メッシュのorganizationの準備
このページでは、必要なタスクと、ロールアウトについて知る必要がある可能性がある推奨される機能ロールについて説明しますが、変更や構成管理など、organizationの標準的なロールアウト プロセスに従います。
このコンテンツでは、Mesh のイマーシブ スペースと Teams のイマーシブ スペースの Mesh 実装の要件について説明します。 大まかな手順は次のとおりです。
Mesh の実装を計画した後、 Teams で Microsoft Mesh を設定 し、 イマーシブ スペースを設定する方法について説明します。
デプロイ チームを収集する
エグゼクティブ レベルのスポンサーシップは、チーム間のブロックの問題に役立つよう強くお勧めします。
いくつかの管理ツールにアクセスする必要があります。
アバターとイマーシブ スペース管理を構成するには、Teams 管理 センター (TAC) が必要です。
Azure portalは、カスタム Mesh 環境に使用される Mesh クラウド スクリプトを管理するために必要です (環境で必要に応じてその形式のスクリプトを使用する場合)。
URL やファイアウォール ポートの許可などのその他のタスクは、organizationで使用される管理ツールで実行されます。
Mesh は Microsoft 365 スイートの他の部分を使用します。 organizationでこれらのリソースへのアクセスが制限されている場合、Mesh の一部は機能しません。 Microsoft 365 管理 ツールにアクセスできるユーザーと話し合って、制限があるかどうかを判断し、それらの制限が Mesh に干渉するかどうかをテストします。
たとえば、次の表では、特定のアクションに必要なアクセス権を定義します。
メッシュ アクション 必要なアクセス メッシュ コレクションをCreateする Microsoft 365 グループをCreateする Mesh コレクションにメンバーとして追加する Microsoft 365 グループにアクセスする Mesh イベントをCreateする Microsoft 365 予定表へのアクセス Mesh イベントに招待される Outlook メールへのアクセス テンプレートの作成 SharePoint へのアクセス イベントまたはテンプレートの上位に画像またはビデオを追加する SharePoint または OneDrive へのアクセス
ヒント
Mesh のデプロイと実行を行う個人またはチーム以外の個人または部門からの協力が必要になる場合があるセットアップ タスクがいくつかあります (ライセンス、セキュリティ、エンドポイント管理など)。 ヘルプ デスクや人事などの他の関係者にも相談する必要があります。
ライセンスとポリシーを確認する
Teams のアバターとイマーシブ スペースの場合、ユーザーは次のいずれかのライセンスを持っている必要があります:Teams Essentials、Microsoft 365 Business Basic、Microsoft 365 Business Standard、Microsoft 365 Business Premium、Microsoft 365 E3/E5、Office 365 E1/E3/E5。
Mesh のイマーシブ スペースのライセンス要件
Microsoft Mesh の場合は、次のものが必要です。
商用使用のためにテナント内のライセンスをTeams Premiumします。 Microsoft Teams Premium ライセンスの詳細 - Microsoft Teams |Microsoft Learn。
注意
世界中の公共部門、EDU、GCC ライセンスを持つテナントはサポートされていません。
Teams Premium購入の要件に関するページで説明されているように、Teams Premiumの前提条件ライセンス - Microsoft Teams |Mesh のすべてのユーザー向けの Microsoft Learn。
注意
すべてのTeams Premium前提条件ライセンスには、Sharepoint、OneDrive、M365 カレンダーが含まれます。 Teams for enterprise および Teams Premium 試用版ライセンスの詳細を確認します。
(省略可能) カスタムイマーシブ スペースを開発し、Cloud Scripting for Mesh 環境をデプロイするためのストレージを備えたライセンスと Azure サブスクリプションをUnityします。
Mesh Cloud Scripting のインフラストラクチャと管理の詳細については、こちらを参照してください。
サブスクリプションの要件
Microsoft Mesh を使用するには、すべてのユーザー (開発者、イベント オーガナイザー、イベント出席者/ユーザーを含む) に、SharePoint、OneDrive、M365 予定表にアクセスできる M365 Office サブスクリプションが必要です。
これらは、次の場合に必要です。
- グループの作成: Web 上の Mesh での Mesh World の作成に使用されます。
- SharePoint/OneDrive: カスタム イベント/テンプレートの作成に使用されます。
- メールボックス/予定表: イベントの作成や、イベントの招待の送受信に使用されます。
ヘルプについては、 メッシュ ライセンスのイマーシブ スペースに関するトラブルシューティングと FAQ を参照してください。
