「社員が自分の Microsoft アカウントでサインインして、個人用 Office をPCに入れてしまった」
「社給PCに、自宅用の Microsoft 365 Personal が混在している」
「誰がどのデバイスに何をインストールしたか、全くわからない」
こうした状況は、ライセンス管理の混乱・セキュリティリスク・IT工数の増大を招きます。
しかし Microsoft 365 の管理センターには、これを防ぐための機能が複数用意されています。
本記事では 段階的に制御を強化する 4 つのアプローチを解説します。
全体構成:4 つのレイヤーで守る
レイヤー1: M365 管理センターでポータルからのインストールボタンを非表示にする(基本) レイヤー2: 条件付きアクセスで管理対象デバイス以外をブロックする(中級) レイヤー3: テナント制限で個人アカウントによるサインインを禁止する(中〜上級) レイヤー4: Intune で個人デバイスの登録・個人 Microsoft アカウントを封じる(上級)
どのレイヤーを採用するかは、組織の規模・ライセンス・IT 成熟度によって異なります。
それぞれを順番に見ていきましょう。
レイヤー1:
M365 管理センターの「Officeインストールオプション」を制限する
概要
最もシンプルな方法です。
Microsoft 365 ポータル(https://m365.cloud.microsoft/)の 「アプリのインストール」ボタンを非表示にします。
これにより、一般ユーザーがポータルから Office をダウンロードできなくなります。
注意:
この設定はポータル上のボタンを隠すだけです。
すでにインストール済みの Office には影響しません。
また、設定はテナント全体に適用されますが、管理者は別の手段(ODT や管理ツール)でインストール可能です。
設定手順
- Microsoft 365 管理センター にグローバル管理者でサインインします
- 左メニューから 「設定」→「組織設定」→「サービス」タブ → 「Microsoft 365 インストール オプション」 を選択します
- 「インストール」タブでチェックを外します
- 「保存」をクリックします
これで Microsoft 365 ポータル上から Office のクイックインストール関連メニューが非表示になります。
IT 担当者による統制展開(代替インストール手段)
ポータルからのインストールを禁止したあとは、IT 管理者が管理されたインストーラを配布する必要があります。
- Office 展開ツール(ODT) を使って、組織内ファイルサーバー経由でインストール
- Microsoft Intune や Microsoft Configuration Manager (SCCM) を使って自動配布
レイヤー2:
条件付きアクセスで「管理対象デバイス以外」をブロックする
概要
Microsoft Entra ID(旧 Azure AD)の 条件付きアクセスを使って、会社が管理するデバイスからのみ Microsoft 365 へのアクセスを許可する設定です。
条件付きアクセスとは、「指定した条件に合ったサインインに対してポリシーを適用し、制御をかける」機能です。
アクセスを明示的に「許可」するのではなく、条件に合わないアクセスをブロックするという考え方です。
この機能を使うことで、組織アカウントによる Microsoft 365 へのアクセスを管理対象デバイスに限定できます。
ただし、個人用 Microsoft アカウント(MSA)による Office のインストール自体は制御できません。
あくまで「業務データへのアクセス制御」が目的です。
必要ライセンス:
Microsoft Entra ID P1 以上(Microsoft 365 Business Premium / E3 / E5 などに含まれます)
設定手順(準拠済みデバイスのみ許可)
- Microsoft Entra 管理センター にサインインします
- 「保護」→「条件付きアクセス」→「ポリシー」 を選択します
- 「新しいポリシーを作成」をクリックします
- 以下のように設定します:
| 項目 | 設定値 |
|---|---|
| ユーザーまたはワークロード ID | 対象ユーザーグループを選択(全ユーザーなど) |
| ターゲット リソース | Office 365 (Office ポータルとすべての Office アプリが含まれます) |
| 条件 → デバイスのフィルター | 任意(プラットフォームで絞る場合) |
| アクセス制御 → 許可 | 「デバイスは準拠しているとしてマーク済みである必要があります」または「Microsoft Entra ハイブリッド参加済みデバイスが必要」 |
- ポリシーを「オン」にして保存します
Break Glass アカウント(緊急アクセス用管理者アカウント)は必ず対象外に設定してください。
すべてのポリシーが誤ってブロックされた場合の緊急復旧に必要です。
条件付きアクセスが有効なシナリオ例
- 多要素認証(MFA)の強制: パスワードが漏洩しても不正サインインを防ぐ
- 特定ネットワーク以外をブロック: 社内 IP アドレス以外からの接続を制限
- リスクの高いサインインを自動ブロック: Entra ID Protection と連携して異常アクセスを検知
参考: 改めて知る Microsoft Entra 条件付きアクセス
参考: Entra ID 初学者向けシリーズ第 1 弾 – 条件付きアクセス 入門
参考: 条件付きアクセスとは
レイヤー3:
テナント制限(Tenant Restrictions)で個人アカウントをシャットアウトする
概要
テナント制限は、組織のネットワーク上から承認されたテナント以外への Microsoft 365 サインインをブロックする機能です。
