「社外のお客さんとTeamsで会議したいけど、設定がよくわからない…」「外部ユーザーとのやりとりってセキュリティ大丈夫なの?」そんな不安を抱えているIT管理者や現場担当者の方、実はかなり多いんです。2026年に入ってから、MicrosoftはTeamsの外部コラボレーション管理をかつてないほど大幅にアップデートしました。新しい管理者ロールの追加、管理画面の簡素化、そして外部ユーザーの信頼性を一目で判別できる「トラストインジケーター」の導入など、これまでの悩みを一気に解決してくれる仕組みが続々と登場しています。
この記事では、2026年3月時点での最新情報をもとに、Teamsの外部コラボレーション管理に関わるすべてのアップデートを初心者にもわかりやすく、かつ上級者にも役立つ深い情報まで網羅して解説します。読み終わるころには、あなたの組織の外部コラボ設定を自信を持って最適化できるようになっているはずです。
- 2026年3月にロールアウトが始まった新ロール「Teams外部コラボレーション管理者」の全貌と活用法
- 管理画面が3つのモードに簡素化された背景と、自社に合った設定の選び方
- トラストインジケーターやゲストアクセスの最新仕様を踏まえた安全な外部連携の実践手順
- 2026年にTeamsの外部コラボ管理はなぜここまで変わったのか?
- 新ロール「Teams外部コラボレーション管理者」とは何か?
- Teams管理センターの外部コラボ設定が3つのモードに簡素化された
- トラストインジケーターで外部ユーザーの信頼度が一目でわかる
- ゲストアクセスと外部アクセスの違いを正しく理解する
- 外部ユーザーをTeams会議に招待する実践手順
- チームにゲストを追加する手順と注意すべきポイント
- 外部ユーザーがTeamsアプリを使う際の制限を知っておく
- 2026年2月~3月の最新アップデート情報
- PowerShellで外部コラボ設定を自在に操る具体的コマンド集
- 現場で頻発するトラブルと解決策を体験ベースで徹底解説
- 秘密兵器としての「秘密度ラベル」で外部コラボを高度に制御する方法
- 共有チャネルとゲストアクセスの使い分けで迷わなくなる判断基準
- 定期的にやるべき外部コラボの棚卸しと監査の具体的手順
- Purview DLPとの連携で「うっかり共有」を根本から防ぐ
- 2025年5月のSkype連携終了が外部コラボ設定に与えた影響と対応策
- Teamsの外部コラボに関する追加の疑問解決
- ぶっちゃけこうした方がいい!
- Teamsの外部コラボ管理に関する疑問解決
- 今すぐパソコンやスマホの悩みを解決したい!どうしたらいい?
- まとめ
2026年にTeamsの外部コラボ管理はなぜここまで変わったのか?
Teamsのイメージ
まず大前提として、Teamsの外部コラボレーション管理がこれほど大きく変わった理由を押さえておきましょう。Teamsは全世界で数億人が利用する巨大プラットフォームに成長しましたが、その一方で管理画面のポリシーや設定項目は膨れ上がり、IT管理者にとっては「どこで何を設定すればいいのかわからない」という状態が長く続いていました。特に外部コラボレーションに関する設定は、Teams管理センター、Microsoft Entra管理センター、PowerShellなど複数の場所に分散しており、全体像を把握するだけでも一苦労だったのです。
さらに、ゼロトラストセキュリティの考え方が当たり前になった2026年の今、「外部との連携を許可するためにTeamsのフル管理者権限を渡す」というやり方は、セキュリティ的にあまりに危険です。ベンダーのドメインをひとつ許可リストに追加するだけの作業なのに、通話キューや会議ポリシーまで変更できる権限ごと渡してしまうのは、まさに「門番に城全体の鍵を預ける」ようなものですよね。こうした課題を根本から解決するために、Microsoftは2026年に入って外部コラボ管理の仕組みを一気に刷新したわけです。
新ロール「Teams外部コラボレーション管理者」とは何か?
2026年の目玉アップデートとして最も注目すべきなのが、Teams External Collaboration Administrator(Teams外部コラボレーション管理者)という新しいロールの登場です。Microsoftのメッセージセンター通知MC1215071で発表されたこのロールは、当初2026年1月末から2月中旬にかけてのロールアウトが予定されていましたが、タイムラインが更新され、2026年3月中旬から下旬にかけて全世界で展開される見込みとなっています。
このロールで何ができるのか?