Teams のイマーシブ スペースのライセンス要件
必要なライセンス
ユーザーは、商用 Teams ライセンスを持っている必要があります:Microsoft Teams Enterprise、Teams Essentials、または Teams が含まれる M365、O365、または Business SKU のいずれか: Microsoft 365 Business Basic、Microsoft 365 Business Standard、Microsoft 365 Business Premium、Microsoft 365 E3/E5、および Office 365 E1/E3/E5。
Teams でイマーシブ スペースを設定する方法の詳細を確認します。
ヘルプについては、 Teams ライセンスのイマーシブ スペースに関するトラブルシューティングと FAQ を参照してください。
Mesh 用にプロビジョニングするテナントを検討する
Mesh 用にプロビジョニングするテナントを選択する際に考慮すべき 2 つのメイン要因は次のとおりです。
イマーシブ エクスペリエンスにアクセスできるユーザー。
イマーシブ エクスペリエンスに一緒に参加するすべてのユーザーは、同じMicrosoft Entra ID (旧称 Azure Active Directory) にネイティブ アカウントを持っている必要があります。テナントへのゲスト アクセスは機能しません。
ドメインを無制限に制御することと、ドメインを安全かつ効果的に実行する最終的な責任とのトレードオフ。
Mesh のプライマリ テナント
Mesh 用のプライマリ運用テナントをプロビジョニングすることをお勧めします。これは、テストに使用する最大のスコープが提供されますが、内部の手順と承認によってオーバーヘッド作業が発生する可能性があるためです。
Mesh 用の個別のテナント
運用テナントの外部のユーザーと共同作業する場合は、Mesh 専用に別のテナントを設定することをお勧めします。 そのorganizationで作業していないユーザーの運用テナントにユーザー アカウントを作成することに技術的な障壁はありませんが、ビジネス上の理由が強い場合があります。
注意
ただし、追加のテナントを作成すると、管理者とユーザーがアカウントを管理する複雑さが増し、ライセンスとドメイン管理に追加の費用が発生する可能性があり、organization内で追加のプロセスが必要になる場合があります。
実稼働バージョンの Teams のユーザーに対して Teams のイマーシブ スペースを使用することが予想される場合は、必ず Mesh 用に運用テナントをプロビジョニングする必要があります。 テスト用に他のテナントを作成できますが、1 日を通して Teams を使用するユーザーは、メイン Teams アカウントからログアウトして別のテナントの別のアカウントにログインする可能性は非常に低いです。 別のテナントは、アカウント間を反転する方が簡単な Mesh アプリの方が実用的です。
各テナントには複数の Azure Storage サブスクリプションを含めることができますが、Mesh クラウド スクリプトに使用される Azure Storage サブスクリプションは、イベントに参加するユーザーやスクリプトをアップロードおよび管理する開発者と同じ EntraID に含まれている必要があります。
サポート チームの所有者に問い合わせる
Mesh を実行するための手順を完了するには、さまざまな権限とアクセス許可を持っているか、必要な権限とアクセス許可を付与できるorganizationのユーザーと連絡を取る必要があります。 会社の構造とポリシーによっては、このプロセスに時間がかかる可能性があるため、できるだけ早くアウトリーチを開始するのに役立ちます。
次のセクションでは、必要な展開前タスクを完了するために使用する必要がある組織の役割の一覧を示します。
Teams アプリ マネージャー
イマーシブ スペースとアバターの管理者の管理は、Teams 管理ポータル ( admin.teams.microsoft.com) で行われます。 mesh チームのユーザーにMicrosoft Entraの Teams 管理者の役割を割り当てるには、テナント全体管理者が必要です。または、必要なすべての構成を行うには、現在の Teams Apps Manager と緊密に連携する必要があります。
Teams アプリ ポリシー
使用する Mesh コンポーネントの 2 つは Teams アプリです。承認されたユーザーのみがアクセスできるようにポリシーを設定する必要があります。 必要に応じて Mesh アプリを許可またはブロックするように、グローバル レベルまたはカスタム レベルで Teams アプリ ポリシーを変更します。 指定されたユーザーに Mesh コンポーネントを自動的にインストールする場合は、Teams アプリのセットアップ ポリシーも設定する必要があります。 Teams アプリ管理を所有するユーザーと調整して、適切なポリシーを計画します。 Teams のアクセス制御の詳細については、「」を参照してください https://admin.microsoft.com/Adminportal/Home#/rbac/directory。
Teams フィードバック ポリシー
Microsoft は、より良い製品を作るためにユーザーからのフィードバックに依存しています。 Teams 管理者は、ユーザーが Teams に関するフィードバックを Microsoft に送信できるかどうかを設定できます。 フィードバックは、Entra ID グループ メンバーシップに基づいて許可できます。 Teams フィードバックが無効になっている場合、ユーザーは Teams に組み込まれている Mesh 機能に関するフィードバックを送信できません。 Mesh ユーザーに対してこのフィードバックを許可することを組織に強くお勧めしますが、変更を加える前に会社のポリシーを参照してください。 フィードバックの管理の詳細については、次を参照してください。
ユーザー アクセスを許可するようにサービス プランを構成する
重要
管理者エクスペリエンスを合理化するために、管理者は M365 Apps 管理 Center で Mesh を構成する必要がなくなりました。 以前に、M365 Apps 管理 センターにある Mesh ポリシーを使用して、organization内のユーザーまたはグループへの Mesh アクセスを制限していた場合は、2024 年 2 月末までに、M365 管理 センター (MAC) ではなく Mesh サービス プランを使用してアクセスを制限するように切り替える必要があります。
サービス プランの詳細については、「サービス プラン を使用して Mesh へのアクセスを構成する」を参照してください。
使用許諾契約書
Mesh エクスペリエンスの空間オーディオを有効にするには、ユーザーが Microsoft と直接別の契約を締結する必要があります。 この契約は、ユーザーが Mesh を初めて使用する前にユーザーに提示されます。 ユーザーがその契約を締結したくない場合、ユーザーは Mesh を使用できません。
管理者が使用許諾契約書の条項に同意しない場合、管理者は上記のサービス プランを使用してユーザーの Mesh を無効にすることができます。
サービス プランとエンド ユーザー使用許諾契約書の詳細については、「 エンド ユーザーライセンス契約」を参照してください。
エンドポイント マネージャーを確認する
アプリをデプロイするためのorganizationのプロセスがわかっていることを確認します。 Mesh アプリは Microsoft Store で使用でき、MDM (モバイル デバイス管理) ソリューション (Microsoft Intune を使用してアプリを展開し、ユーザーのポータル サイトに表示するようにして、そこから使用できます。 Microsoft Store へのアクセスをブロックする場合は、代わりに WinGet を使用できます。 Microsoft Intuneを使用したアプリのデプロイの詳細については、次を参照してください。
Microsoft Store アプリを Microsoft Intune に追加する
クラウド スクリプト用に Azure を構成する
開発者が Mesh Cloud Scripting を使用するカスタム Mesh 環境を構築する予定の場合、クラウド スクリプト サービスをデプロイできる Azure サブスクリプションが必要になります。 Mesh Visual Scripting のみを使用する環境では、Azure サブスクリプションは必要ありません。
Mesh Cloud Scripting の前提条件の詳細については、「 最初の Mesh Cloud Scripting プロジェクトの準備」を参照してください。
organizationのセキュリティ チームと連携する
新しいアプリまたはサービスをデプロイする前に、セキュリティへの影響を考慮し、セキュリティ チームと緊密に連携して、すべての標準セキュリティ ポリシーに準拠していることを確認する必要があります。 次の Mesh 要件について、適切なセキュリティ所有者と事前に話し合います。
Teams でのエクスペリエンスのエンドポイントとファイアウォール ポート
| Teams のイマーシブ スペース | Teams でのアバター | |
|---|---|---|
| 必要なエンドポイント | 次のエンドポイントは、ファイアウォールまたはプロキシ サーバー経由で許可 する必要があります 。 すべてのエンドポイントでは、TCP ポート 80 と 443 でトラフィックを許可する必要があります。 *.microsoft.com |
次のエンドポイントは、ファイアウォールまたはプロキシ サーバー経由で許可 する必要があります 。 すべてのエンドポイントでは、TCP ポート 80 と 443 でトラフィックを許可する必要があります。 *.microsoft.com |
| ファイアウォール ポート | 上記のエンドポイントに加えて、Mesh では、次のプロトコルとポートを介して"AzureCloud" サービス タグの IP アドレスに送信トラフィックを許可することも必要です。 TCP ポート 80、443 サービス タグを IP 範囲の一覧に解決する必要がある場合は、サービス タグ API を定期的に使用するか、スナップショットをダウンロードできます。 サービス タグの詳細については、「 Azure サービス タグの概要」を参照してください。 |
Microsoft 365 URL と IP アドレス範囲で概説されている標準の Microsoft Teams 要件セットに合わせて調整されます。 |
詳細については、「 Teams でイマーシブ スペースを設定 する」および「 Microsoft Teams でアバターを設定する」を参照してください。
