの設定値をご参考ください。
※ 画面ショットに記載している各設定値はあくまで一例です。御社環境に応じて任意に設定してください。
そのほかのルールの追加については後述の内容をご参照ください。
- [ポリシーに追加するルールを選択します:] のプルダウンから、[ゴーストゲストユーザーの検出] を選択します。
- [ルール設定] で任意のルールを設定します。設定項目は下記を参照ください。
- サイトおよびサイト コンテンツのユーザー権限を監視する … このチェックボックスを選択すると、サイトコレクションの実際のどのコンテンツに対するアクセス権限を持たないにもかかわらず、サイトコレクションのメンバーリストには残り続けているゲストユーザーを、ゴーストゲストユーザーとして検出します。
※ 実際に使われていないゲストユーザーがメンバーリストに残り続けることを防止するため、本オプションのチェックボックスを選択して、実質的に権限を持たないユーザーを検出することを推奨します。
※ メンバーリストとは、SharePoint サイトの設定にある [ユーザーとグループ] のことを指します。 - セキュリティ グループのメンバーシップで付与されたユーザー アクセスをスキップする … このチェックボックスを選択すると、SharePoint Online サイト、Teams チーム、M365グループへの直接的なメンバーシップがないが、セキュリティグループにのみ所属しているゲストユーザーを、ゴーストゲストユーザーとして検出します。選択しない場合、セキュリティグループにのみ所属しているゲストユーザーは、ゴーストゲストユーザーとして検出されません。
- Microsoft Entra ID 内のユーザーを管理する … このチェックボックスを選択すると、設定したポリシーの違反が検知された場合のアクションを設定できます。
※ 違反を検知するだけの場合は、チェックを外します。
※ 初期段階ではチェックを外し、まずはゴーストゲストユーザーの検出のみを行うケースが一般的です。- Microsoft Entra ID からユーザーを削除する … このオプションを選択すると、検出されたゴーストゲストユーザーを削除します。
- ユーザーのサインインをブロックする … このオプションを選択すると、検出されたゴーストゲストユーザーを削除せずにサインインのみをブロックします。
- サイトおよびサイト コンテンツのユーザー権限を監視する … このチェックボックスを選択すると、サイトコレクションの実際のどのコンテンツに対するアクセス権限を持たないにもかかわらず、サイトコレクションのメンバーリストには残り続けているゲストユーザーを、ゴーストゲストユーザーとして検出します。
- [以下のユーザーに違反のメール通知を送信します:] でポリシー違反時の通知先を設定します。設定項目は下記を参照ください。
- 管理者
- 特定のユーザーまたはグループを含む … このチェックボックスを選択すると、特定のユーザーやグループを指定してメール通知を送信できます。
- 管理者用のメール テンプレートを選択します:
- 既定のメール テンプレートを使用する … このオプションを選択すると、既定の通知メールテンプレートを使用します。
- メール テンプレートを選択する … このオプションを選択すると、カスタマイズしたメールテンプレートを選択して使用します。
※ メールテンプレートの作成方法は ユーザーガイド を参照ください。
- 管理者
- [独立したスキャン間隔] では、このルールにのみ適用するスキャン間隔を設定することができます。
- [ポリシーに追加] をクリックします。
※ そのほかのルールについては、以下の画面ショットを参考に適宜ルールを追加してください。
※ 画面ショットに記載している各設定値はあくまで一例です。御社環境に応じて任意に設定してください。
7.ポリシーの作成 ルール 画面に戻るので、[次へ] をクリックします。
※ [+ ルールの追加] より、1つのポリシーに複数のルールを設定することもできます。
8.ポリシーの作成 ポリシーの割り当て 画面が表示されるので、ポリシーを適用するテナントを選択して [次へ] をクリックします。
9.ポリシーの作成 スケジュール 画面が表示されるので、任意の設定を実行します。
- スキャン間隔 … ポリシー実行ジョブの間隔を指定します。
※ 環境の規模によりポリシージョブの完了に長時間かかる場合があるため、スケジュールの頻度を低く設定することを推奨します。
※ 運用効率とセキュリティのバランスを考慮し、スキャン間隔を月1回で設定されるケースが一般的です。 - スキャンの開始時間 … ポリシー実行ジョブの開始時間を指定します。
※ 毎月1日の0時0分で設定されるケースが一般的です。 - 保持期間 … ポリシーに違反した情報を Policies for Microsoft 365 で保持する日数を定義します。保持期間を過ぎると、違反の詳細やジョブの詳細は Policies for Microsoft 365 から削除されます。
※ 最長の30日間に設定されるケースが一般的です。
10.確認 画面が表示されるので、作成したポリシーの内容を確認し、[下書きとして保存] か [保存して実行] をクリックします。
※ [下書きとして保存] ではジョブが実行されず、設定されたスケジュールになると自動実行されます。[保存して実行] ボタンにて保存すると、その場で即時に 1 回ジョブが実行され、かつ予定されたスケジュールにて実行されます。
以上でテナントレベルのポリシー作成は完了になります。
Policies for Microsoft 365 違反レポート
Policies for Microsoft 365 では、設定したポリシーに違反した履歴を 違反レポート から確認することができます。
違反レポートには、Microsoft 365 テナントで検出されたすべての違反が表示されます。
利用アカウント:Policies for Microsoft 365 の アプリケーション管理者
1.マイサービス より、[Policies for Microsoft 365] をクリックします。
2. [違反レポート] をクリックします。
3.確認したい ルール名 をクリックして、違反の詳細を確認することができます。
※ 違反のレポートが多い場合は、フィルター条件設定やテキスト検索などを用いて、違反を各種条件で絞り込むことができます。
4.確認したいレポートにチェックを入れて [エクスポート] をクリックし、違反の詳細をCSVで確認することができます。
5.自動修正を設定していない違反は、レポートにチェックを入れて [修正] をクリックすることで、手動修正することができます。