Teams外部コラボレーション管理者ロールは、RBACベースのビルトインロールとして設計されており、外部コラボレーション設定(フェデレーション)に特化した管理権限を提供します。具体的にできることとしては、外部アクセスポリシーの作成と管理、フェデレーションで許可またはブロックするドメインの設定、そして組織全体のフェデレーション設定の制御が挙げられます。つまり、社外とのつながりを「開く」「閉じる」「条件付きで許可する」といった操作を、このロールだけで完結できるのです。
逆にこのロールではできないこともはっきりしています。Teams管理センターのポータル画面からの操作はサポートされておらず、すべての設定変更はPowerShellを通じて行う必要があります。これは一見デメリットに思えるかもしれませんが、セキュリティの観点からは大きなメリットでもあるんです。GUIでクリックひとつで変えられる設定と違い、コマンドラインでの操作は意図的かつスクリプト化された変更が求められるため、誤操作のリスクが大幅に減ります。
ロールの割り当て方法と注意点
このロールの割り当ては、グローバル管理者がMicrosoft Entra管理センターまたはMicrosoft 365管理センターから行います。割り当て操作自体はシンプルで、対象のユーザーを選んでロールを付与するだけです。ただし、ひとつ重要な制限があります。このロールは管理単位(Administrative Units)へのスコープ割り当てに対応していないため、組織全体レベルでの適用になります。たとえば「ヨーロッパ部門だけ」「アジア拠点だけ」といった限定的な割り当ては現時点ではできません。大規模な多国籍企業の場合はこの点に注意が必要でしょう。
このロールが特に威力を発揮するのは、IT部門が大きな企業組織です。これまでは外部アクセスの設定変更だけのためにTeamsフル管理者の権限を付与せざるを得なかったのが、最小権限の原則に沿って必要最低限の権限だけを渡せるようになりました。ヘルプデスクの担当者が新しいベンダーのドメインを許可リストに追加する、といった日常業務でも、通話キューやアプリ設定には一切触れないという安心感は非常に大きいです。
Teams管理センターの外部コラボ設定が3つのモードに簡素化された
新ロールの追加と並んで重要なのが、Teams管理センター(TAC)における外部コラボレーション設定画面のリニューアルです。2026年2月中旬から全世界で一般提供が始まったこのアップデートでは、外部コラボの設定が「オープン」「コントロール」「カスタム」という3つのモードから選べるようになりました。
3つのモードの違いを理解しよう
| モード名 | 特徴 | 向いている組織 |
|---|---|---|
| オープン(Open) | チャット、通話、会議に加え、共有チャネルを含むチームとチャネルでの外部コラボをすべて許可。B2Bコラボレーションとダイレクトコネクトの両方が有効になる。 | パートナーやベンダーとの積極的な連携を重視する組織 |
| コントロール(Controlled) | フェデレーションによるチャット、通話、会議は全ドメインで許可するが、共有チャネルでのコラボレーションはブロック。Microsoft 365のエンタープライズ・教育テナントの既定値に近い。 | 外部とのやりとりは必要だが、チームやチャネルへの深い統合は制限したい組織 |
| カスタム(Custom) | すべての外部コラボ設定を個別に制御可能。過去に設定を変更済みのテナントは自動的にこのモードで表示される。 | 独自のセキュリティ要件があり、細かくポリシーを調整したい組織 |
この3モード体制の素晴らしい点は、外部コラボ設定の「全体像」がひと目で把握できるようになったことです。オーバービューページにアクセスするだけで、自組織のテナントが現在どのモードにあるのかがすぐにわかります。そこから「モード変更」に進めば、プリセットのオープンかコントロールを選ぶか、カスタムモードで細かく調整するかを選択できます。
実際のところ、多くの企業はオープンやコントロールのプリセットをそのまま使うのではなく、出発点として選んだうえで自社に合わせたカスタム設定に移行するのが現実的でしょう。たとえば、基本はコントロールモードにしておきつつ、信頼できる特定のパートナー企業のドメインだけ共有チャネルを解放する、といった柔軟な運用が考えられます。
Entra B2Bコラボレーションポリシーとの関係
ひとつ注意しておきたいのは、Teams管理センターに表示される設定はあくまでTeams固有の制御であり、Microsoft Entra IDのB2Bコラボレーションポリシー設定はこの画面には含まれていないという点です。Entraのポリシーはすべてのアプリケーションに影響するため、TACはTeams特有の設定だけを扱います。つまり、Teamsの外部コラボを完璧に管理するためには、Teams管理センターとEntra管理センターの両方を確認する必要があるのです。この点は見落としがちなので、ぜひ覚えておいてください。
トラストインジケーターで外部ユーザーの信頼度が一目でわかる
2026年2月から3月にかけて一般提供のロールアウトが進んでいるもうひとつの重要機能が、トラストインジケーターです。これは外部参加者の名前の横に表示されるビジュアルバッジで、その人がどの程度信頼できるかを瞬時に判別できるようにする仕組みです。
バッジの種類と意味
トラストインジケーターには複数のカテゴリがあり、それぞれ異なるバッジが表示されます。外部-なじみあり(External-Familiar)は、自組織が信頼している、またはよく知っているドメインのユーザーに付けられるバッジです。一方、外部-なじみなし(External-Unfamiliar)は、組織が明示的に信頼も認識もしていない外部ユーザーを示します。ゲスト(Guest)はMicrosoft Entra B2Bゲストとして組織のディレクトリに追加されたユーザー、未確認(Unverified)はTeamsが本人確認できなかったユーザーに表示されます。さらにグループチャットや会議チャットに外部参加者がいる場合、チャット自体に外部(External)マーカーが付くため、うっかり社内チャットだと思って機密情報を共有してしまう、というミスを防げます。
