パブリック M365 グループ

Microsoft 365 グループは、さまざまな Office 365 アプリケーション (特に Microsoft Teams) で基本機能として使われています。各チームは、関連付けられている M365 グループに対応しています。これらのグループを作成し、後からプライベートまたはパブリックのプライバシー設定で変更できます。これは次のように機能します。

グループ作成時に、プライベートグループまたはパブリックグループ​のどちらにするかを決める必要があります。パブリックグループのコンテンツは組織内の誰でも閲覧でき、組織内の誰でもそのグループに参加できます。プライベートグループのコンテンツはそのグループのメンバーのみが閲覧でき、プライベートグループに参加したいユーザーは、グループの所有者の承認を受けなければなりません。

パブリックグループは便利ですが、リスクもあります。ゲストユーザーも含め、組織のテナント内のすべてのユーザーが自由にこれらのグループに参加し、そこに含まれるデータにアクセスすることができるからです。例

• Teams: 会話と共有ファイル (実際には SharePoint サイトに保存されます)
• OneDrive: 共有ライブラリ
• Exchange Online: Outlook グループメールボックス
• OneNote: 共有ノート
• Microsoft Planner と Microsoft To Do タスク
• Azure クラウドリソース (M365 グループに Azure ロールを割り当てることができるため)
• その他

悪意のあるユーザーや好奇心のあるユーザーが、ハッキングツールを使わなくても、パブリックグループを簡単に見つけることができます。たとえば、Teams や Outlook の「チームとチャネルの作成および参加」機能を使って、または「マイアプリのグループアクセスパネル」から見つけることができます。

Microsoft 365 では、セキュリティグループの場合のように IT 管理者に作成を依存するのではなく、エンドユーザーが自分で、Teams (最も一般的)、Outlook、SharePoint などのアプリケーションからグループを作成し、パブリックにするかプライベートにするかを選択します。そのためエンドユーザーはしばしば、組織の Entra テナント内の誰でもグループ所有者の承認を必要とせずにグループに参加でき、その結果グループのすべてのコンテンツにアクセスできるようになることを十分に理解せずに、パブリックプライバシーのオプションを選択してしまいます。

「統一グループ」とも呼ばれる Microsoft 365 グループは、以前は「Office 365 グループ」と呼ばれていたもので、Entra ID に保存されているグループタイプの 1 つです。この露出インジケーター (IoE) は、パブリック/プライベートのプライバシーオプションのない、一般的に知られている Microsoft Entra セキュリティグループではなく、これらの Microsoft 365 グループを重点的に調べます。

制限: この露出インジケーター (IoE) は、パブリック M365 グループが正当であるかどうかを自動的に判断できません。

注意: プライベートグループでも、意図せず機密情報が露呈してしまう可能性があります。デフォルトでは、プライベートグループの名前、説明、メンバーリストが、組織のテナント内のどのユーザーにも表示されるようになっているからです。このメタデータだけで、機密性の高い情報を推測できる可能性があります。たとえば、グループ名に含まれている情報から、取得できる標的がわかるかもしれません。このリスクを軽減するために、Microsoft はディレクトリリストからプライベートグループを非表示にし、そのメンバーリストを隠すオプションを提供しています。ただし、これらの設定はデフォルトで無効にされています。つまり、組織は事前対応的に有効にして、プライベートグループのメタデータの機密性を保つ必要があります。

この IoE は、パブリック設定されているすべての Microsoft 365 グループについて報告します。この IoE はグループのパブリックステータスの正当性を自動的に判断できないため、各検出結果を確認して、次のいずれかのアクションを実行する必要があります。

• グループに個人情報が含まれている場合、そのプライバシー設定をプライベートに変更し、承認されたユーザーのみがグループメンバーとして含まれることを確認します。このように設定すると、グループの所有者は、誰かがグループへの参加を依頼するたびにアクセスリクエストを受け取ります。
• グループに公開情報のみが含まれているなどの理由で、意図的にパブリックに設定されている場合は、そのグループを IoE の除外オプションに追加して、そのパブリック設定が適切であることを確認します。

Microsoft 365 グループには、グループの設定とメンバーシップの管理を担当する所有者が指名されています。グループのプライバシー設定が適切であることを確認する必要がある場合は、グループの所有者に E メールまたは Teams チャットで連絡できます。

Microsoft 365 グループのプライバシー設定は、さまざまな方法でパブリックまたはプライベートに変更できます。

• Microsoft 365 管理センター: [Teams & グループ] -> [アクティブなチーム & グループ] メニューで、グループをクリックし、[設定] タブの [プライバシー] 設定を変更します。
• Teams 管理センター: [Teams] -> [チームの管理] メニューで、グループをクリックし、[設定] タブの [プライバシー] 設定を編集します。
• Microsoft Graph PowerShell: Update-MgGroup -Visibility Publication|Private|HiddenMembership コマンドレットを使用します。
• Microsoft Graph API: グループの更新 API を使用し、visibility プロパティを設定します。
• Exchange PowerShell: Set-UnifiedGroup -AccessType Publication|Private コマンドレットを使用します。
• Outlook クラシックまたはウェブ: 記事で説明されている手順に従います。

Outlook および Azure ポータルで作成された M365 グループは、デフォルトでプライベートに設定されています。これは変更可能です。

組織のセキュリティおよびプライバシーポリシーに準拠していない可能性があるパブリックグループの新規作成を防ぐために使えるオプションは、次のとおりです。

• 機密性ラベルを使用します (ライセンス要件に準じる)。機密性ラベルを、許可されているまたは許可されていないプライバシー設定に関連付けます。たとえば、「機密」の機密性ラベルでマークされた Teams チームをプライベートプライバシー設定のみに限定します。
• Microsoft 365 グループを作成できるユーザーを管理します (ライセンス要件に準じる)。グループの作成は、適切なプライバシーレベルを選択できる知識のある管理者に限定します。グループの作成用のカスタムフォームを実装し、適切なプライバシー設定を確保します。注意: 一般的にユーザーはチームを自分で作成できる機能を求めるため、このアプローチはエンドユーザーの自律性を低下させる可能性があります。
• エンドユーザーの責任と各プライバシーオプションの影響について教育してください。ユーザーへの Microsoft 365 グループの説明については、Microsoft のドキュメントを参照してください。エンドユーザーが自分の責任を認識して、グループのプライバシー設定に関する情報に基づいた決定を行えるようにします。
• スクリプトまたはこの IoE を使用して、パブリック Microsoft 365 グループを定期的に列挙します。グループの所有者にメールまたは Teams メッセージを送信して、パブリックグループに付随するリスクをリマインドします。所有者が意図を確認するか、グループのプライバシー設定を変更できるようにします。

名前: パブリック M365 グループ

コード名: PUBLIC-M365-GROUP

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure