皆さんこんにちは。国井です。
知られているようで意外と知られていないMCASのポリシーから、Teamsへのゲストユーザーの登録状況を把握する方法について確認します。
(把握する、というよりはゲストユーザーが登録されたらアラートを出力するという言い方が正確な表現になります)
設定はとても簡単でMCASでポリシーを作成するだけ。
もしかしたら一番大変なのはMCASのポリシーを作ることよりも、
MCASのライセンスを買うための稟議を会社で通すことかもしれませんw
それは各自で頑張っていただくこととして早速見ていきましょう。
まず、MCASのポータルサイトにアクセスし、調査 > 接続アプリ からアプリコネクタを使ってMCASによる監視対象としたいクラウドサービスを登録します。
ちなみにOffice 365の場合は自動的に登録されるので、登録設定は不要です。
ここへの登録が完了すれば、MCASでの監視がスタートします。
次にポリシーを作成します。
制御 > ポリシー から[アクティビティポリシー]を新規作成します。
ポリシーの新規作成画面では、どのようなアクティビティがあったらアラートを出力するのか?という条件を設定します。
ただ、よく使われる設定が最初から盛り込まれたテンプレートが用意されているので、これを使うとポリシー設定を半自動化できます。
上の画面はポリシーの新規作成画面ですが、ここでテンプレートとして[外部ユーザーが追加されました]を選択すると、、
ご覧のように条件が自動的に追加されたことがわかります。
[フィルター]部分を拡大してみると、TeamsにExternal users(ゲストユーザー)がメンバーとして追加されたら.. という条件が入っていることがわかります。
[フィルター]部分の画面右上に[結果の編集とプレビュー]をクリックすると、条件に当てはまる事象を実際に検索してきてくれます。
Teamsにゲストユーザーが追加されたら.. の条件をもうちょっと工夫して「特定のチームに追加されたら..」という条件にしてみましょう。
フィルター設定にアクティビティIDというのがあるので、これを使うのですが、特定のチームのアクティビティIDってなに?ですよね。その場合にはプレビューで表示された結果から条件を作りましょう。特定のプレビュー結果をクリックし、表示された詳細情報からどこでもいいのでリンクをクリックすると、
ついにアクティビティIDが確認できました!
これを登録するのですが、[フィルターに追加]をクリックすれば自動登録もできます。
登録が完了した様子がこちら。
ここまででポリシーができあがり。
アラートはMCASのポータルサイトで確認できるだけでなく管理者にメールでお知らせしたり
ゲストアクセスに対してそのユーザーを使わせないようにするとか、サインインを改めて行わせるように設定したりすることができます。
すべての設定が完了できたら[作成]ボタンを押せば完了です。
アラート画面はこんな感じで表示されます。
画面上部のアクティビティログ部分が追加されたゲストユーザー、
画面下部のユーザー部分がTeamsでアクセス許可を与えたユーザーがそれぞれ表示されています。
Teamsを使う会社でAzure ADに勝手に作られるゲストユーザーの扱いに困っている会社は多いと思います。
ゲストユーザーの作成は管理者の承認が必要という運用もいいけど、スピーディーな業務の遂行だったり、管理者の手間だったりを考えるとなんでもかんでも管理者の承認が.. っていうのはやりたくない。
そういう時にTeamsへのゲストユーザーの追加は認めるけど、
誰が追加されたかは監視させてね☆という運用にするのも
ひとつの方法としてアリだと思います。