特に注目したいのは、メッセージ入力欄のすぐ上に表示されるアラートバナーの仕組みです。外部参加者がいるチャットや会議では、メッセージを書こうとした瞬間にバナーが表示され、「このチャットには外部ユーザーがいます」という注意喚起がなされます。さらに、外部ユーザーが「なじみなし」や「未確認」の場合にはバナーの色が赤色に変わるため、リスクの高い相手と会話していることが視覚的にすぐわかります。
ゲストアクセスと外部アクセスの違いを正しく理解する
Teamsの外部コラボレーションを語るうえで避けて通れないのが、ゲストアクセスと外部アクセスの違いです。この2つは似ているようでまったく異なる仕組みなので、しっかり区別しておきましょう。
外部アクセス(フェデレーション)は、別の組織のTeamsユーザーとチャット、通話、会議を行うための仕組みです。相手は自分の組織のアカウントのまま参加できるため、手軽にコミュニケーションが取れます。ただし、あなたの組織のチームやチャネル、ファイルにはアクセスできません。いわば「電話をかけ合える関係」と考えるとわかりやすいでしょう。
ゲストアクセスは、外部ユーザーをあなたの組織のMicrosoft Entra IDにB2Bコラボレーションユーザーとして追加する仕組みです。ゲストはチームに参加でき、チャット、会議、ファイルの共同編集など、ネイティブメンバーに近い機能を使えます。ただし、ゲストアカウントでTeamsにサインインする必要があり、通常は組織を切り替えてアクセスします。「家に招いてもらう関係」というイメージですね。
外部アクセスは既定で有効になっており、すべてのドメインとの通信が許可されています。これを制限するには、特定のドメインだけを許可する「許可リスト」方式か、特定のドメインをブロックする「ブロックリスト」方式を選択するか、あるいは外部アクセスそのものをオフにするかを選びます。ゲストアクセスについては、IT管理者がTeams管理センターで有効にしたうえで、チームの所有者がゲストを追加する流れになります。
外部ユーザーをTeams会議に招待する実践手順
設定の話だけでは実感がわかないので、実際に外部ユーザーをTeams会議に招待する具体的な手順も見ていきましょう。方法は主に2つあります。
カレンダーから新規会議をスケジュールする方法
- Teamsアプリを開き、左メニューの「カレンダー」に移動します。
- 右上の「新しい会議」をクリックし、タイトル・日時を入力します。
- 「出席者を招待」フィールドに、外部ユーザーのメールアドレスを直接入力します。OutlookやGmailなど、どのメールアドレスでも構いません。
- 「Teams会議」のトグルが有効になっていることを確認し、「送信」をクリックします。
- 招待されたユーザーにはメールで会議リンクが届き、そこから参加できます。
既存の会議リンクを共有する方法
すでに作成済みの会議がある場合は、もっとシンプルです。カレンダーで対象の会議を右クリックし、「会議リンクをコピー」を選択するだけ。あとはメールやチャットでそのリンクを共有すれば、外部の参加者はリンクから直接会議に参加できます。進行中の会議に急きょ外部の人を招く場合も、会議画面から参加者を追加する方法があるので覚えておくと便利です。
ロビー設定で安全性を確保する
外部参加者が会議に入る際、いきなり会議室に入れるのかロビーで待機させるのかは、セキュリティ上とても重要なポイントです。会議のオプションで、ロビーをバイパスできるユーザーの範囲を「自分の組織のユーザーのみ」「信頼できる組織のユーザー」「全員」などから選べます。外部ミーティングでは、少なくともロビーを有効にしておき、主催者やプレゼンターが手動で参加を承認する運用をおすすめします。
チームにゲストを追加する手順と注意すべきポイント
会議への一時的な招待ではなく、チームのメンバーとして外部ユーザーを恒常的に招き入れたい場合は、ゲストアクセスを利用します。手順はとてもシンプルですが、いくつか知っておくべき注意点があります。
まず、チーム名にマウスを合わせて「その他のオプション」から「メンバーの追加」を選択します。ゲストのメールアドレスを入力し、「ゲストとして追加」を選んで名前を確認したら「追加」をクリックするだけです。ゲストにはウェルカムメールが送信され、招待を承認するとチームにアクセスできるようになります。追加直後はアクセス権が反映されるまで数時間かかる場合がある点に注意してください。
もし「一致するものが見つかりませんでした」というエラーが表示された場合は、そもそも組織のゲストアクセスが無効になっている可能性が高いので、IT管理者に確認が必要です。また、ゲストを追加した際のプロファイルカードには名前のみが登録されるため、電話番号や役職などの追加情報を設定するにはIT管理者に依頼する必要があります。
外部ユーザーがTeamsアプリを使う際の制限を知っておく
外部コラボレーションの管理で見落とされがちなのが、組織外のユーザーがTeamsアプリを利用する際の制限です。ユーザーの種類によってアプリの利用範囲が異なるので、トラブルを未然に防ぐためにもきちんと把握しておきましょう。
ゲストユーザーはTeamsアプリストアからアプリを検索・追加することはできません。また、チャットやチャネル、会議などの共有コンテキストにアプリを追加・更新・削除することもできません。ただし、ディープリンクを使ったアプリの利用は個人スコープで可能ですし、ネイティブユーザーがチャットやチャネルに追加したアプリは利用できます。ボットがアダプティブカードを送信した場合、ゲストもそのカードと対話できるなど、完全に使えないわけではありません。
外部アクセスユーザーはホスト組織のTeamsアプリストアにアクセスできないため、チャットにアプリを追加することはできません。ただし、ネイティブユーザーがグループチャットに追加したアプリは利用可能です。匿名ユーザーは会議でアプリの追加・更新・削除はできませんが、既に利用可能になっているアプリとの対話は、ユーザーレベルのアクセス許可ポリシーで有効になっていれば可能です。
2026年2月~3月の最新アップデート情報
ここまでの内容に加えて、2026年2月から3月にかけてリリースされた最新の関連アップデートもいくつか紹介しておきます。
まず、複数メッセージの一括転送機能が2月に追加されました。チャットやチャネルから最大5件のメッセージを選択し、順序を保ったまま一度に転送できます。外部パートナーとのやりとりで重要な意思決定や更新情報を共有する際にとても重宝する機能です。