たとえば以下のシナリオに対応します:
- 社員が会社PCで許可されていない組織テナント(他社テナント)へサインインすることを防ぎます。
また、設定内容によっては個人 Microsoft アカウント(MSA)の利用も制限可能ですが、完全な制御には Intune やデバイス制御との併用が前提となります。 - 会社PCで別会社テナントの OneDrive や Teams を使うのを禁止する
注意:
テナント制限 v1 はプロキシサーバーが必要です。
テナント制限 v2 は Windows 10/11 デバイスでは、Intune またはグループポリシーでエンドポイントにポリシーを配布することで、プロキシなしで適用可能です。
テナント制限 v1 の仕組み
組織内のプロキシサーバーが login.microsoftonline.com へのリクエストに以下の HTTP ヘッダーを挿入しますRestrict-Access-To-Tenants: 自社テナントID
Restrict-Access-Context: 自社テナントID
これにより Microsoft Entra ID が「許可されていないテナントへのサインイン」を拒否します。
テナント制限 v2(最新推奨)
Windows 10/11 デバイスでは、Intune またはグループポリシーでエンドポイントにポリシーを配布することで、プロキシなしで適用可能です。
- Microsoft Entra 管理センター でテナント制限 v2 ポリシーを作成します
- 許可するテナントと禁止する外部アプリを定義します
- Windows デバイスにポリシーを展開(Intune または グループポリシー)します
参考: テナント制限 v2 を設定する
レイヤー4:
Microsoft Intune で個人アカウント・個人デバイスを封じる
概要
Microsoft Intune(MDM)を活用することで、デバイス単位でより細かい制御が可能になります。
1:個人所有デバイスの Intune 登録をブロックする
会社が管理していないデバイスを MDM 登録させないようにします。
これにより、ユーザーが個人スマートフォンや私物 PC を勝手に Intune 登録することを防ぎます。
なお、アクセス自体の制御は条件付きアクセスと組み合わせて実現します。
- Microsoft Intune 管理センター に管理者でサインインします
- 「デバイス」→「登録」→「デバイス プラットフォームの制限」 を選択します
- 既定ポリシーの「すべてのユーザー」を選択し、プロパティを編集します
- 「個人所有のデバイス」を「ブロック」に変更して保存します
これにより、ユーザーが個人スマートフォンや私物 PC を勝手に Intune 登録することを防ぎます。
参考: 登録制限とは
2:Windows デバイスで個人の Microsoft アカウント追加をブロックする
Intune のデバイス構成プロファイルで、個人の Microsoft アカウントをデバイスに関連付けることを禁止できます。
Windows 10/11 Pro以上のエディションが対象です。
- Intune 管理センターで 「デバイス」→「構成」→「プロファイルの作成」 を選択します
- プラットフォーム「Windows 10 以降」、プロファイルの種類「デバイスの制限」を選びます
- 「アカウント」セクションで「Microsoft アカウント」→「ブロック」に設定します
- 対象グループに割り当てて保存します
設定カタログを使用する場合:Accounts / Allow Microsoft Account を 「0 (許可しない)」 に設定
設定の組み合わせ早見表
| やりたいこと | 推奨設定 | 必要ライセンス |
|---|---|---|
| ポータルからのDLを隠す | M365管理センター 「インストールオプション」 | 全ライセンス |
| 私物PCからの接続を拒否 | 条件付きアクセス (準拠デバイス必須) | Entra ID P1以上 |
| 他社テナントへのサインイン禁止 | テナント制限 v2 | Entra ID P1以上 |
| 私物PCを勝手にMDM登録させない | Intune デバイスプラットフォーム制限 | Intune ライセンス |
| PCへの個人MSアカウント追加禁止 | Intune 設定カタログ (Accounts) | Intune ライセンス |
設定前に必ずやること:Break Glass アカウントの準備
条件付きアクセスを設定する前に、緊急アクセス用の管理者アカウント(Break Glass アカウント)を必ず用意してください。
ポリシーの設定ミスにより、すべてのユーザー(管理者含む)がサインインできなくなるリスクがあります。
Break Glass アカウントは条件付きアクセスのすべてのポリシーから除外しておきます。
まとめ
「社員が勝手に個人用 Office を入れる」問題は、放置するとライセンス違反・セキュリティインシデント・IT管理コストの増大につながります。
しかし Microsoft 365 の管理センター・Entra ID・Intune を組み合わせることで、段階的かつ確実に制御を強化できます。
まずはレイヤー1(インストールオプション制限)から始め、組織の成熟度に合わせて条件付きアクセス → テナント制限 → Intune 管理へとステップアップすることをお勧めします。
「勝手に個人用Officeを入れる」行為は、善意(家でも仕事をしたい等)で行われることもあります。
技術的な制限と同時に、「なぜ制限が必要なのか(情報漏洩リスクやライセンス違反)」を社内規定で明文化し、周知する ことが、IT管理者の工数を減らす最後のピースになります。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
