通勤学｜Teamsゲストの“安全既定”3つ（期限 / 本人確認 / 監査） 🚇

結論✅

ゲスト運用は「有効期限を切る」「本人確認を強制」「痕跡を残す」が最低ライン。

ここだけ外さなければ事故は激減します。

運用イメージ 📝

[招待] → → → [参加] → → → [利用] → → → [終了]
   |            |            |            |
   |            |            |            └─ ③ 監査：ログ保存・アラート
   |            |            └─ ② 本人確認：MFA/ワンタイムコード
   |            └─ ① 期限：ゲスト/リンクの有効期限
   └─ 役割最小・所有者承認

今日やる実務アクション3つ ⏱️

⏳ ゲストの有効期限を設定 — “招待されっぱなし”を防止。期限到来で自動棚卸し。
🔐 本人確認を強制（MFA もしくはワンタイムコード）— 共有メールや私物端末からの“なりすまし”を封じる。
👀 監査ログの保存＆見張り（検索クエリのテンプレ化＋簡易アラート）— 共有・サインイン・チーム参加の痕跡を確実に残す。

30秒チェック（管理センターの場所だけ知っておけばOK） 🧭

➡️ 期限（ゲスト）：Microsoft Entra 管理センター → 外部ID（External Identities）→ 招待者の設定 / アクセスレビュー
➡️ 期限（共有リンク）：SharePoint 管理センター → ポリシー → 共有（既定のリンク有効期限）
➡️ 本人確認：Entra 管理センター → セキュリティ → 条件付きアクセス（Guests & External users に MFA必須）
➡️ 監査：Microsoft Purview 監査 → 検索（保存クエリ化）／アラートポリシー

※ UI名は環境で若干異なることがありますが、上の“太字ワード”で検索すれば到達できます。

設定のコア（そのまま運用に落とせる最小ルール）

① 期限（Expiration） ⏳

ゲストアカウントの期限：招待日から 90日（更新可）
共有リンクの期限：既定 7日／最大 30日（社外宛は短く）
棚卸し：対象＝“チーム所有者が外部メンバーを持つチーム”。毎月のアクセスレビューで未回答は自動削除。

チーム管理者向けメッセージ 📨

ゲストが必要な期間だけアクセスを許可してください。プロジェクト終了後は [メンバー] から外部アカウントを削除します。

② 本人確認（Verification） 🪪

MFA必須（推奨）：対象＝Guest or External user。場所＝条件付きアクセス。
- 例）ポリシー名：EXT-RequireMFA-for-Guest
- 控除：社外の“信頼済み”企業は クロステナント信頼を構成して MFA 主張を受け入れ可。
メールワンタイムパスコード（OTP）：MFAが難しい相手には OTP を有効（B2B招待の既定機能）。

落とし穴 ⚠️

共有メールやメーリングリスト宛の招待は禁止。個人メールに限定する。

③ 監査（Audit & Alert） 👀

保存クエリ（例）

操作: ExternalUserAdded（ゲスト追加）
操作: AddedToTeam（チーム参加）
操作: FileShared / AnonymousLinkCreated（匿名リンク作成）
デバイス: 非準拠端末からのサインイン

毎朝 1回見る場所：保存クエリの “前日分”
アラート：匿名リンク大量作成／深夜の大量サインイン失敗など（通知先：IT共有メール + Teams運用チャンネル）

失敗あるある（そして回避法） 🤕

期限だけ切って“再招待地獄”
→ レビュー結果で延長を許可。終了日が見えた案件は期日をカレンダー登録。
MFAを一気に掛けて社外が入れない
→ 先に**パイロット（2社）**で検証→周知→段階展開。
ログはあるけど誰も見ない
→ “保存クエリ＋当番表”で 責任の所在を固定。

よくある質問（現場向けテンプレ返答） ❓

Q. 期限で外れた人がまた必要になりました。
A. 所有者が再招待してください。再招待が多い場合は“期限90→120日”などに見直します。

Q. 取引先のセキュリティが厳しくてMFA不可と言われます。
A. まずはOTPで開始→先方のポリシーと整合後にMFAへ段階移行します。

Q. 共有リンクは“組織内のみ”が基本ですか？
A. 外部は“特定ユーザーのみ＋期限＋ダウンロード不可”を既定に。匿名リンクは原則禁止。

ミニチェックリスト ✅

ゲスト招待は個人メールに限定している
ゲスト期限：90日、共有リンク期限：7日に設定
MFAポリシー（Guest）が有効／例外は記録済み
監査の保存クエリが作成済みで、当番が決まっている
チーム所有者にゲスト削除の手順を周知済み

サンプル運用文（社内告知用・そのまま貼れる） 📣

10/1より、外部ゲストのTeams参加は「90日で自動棚卸し」「MFA（またはワンタイムコード）必須」「監査ログ常時記録」に統一します。プロジェクト終了後はゲスト削除をお願いします。再招待が必要な場合は所有者が実施してください。

次の一手（深掘り） 🔗

プレイブック：ゲスト運用の“社内ルールと手順書”の完成版（承認フロー、連絡テンプレ、棚卸し台帳）
関連の通勤学：
- 退職者アカウント“当日やること”5点チェック
- 共有リンクの期限延長を“申請制”にする最小構成