次に、検索結果のファイルタブにプレビューベースのグリッドビューが導入されました。従来のリスト表示に加えてサムネイルで確認できるため、似た名前のファイルを素早く見分けられます。外部とのプロジェクトで大量のファイルをやりとりしている場合は、この機能がかなり便利でしょう。
さらに、2026年3月にリリース予定のAdvanced Collaboration Analyticsでは、外部コラボレーションのパターン分析が可能になります。フェデレーションドメインやゲスト、共有チャネルの利用状況などを分析し、不審なスパイクや未知のドメインとの通信を早期に検知できるレポート機能が追加される見込みです。
PowerShellで外部コラボ設定を自在に操る具体的コマンド集
Teamsのイメージ
新しいTeams外部コラボレーション管理者ロールはPowerShellでしか操作できないと先ほど説明しました。でも実際のところ、「PowerShellって何をどう打てばいいの?」と固まってしまう管理者が圧倒的に多いんですよね。ここでは、現場で本当に使う頻度が高いコマンドだけに絞って、コピペで即使えるレベルで解説します。
まずはTeams PowerShellモジュールに接続する
何をするにも最初にやることは、Teams PowerShellモジュールへの接続です。管理者権限のPowerShellを開いて、以下のコマンドを実行してください。
Connect-MicrosoftTeams
認証画面が表示されるので、グローバル管理者またはTeams外部コラボレーション管理者のアカウントでサインインします。ここでよくあるトラブルが「モジュールがインストールされていない」パターンです。その場合は先に以下を実行してからやり直してください。
Install-Module -Name MicrosoftTeams -Force -AllowClobber
ちなみに、2026年3月時点ではモジュールのバージョンが頻繁に更新されているため、エラーが出たらまず
Update-Module MicrosoftTeams
で最新版に更新するのが鉄則です。古いバージョンだと新しいパラメータが認識されず、意味不明なエラーに悩まされることがよくあります。
現在の外部アクセスポリシーを確認する
設定変更をする前に、まずは今の状態を正確に把握することが大切です。以下のコマンドで、テナントに存在するすべての外部アクセスポリシーを一覧表示できます。
Get-CsExternalAccessPolicy
このコマンドの出力結果には、EnableFederationAccess(フェデレーションの有効/無効)、EnableTeamsConsumerAccess(個人Teamsアカウントとの通信許可)などの重要なパラメータが含まれます。「あれ、なんでこのユーザーだけ外部と通信できないんだろう?」というトラブルの大半は、このコマンドの結果を見れば原因が特定できます。
さらにテナント全体のフェデレーション設定を確認するには、以下を使います。
Get-CsTenantFederationConfiguration
ここでAllowFederatedUsersがTrueになっているか、AllowedDomainsやBlockedDomainsにどのドメインが入っているかを確認できます。情シスの経験上、このコマンドの結果を定期的にエクスポートしてログとして残しておくと、「いつ誰が何を変えた?」という監査対応がぐっと楽になります。
特定ドメインだけを許可する実践コマンド
ゼロトラストの考え方に沿うなら、全ドメインをオープンにするのではなく、信頼できるパートナー企業のドメインだけを許可リストに追加する運用がベストです。具体的には以下のように設定します。
Set-CsTenantFederationConfiguration -AllowFederatedUsers $True -AllowedDomains @{Add="contoso.com","fabrikam.com"}
逆に特定のドメインだけをブロックしたい場合は、こうします。
Set-CsTenantFederationConfiguration -AllowFederatedUsers $True -BlockedDomains @{Add="suspicious-domain.com"}
ここで情シス10年以上の経験から言えるのは、許可リスト方式のほうがブロックリスト方式より圧倒的に安全だということ。ブロックリストは「知っている危険なドメイン」しか防げませんが、許可リストなら「明示的に信頼したドメイン以外はすべてブロック」できます。未知の脅威に対してはこちらのほうが確実に効果的です。
ユーザーごとに異なる外部アクセスポリシーを割り当てる
実務では「営業部門は外部とのやりとりを広く許可したいけど、経理部門は特定のパートナーだけに制限したい」といった要件がよく出てきます。このような場合は、カスタムポリシーを作成して特定のユーザーやグループに割り当てるのがベストです。
まず、テナント全体のカスタムフェデレーションを有効にします。
Set-CsTenantFederationConfiguration -CustomizeFederation $True
次に、営業部門用のポリシーを作成します。
New-CsExternalAccessPolicy -Identity "SalesTeamPolicy" -CommunicationWithExternalOrgs "AllowSpecificExternalDomains" -AllowedExternalDomains @("partner-a.com","partner-b.com","client-c.com")
最後に、このポリシーを営業部門のユーザーに割り当てます。
Grant-CsExternalAccessPolicy -Identity "user@yourdomain.com" -PolicyName "SalesTeamPolicy"
複数ユーザーに一括で割り当てたい場合は、
New-CsBatchPolicyAssignmentOperation
コマンドレットを使えばCSVファイルからまとめて処理できます。数百人規模の割り当てでも、これなら数分で完了します。