Mesh のイマーシブ スペース用のエンドポイントとファイアウォール ポート (Mesh アプリ)
| Mesh アプリでのシングル ルーム イベント | Mesh アプリでのマルチルーム イベント | |
|---|---|---|
| 必要なエンドポイント | Microsoft 365 URL と IP アドレス範囲で概説されている標準の Microsoft Teams 要件セットに合わせて調整されます。 | Mesh が正しく動作することを確認するには、次のエンドポイントを許可します。 すべてのエンドポイントでは、TCP ポート 80 と 443 でトラフィックを許可する必要があります。 *.officeapps.live.com |
| ファイアウォール ポート | Microsoft 365 URL と IP アドレス範囲で概説されている標準の Microsoft Teams 要件セットに合わせて調整されます。 | 上記のエンドポイントに加えて、Mesh では、次のプロトコルとポートを介して"AzureCloud" サービス タグの IP アドレスに送信トラフィックを許可することも必要です。 TCP ポート 80、443 サービス タグを IP 範囲の一覧に解決する必要がある場合は、サービス タグ API を定期的に使用するか、スナップショットをダウンロードできます。 サービス タグの詳細については、「 Azure サービス タグの概要」を参照してください。 |
シングル ルームイベントとマルチルーム イベントの詳細については、「Mesh でイベントをCreateする」を参照してください。
条件付きアクセス & Quest
条件付きアクセスは、ネットワークとリソースをセキュリティで保護するためのゼロトラスト アプローチの重要な部分です。 ゼロ トラストの一環として、多くの企業は、Microsoft EntraとMicrosoft Intuneを持つ条件付きアクセス機能ポリシーを使用して、会社のリソースへのアクセスが許可されるデバイスの種類、およびそれらのデバイスのオペレーティング システムのバージョンと構成を制限します。定義されたプロファイルを満たすデバイスは許可され、指定されていないその他のデバイスはアクセスを拒否されます。 Meta は、Intuneで動作する Quest のベータ GA バージョン MDM サポートをリリースしました。 プレリリースで Mesh を使用する各企業は、セキュリティおよびエンドポイント管理チームと協力して、Quest デバイスへのアクセスを許可しながら、会社のリスク プロファイルに許容されるポリシーを構築できるかどうかを決定する必要があります。
現在、1 つのソリューションがあります。Mesh on Quest をブロックする条件付きアクセス ポリシーを使用して Mesh on Quest にアクセスするには、Microsoft Entraでカスタムの条件付きアクセス ポリシーを作成し、Microsoft Mesh Services とOffice 365を除外します。
条件付きアクセスの詳細については、次を参照してください。
変化を伝える利害関係者と協力する
上記のすべての利害関係者は、Mesh 環境のセットアップに影響を与えるアクティブな手順を持っていますが、組織の他の部分がデプロイの影響を受けるか、計画プロセスの早い段階で考慮する必要があるポリシーまたはガイドラインを持っている可能性があります。 デプロイする前に手を差し伸べるために必要なorganizationの領域をいくつか次に示します。
通信の変更: 保留中の変更についてユーザーに連絡するための標準的なプロセスがある場合は、Mesh がそれらの通信の一部であることを確認します。
ヘルプ デスク: Mesh を使用して問題が発生したユーザー向けのサポート プランを用意します。 Mesh 管理者が、必要に応じて Microsoft に連絡できるように、ユーザーが経験した問題を確認する方法があることを確認します。
人事: Mesh では、デプロイや運用に関する人事からの特定のアクションは必要ありませんが、HR は Mesh がユーザーにイマーシブ エクスペリエンスを作成することに関心がある場合があります。 Mesh 会議のエクスペリエンスに影響を与える可能性があるポリシーについては、人事部にお問い合わせください。
会社のブランド化: ユーザー向けのカスタム会議エクスペリエンスを作成する場合は、会社のブランド化の専門家とチェックして、会議資産がブランド化基準を満たしていることを確認する必要があります。
Mesh アバターに対するユーザーの準備
Teams でアバター機能を初めてロールアウトする場合、一部のユーザーは、使用するのが良いタイミングに関するガイダンスを必要とし、使用するのが良くない場合があります。 Microsoft は、アバター エチケットに関するブログを公開しました。 Microsoft の従業員が Microsoft Teams のアバターを会議でどのように使用しているか。 このドキュメントは、ユーザーと共有したい資料を通知するのに役立ちます。
まとめ
Microsoft Mesh には、リモートおよびハイブリッドワークプレースでのコミュニケーションとコラボレーションを強化する強力な機能が多数用意されています。 このサービスはサービスにまたがるエクスペリエンスを提供するため、必要なすべての利害関係者が、ここに記載されているものと、organizationに固有の他の関係者の両方に入力を提供するように計画してください。