なお、ここで非常に重要な注意点があります。
Set-CsTenantFederationConfiguration -CustomizeFederation $True
を実行しようとすると、テナントによっては「Customize Federation is not allowed to enable in your tenant」というエラーが出ることがあります。これは2025年後半から段階的にロールアウトされている機能で、まだテナントに展開されていない場合に発生します。エラーが出たら焦らず、数週間待ってから再度試してみてください。
現場で頻発するトラブルと解決策を体験ベースで徹底解説
ここからは、マニュアルには書いてないけど現場では本当によく遭遇する問題と、その解決策を紹介します。IT管理者として10年以上の経験から得た「生の知恵」です。
外部ユーザーが会議に入れない問題
「リンクを送ったのに相手が会議に参加できない」というヘルプデスク問い合わせ、実はかなり多いんです。原因はいくつかのパターンに分かれます。
一番多いのが、匿名参加がテナントレベルで無効になっているケースです。Teams管理センターの「会議」→「会議設定」で「匿名ユーザーが会議に参加できる」がオンになっているか確認してください。ここがオフだと、Microsoftアカウントを持っていない外部ユーザーは一切参加できません。
次に多いのが、ブラウザの問題です。外部参加者がTeamsアプリをインストールしていない場合、ブラウザから参加することになりますが、SafariやFirefoxではポップアップブロック、Cookie設定、デバイス権限のいずれかが原因で参加できないことがあります。相手にChromeまたはEdgeの使用を案内するのが最も確実な解決策です。このアドバイスだけで、体感的には問い合わせの半分以上が解決します。
意外と見落とされがちなのが、条件付きアクセスポリシーです。Entra IDで設定した条件付きアクセスが、ゲストや外部ユーザーにも適用されている場合、MFAの要求やデバイスコンプライアンスの要件が原因で参加がブロックされることがあります。外部ユーザーに関するポリシーが意図した通りになっているか、Entra管理センターで確認してみてください。
ゲストを追加したのにチームが見えない問題
ゲストを追加した直後に「まだ何も見えません」と言われることがあります。これは正常な動作で、アクセスが反映されるまで最大数時間かかるのが仕様です。招待メールが送られ、ゲストがそれを承認した後でようやくチームにアクセスできるようになります。
ただし、何時間経っても見えない場合は以下をチェックしてください。まず、ゲストが組織の切り替えを行っているか。Teamsの画面右上のプロフィール画像をクリックし、「アカウントマネージャー」から招待元の組織を選択する必要があります。これを知らないゲストが非常に多いんです。「Teamsに入っても何も変わってないんですけど」と言われたら、まず組織の切り替えを案内してみてください。
次に、ゲストがメール内の招待リンクをクリックしていないケースも多いです。Teamsの通知は来ても、招待自体を承認するアクションが必要なことに気づいていない人がかなりいます。
「未確認」と表示されて権限が正しく付与されない問題
トラストインジケーターが「未確認(Unverified)」と表示されるゲストは、Teamsクライアントに追加されたアカウントとは異なるアカウントでサインインしている可能性が高いです。たとえば、会社のメールアドレスで招待されたのに個人のMicrosoftアカウントでサインインしているような場合です。この不一致があると、Teamsは正しい権限を付与できません。相手に「招待が来たメールアドレスと同じアカウントでサインインしてください」と伝えるだけで解決することがほとんどです。
秘密兵器としての「秘密度ラベル」で外部コラボを高度に制御する方法
外部コラボの制御で多くの管理者が見落としているのが、Microsoft Purviewの秘密度ラベル(Sensitivity Labels)との連携です。これを使いこなすと、Teams管理センターの設定だけでは実現できないきめ細かな制御が可能になります。
秘密度ラベルでゲストアクセスをチーム単位でコントロールする
秘密度ラベルの「グループとサイト」スコープを有効にすると、ラベルごとにゲストアクセスの許可/禁止を設定できます。たとえば「社外秘」ラベルにはゲストアクセスを禁止し、「パートナー共有可」ラベルにはゲストアクセスを許可する、といった運用が可能です。チームを作成するときにラベルを選ぶだけで、ゲストの受け入れ可否が自動的に決まるので、チーム所有者が設定を誤るリスクを大幅に減らせます。
さらに2026年現在では、秘密度ラベルで共有チャネルの制御もできるようになっています。「このラベルが付いたチームでは、他のチームからの共有チャネル招待を受け入れない」といった設定が可能です。ただし、共有チャネル関連の設定変更は反映に最大24時間かかる場合があるので、急ぎの案件では余裕を持ったスケジュールで進めてください。
高機密チームの3層防御モデル
Microsoftが推奨しているのは、チームを機密度に応じて「ベースライン」「機密」「高機密」の3層に分けるアプローチです。それぞれの層でどこまでの外部共有を許可するかを明確に定義しておくと、組織全体のセキュリティポスチャが格段に向上します。
ベースライン層では、既定の共有設定を使いつつ、デフォルトの共有リンクを「特定のユーザー」に変更して過剰共有を防ぎます。機密層では、秘密度ラベルを適用してゲスト共有の可否を制御し、非管理デバイスからのアクセスをWebのみに制限します。高機密層では、ラベルによるファイル暗号化を追加し、条件付きアクセスポリシーでゲストにもMFAを強制します。
この3層モデルは「やりすぎじゃない?」と思われがちですが、実際に導入してみると、ユーザーが「このチームはどのレベルで扱うべきか」を意識的に考えるようになるため、セキュリティ文化の醸成にも大きく貢献します。
共有チャネルとゲストアクセスの使い分けで迷わなくなる判断基準
「外部の人とコラボしたいんだけど、ゲストアクセスと共有チャネル、どっちを使えばいいの?」これは情シスとして最も頻繁に受ける質問のひとつです。結論から言うと、用途によって明確に使い分けるべきです。
共有チャネルを選ぶべきケースは、外部ユーザーが特定のチャネルだけにアクセスできればいい場合です。共有チャネルはMicrosoft Entra B2Bダイレクトコネクトを使うため、外部ユーザーは自分のテナントにサインインしたまま参加でき、組織を切り替える手間がありません。ゲストアカウントをいちいち作る必要もないので、管理負荷が減ります。ただし、共有チャネルを使うには双方のテナントでクロステナントアクセス設定を構成する必要があり、現時点ではMicrosoft Entra IDアカウント(旧Azure AD)を持つユーザーしか参加できないという制約もあります。
一方、ゲストアクセスを選ぶべきケースは、外部ユーザーにチーム全体へのアクセスを与えたい場合や、Microsoftアカウントを持たないユーザー(Gmailなど)を招きたい場合です。ゲストはOutlookやGmailなどのメールアドレスがあれば誰でも招待でき、チーム内の複数のチャネルにアクセスできます。
よくある失敗パターンは、「共有チャネルに既存のゲストアカウントを追加しようとしてエラーになる」ケースです。共有チャネルはB2Bダイレクトコネクトを使うため、B2Bコラボレーション(ゲスト)とは仕組みが根本的に異なります。既にゲストとして登録されているユーザーを共有チャネルに追加したい場合は、まずゲストアカウントの扱いをIT管理者と相談する必要があるということを覚えておいてください。
定期的にやるべき外部コラボの棚卸しと監査の具体的手順
外部コラボの設定は「一度やったら終わり」ではありません。むしろ、定期的な棚卸しと監査こそが最も重要な管理業務です。にもかかわらず、多くの組織ではこれが放置されているのが現実です。
四半期ごとのゲストアカウント棚卸し
Microsoft Entra管理センターの「ユーザー」→「すべてのユーザー」で、ユーザータイプを「ゲスト」にフィルタリングすると、テナント内のゲストアカウントがすべて表示されます。ここで確認すべきは、最終サインイン日時です。3か月以上サインインしていないゲストアカウントは、プロジェクトが終了している可能性が高いので、チーム所有者に確認のうえ削除を検討します。
PowerShellでまとめて確認したい場合は、Microsoft Graph PowerShellモジュールを使って以下のようにゲスト一覧をエクスポートできます。
Get-MgUser -Filter "userType eq 'Guest'" -All | Select-Object DisplayName, Mail, SignInActivity | Export-Csv -Path "GuestAudit.csv" -NoTypeInformation
このCSVファイルを四半期ごとに出力して、前回との差分を確認する運用にすると、不要なゲストアカウントの蓄積を防げます。実際、この棚卸しをやっていない組織では、数百から数千の放置ゲストアカウントが存在していることも珍しくありません。
外部アクセスのドメインリストを年に一度は見直す
許可リストや許可ドメインの設定は、ビジネスパートナーの変更や契約終了に伴って定期的に見直す必要があります。去年追加したドメインが今も必要かどうかを確認する作業は地味ですが、セキュリティの穴を塞ぐうえで非常に重要です。2026年3月にリリースが始まったAdvanced Collaboration Analyticsのレポート機能を活用すれば、実際に通信が発生しているドメインと許可リストの差分を可視化できるので、不要なドメインの特定が容易になります。
Purview DLPとの連携で「うっかり共有」を根本から防ぐ
トラストインジケーターが「目で見て気づく」仕組みだとすれば、Microsoft Purview DLP(データ損失防止)は「システムが自動で止めてくれる」仕組みです。外部ユーザーとのチャットやチャネルで機密情報が含まれるメッセージを送信しようとした際に、ポリシーヒントで警告を表示したり、送信自体をブロックしたりできます。
設定はPurviewポータルから行います。「データ損失防止」→「ポリシー」→「ポリシーの作成」で、場所に「Teamsチャットおよびチャネルメッセージ」を含めます。検出する機密情報の種類として、クレジットカード番号、マイナンバー、住所情報などを選択し、外部ユーザーとのチャットでこれらが検出された場合に警告またはブロックするルールを作成します。
ここでのプロのコツは、いきなりブロックモードにしないことです。最初は「テストモード」で運用し、どのようなメッセージが検出されるかを1~2週間モニタリングします。誤検知が多ければルールを調整し、安定したらブロックモードに切り替えるという段階的アプローチが現場では一番うまくいきます。最初からガチガチにブロックすると、ユーザーから猛反発を受けて結局ポリシーを緩めざるを得なくなる、という失敗パターンを何度も見てきました。
2025年5月のSkype連携終了が外部コラボ設定に与えた影響と対応策
意外と見落とされがちですが、2025年5月5日をもってSkypeコンシューマーとTeamsの相互運用性が完全に終了しています。これにより、Skypeユーザーとの通信に関連するポリシーはすべて非推奨となりました。
もしあなたのテナントでSkype関連の外部アクセス設定がまだ残っている場合は、この機会にクリーンアップしましょう。PowerShellで
Get-CsExternalAccessPolicy
を実行し、EnablePublicCloudAccessやEnablePublicCloudAudioVideoAccessがTrueになっているポリシーがあれば、これらはもう機能しないので整理対象です。残しておいても害はありませんが、設定画面をすっきりさせるためにも不要な設定は削除しておくのがベストプラクティスです。
Skype連携終了後は、組織外のユーザーとの通信はすべてTeams外部アクセス(フェデレーション)を通じて行われます。Skype時代に作った外部連絡先がある場合は、相手がTeamsに移行しているかどうかを確認し、必要に応じて新しい連絡方法を整理することをおすすめします。
Teamsの外部コラボに関する追加の疑問解決
外部コラボレーション管理者ロールをPowerShellで割り当てる具体的な方法は?
グローバル管理者がMicrosoft Entra管理センターで割り当てるのが最も簡単ですが、PowerShellでやりたい場合はMicrosoft Graph PowerShellを使います。まず
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
で接続し、
Get-MgRoleManagementDirectoryRoleDefinition
でロール一覧を取得、該当のロールIDを使って
New-MgRoleManagementDirectoryRoleAssignment
で割り当てる流れになります。ただし正直なところ、GUIのほうが間違いが少ないので、よほどの自動化要件がない限りはEntra管理センターからの操作をおすすめします。
「許可リスト」に登録したドメインのサブドメインも自動的に許可される?
これは非常に重要な質問です。答えはいいえ、サブドメインは自動では許可されません。たとえば「contoso.com」を許可リストに追加しても、「sub.contoso.com」は別途追加しない限りブロックされます。逆にブロックリスト方式でドメインをブロックした場合も、デフォルトではサブドメインはブロックされません。サブドメインもまとめてブロックしたい場合は、
Set-CsTenantFederationConfiguration -BlockAllSubdomains $True
を使う必要があります。この仕様を知らずに「ブロックしたはずなのにサブドメインから通信が来た」と焦る管理者、実は結構いるんです。
外部ユーザーとの会議で録画やトランスクリプトの権限はどうなる?
外部ユーザーが会議の録画を開始したり停止したりすることは基本的にできません。録画の権限は、会議の主催者と、主催者と同じ組織に属するプレゼンターに限られます。トランスクリプト(文字起こし)についても同様で、外部参加者がトランスクリプトを直接開始することはできません。ただし、会議終了後に録画やトランスクリプトを共有するかどうかは、会議の主催者が制御できます。機密性の高い会議では、録画とトランスクリプトの共有設定を事前に確認し、外部参加者への共有範囲を明確にしておくことが重要です。
管理単位(Administrative Units)へのスコープ割り当てが対応していないなら、大規模組織はどう運用すればいい?
現時点でTeams外部コラボレーション管理者ロールは管理単位に対応していないため、組織全体レベルでの割り当てになります。これが問題になるのは、たとえば「日本拠点のIT担当者にはAPACリージョンの外部アクセス設定だけを任せたい」という多国籍企業のケースです。この場合の現実的な回避策は、運用ルールとドキュメントで補完することです。ロールを割り当てたメンバーに対して、「変更可能な範囲」を明文化した運用ガイドラインを作成し、変更時には必ず変更管理チケットを起票するフローを組み合わせます。技術的な制約を運用プロセスでカバーするというのは、大規模組織のIT管理では日常茶飯事です。
ぶっちゃけこうした方がいい!
ここまで読んでくださった方に、情シスとして長年Teamsの外部コラボ管理と向き合ってきた立場から、本音を伝えます。
まず、新しいTeams外部コラボレーション管理者ロールは正直に言って「あれば便利だけど、なくても困らない」組織がほとんどです。何百人もIT管理者がいるような超大手企業を除けば、現実的にはグローバル管理者かTeams管理者が片手間で外部アクセスの設定を変えるので十分回っているはずです。だから、このロールの追加に慌てて対応する必要はまったくありません。ただし、このロールの登場をきっかけに、自分たちの外部コラボ設定を棚卸しするのは非常に良い習慣です。「今うちのテナントってどのドメインと通信できる状態になってるんだっけ?」をちゃんと把握できている管理者は、体感的に2割もいません。
次に、3つのモードの選び方についてですが、ぶっちゃけ最初からカスタムモードで運用するのが一番楽です。オープンやコントロールのプリセットは「出発点」としては優秀ですが、実際の運用ではほぼ確実にカスタマイズが必要になります。であれば、最初からカスタムモードで自社のポリシーに合わせた設定を作り込んだほうが、後から「あのプリセットの設定が裏で何をしているのかわからない」という混乱を避けられます。
そして最も大事なこと。Teamsの外部コラボ管理で一番効果的なのは、技術的な設定よりもユーザー教育です。どれだけポリシーを完璧に設定しても、エンドユーザーが「このチャットに外部の人がいる」という意識を持たなければ、機密情報はいとも簡単に漏れます。トラストインジケーターはそのための素晴らしい仕組みですが、「なぜバッジが表示されるのか」「バッジの色が赤になったらどう行動すべきか」を全社員に周知しないと宝の持ち腐れです。個人的には、外部コラボのセキュリティ研修を年1回でいいので実施して、その中で「外部ユーザーとのチャットでやっていいこと・やっちゃダメなこと」を具体例付きで伝えるのが最もコスパの良い対策だと思っています。
最後に、許可リスト方式か全開放か迷っている管理者へ。迷ったら許可リスト一択です。「面倒だから全ドメイン許可にしておこう」は確かに楽ですが、いざインシデントが起きたときに経営層から「なぜ全開放にしていたのか」と問われて答えに窮することになります。最初は手間でも、取引先のドメインを一つずつ追加していく運用のほうが、長い目で見れば自分の身を守ることにもなるんです。外部コラボの管理は「セキュリティと利便性のバランスを取る仕事」とよく言われますが、2026年のTeamsはそのバランスを取るためのツールがかつてないほど充実しています。せっかく良い道具が揃っているのだから、使わない手はないでしょう。
このサイトをチップで応援
Teamsの外部コラボ管理に関する疑問解決
新しいTeams外部コラボレーション管理者ロールはどんな組織に必要ですか?
率直に言うと、このロールが最も価値を発揮するのは、IT部門が大規模で管理業務を分担している企業です。外部コラボの設定変更は頻繁に行うものではないため、小規模な組織ではグローバル管理者がすべて対応しても問題ありません。しかし、セキュリティ監査の観点から最小権限の原則を徹底したい場合や、ヘルプデスクチームにフェデレーション設定だけを委任したい場合には非常に有効です。2026年3月のロールアウト完了後、すべてのテナントで自動的に利用可能になるため、使わないとしても存在を知っておくことには意味があります。
オープン、コントロール、カスタムのどのモードを選べばいいですか?
迷ったらまずコントロールモードを出発点にすることをおすすめします。コントロールモードはMicrosoft 365エンタープライズテナントの既定値に近い設定なので、大きな変更なく安全な外部コラボの基盤を整えられます。そこから、信頼できるパートナーとの共有チャネルだけを段階的に開放していく運用が最もバランスが取れています。すでに過去に設定を変更しているテナントはカスタムモードとして表示されるので、まずは現状を確認し、必要に応じてプリセットのモードに移行するか、カスタムのまま微調整するかを判断しましょう。
トラストインジケーターは管理者が設定をオンにする必要がありますか?
いいえ、トラストインジケーターは既定で有効になっており、管理者側で特別な操作は不要です。2026年2月中旬から3月初旬にかけて段階的にすべてのテナントに展開されています。ただし、エンドユーザーが突然見慣れないバッジに混乱する可能性があるため、社内向けに「外部ユーザーの名前の横にバッジが表示されるようになった」という周知は事前に行っておくのがベストプラクティスです。
Teamsアカウントを持っていない外部ユーザーも会議に参加できますか?
はい、組織の設定で匿名参加が許可されていれば、Microsoftアカウントを持っていないユーザーでも会議リンクから匿名参加者として参加できます。匿名アクセスが無効になっている場合は、Microsoftアカウントでのサインインが必要です。2026年からは、中小企業向けにメールアドレスだけでTeamsチャットを開始できる「Chat with anyone」機能もプレビュー提供されており、外部との連携のハードルはますます下がっています。
今すぐパソコンやスマホの悩みを解決したい!どうしたらいい?
いま、あなたを悩ませているITの問題を解決します!
「エラーメッセージ、フリーズ、接続不良…もうイライラしない!」
あなたはこんな経験はありませんか?
✅ ExcelやWordの使い方がわからない💦
✅ 仕事の締め切り直前にパソコンがフリーズ💦
✅ 家族との大切な写真が突然見られなくなった💦
✅ オンライン会議に参加できずに焦った💦
✅ スマホの重くて重要な連絡ができなかった💦
平均的な人は、こうしたパソコンやスマホ関連の問題で年間73時間(約9日分の働く時間!)を無駄にしています。あなたの大切な時間が今この悩んでいる瞬間も失われています。
LINEでメッセージを送れば即時解決!
すでに多くの方が私の公式LINEからお悩みを解決しています。
最新のAIを使った自動応答機能を活用していますので、24時間いつでも即返信いたします。
誰でも無料で使えますので、安心して使えます。
問題は先のばしにするほど深刻化します。
小さなエラーがデータ消失や重大なシステム障害につながることも。解決できずに大切な機会を逃すリスクは、あなたが思う以上に高いのです。
あなたが今困っていて、すぐにでも解決したいのであれば下のボタンをクリックして、LINEからあなたのお困りごとを送って下さい。
ぜひ、あなたの悩みを私に解決させてください。
まとめ
2026年はTeamsの外部コラボレーション管理にとってまさに転換期と言える年です。新しいTeams外部コラボレーション管理者ロールにより最小権限の原則に基づいた委任が可能になり、管理センターの3モード体制によって設定の見通しが劇的に改善されました。トラストインジケーターのおかげで、外部ユーザーとのやりとりにおけるセキュリティ意識も自然と高まります。
これらのアップデートを踏まえて、今すぐやるべきことは3つあります。まず、自組織の外部コラボ設定が現在どのモードになっているかをTeams管理センターで確認すること。次に、外部コラボの設定変更を委任すべきメンバーがいるなら、3月下旬までに新ロールの割り当てを計画すること。そして、トラストインジケーターの展開に合わせてエンドユーザーへの周知を行うこと。これだけで、あなたの組織のTeams外部コラボレーションは一段と安全で効率的なものになるはずです。
コメント