サイトのアクセス許可の概要
サイトのアクセス許可の概要
こんにちは、Microsoft SharePoint 2010 製品のサイトのアクセス許可を担当しているテクニカル ライターの Monica Xie です。アクセス許可は、サーバー ファームからリスト アイテムまで、SharePoint 階層のほとんどすべてのレベルで、セキュリティの管理において重要な役割を演じます。このブログでは、サイトおよびサイト コンテンツ レベルでのアクセス許可について説明し、アクセス許可に関する 3 つの概念、アクセス許可の管理に関係する 2 つの要素、および SharePoint Server 2010 で導入された 2 つの新しいアクセス許可を照会します。
3 つの概念
アクセス許可
"アクセス許可" (個別アクセス許可または基本アクセス許可とも呼ばれます) は、ページを表示する、アイテムを開く、サブサイトを作成する、といった特定の操作の実行をユーザーに許可します。ただし、ユーザー設定のアクセス許可レベルを追加しない限り、これらの個別アクセス許可 (図 1) を扱うことはほとんどありません。
図 1
アクセス許可レベル
"アクセス許可レベル" は、個別アクセス許可のコレクションであり、それらがひとまとまりとして、ユーザーが関連のあるタスクのセットを実行できるようにします。1 人のユーザーまたは 1 つのグループに 1 つまたは複数のアクセス許可レベルを割り当てることができます。
ユーザーまたはグループにアクセス許可を付与する、という場合、実際にはユーザーまたはグループにアクセス許可レベルを付与することを意味します。UI の [アクセス許可の付与] (Grant Permissions) (図 2) と [ユーザーにアクセス許可を直接付与する] (Grant users permission directly) (図 3) を混同しないでください。ここで使われているアクセス許可はすべてアクセス許可レベルのことです。各アクセス許可およびアクセス許可レベルの詳細については、「ユーザー権限とアクセス許可レベル (SharePoint Foundation 2010)」および「ユーザー権限とアクセス許可レベル (SharePoint Server 2010)」を参照してください。
図 2
図 3
詳細に設定されたアクセス許可
サイト管理者は、ユーザーまたはグループにアクセス許可レベルを割り当てることで、サイトおよびサイト コンテンツへのアクセスを管理します。アクセス許可 (レベル) の割り当ては、トップレベル サイト、サイト、サブサイト、リストまたはライブラリ、フォルダー、アイテムまたはドキュメントなど、サイト階層のすべてのレベルで行うことができます。リストやライブラリ、フォルダー、またはアイテムやドキュメントなどの小さい下位レベルにアクセス許可 (レベル) を割り当てる場合、このようなアクセス許可 (レベル) のことを "詳細に設定されたアクセス許可" と呼びます。詳細に設定されたアクセス許可のことを、"リストレベルのアクセス許可" または "アイテムレベルのアクセス許可" と呼んでいるトピックもあります。詳細に設定されたアクセス許可に関する詳細については、ホワイト ペーパー「Best practices for using fine-grained permissions (SharePoint Products and Technologies) (英語)」をダウンロードしてください。
2 つの要素
個別アクセス許可、アクセス許可レベル、および詳細に設定されたアクセス許可に加えて、アクセス許可の管理に関係のある重要な要素として、アクセス許可の継承とグループ作成があります。
アクセス許可の継承
既定では、すべてのサイトとコンテンツは、サイト コレクション内で自分より上位にあるトップレベル サイトまでのすべての親オブジェクトから、アクセス許可を継承します (たとえば、リスト アイテム --> フォルダー --> リスト --> サイト --> トップレベル サイト)。したがって、サイト内でアクセス許可の継承を断たない限り、アクセス許可は継承されて共有されます。ただし、すべてのサイトとコンテンツが同じアクセス許可を共有するのは現実的ではありません。SharePoint には、任意のサイトまたはコンテンツのレベルでこの継承を断ち、ユーザー設定のアクセス許可を追加するメカニズムが用意されています。図 4 で示されている [継承] (Inheritance) グループを使用することで、アクセス許可の継承を管理できます。
図 4
注意: 管理が簡単になるように、サイト、サブサイト、リスト、およびライブラリを、ほとんどのアクセス許可を共有できるように構成してください。機密性の高いデータは専用のリスト、ライブラリ、またはサブサイトに分けて格納し、そこには固有のアクセス許可を割り当てます。
グループ作成
SharePoint グループは、特定のサイトまたはコンテンツに対して同じアクセス許可を共有できるユーザーのコレクションです。グループを作成するときは、常に、特定のアクセス許可レベルをグループに結び付けます。その後、その特定のアクセス許可レベルをユーザーに割り当てるときは、単にユーザーをグループに追加します。
さらに、Active Directory グループ (具体的にはセキュリティ グループ) を SharePoint グループの中に入れ子にできます。このようにすると、アクセス許可の管理がいっそう容易になります。会社のユーザーが増えたり減ったりするときは、AD グループで個別のユーザーを管理する必要はありません。AD DS (Active Directory ドメイン サービス) が自動的にユーザーを管理します。このことは、AD グループを含む SharePoint グループが複数あるとよくわかります。セキュリティ グループの使用に関する推奨事項の詳細については、「セキュリティ グループを選択する (SharePoint Foundation 2010)」および「セキュリティ グループを選択する (Office SharePoint Server)」を参照してください。
図 5 で示されている [許可] (Grant) グループを使用すると、SharePoint グループを作成できます。
図 5
SharePoint グループは、通常、サイト コレクション レベルで作成します。グループをサイト レベルで作成した場合 (アクセス許可を親サイトから継承します)、そのサイトでグループにアクセス許可レベルを直接付与することはできません。図 6 は、グループが作成されているサイトでグループにアクセス許可を付与しようとした場合に表示されるメッセージです。その親サイトに移動して、そこでグループにアクセス許可を付与することはできます。
図 6
アクセス許可に関する 3 つの概念と、アクセス許可の管理に関する 2 つの要素の詳細については、「サイト権限を計画する (SharePoint Foundation 2010)」および「サイトの権限を計画する (SharePoint Server 2010)」を参照してください。
2 つの新機能
SharePoint 2010 のアクセス許可機能は、SharePoint 2007 からそれほど変更されていません。ここでは、SharePoint 2010 での 2 つの主要な新機能について紹介します。
権限の確認
権限の確認は、SharePoint 2010 で使用できる新しい機能です。
[権限の確認] (Check Permissions ) ボタン (図 7) をクリックすると、すべてのサイト コレクション リソースでのユーザーまたはグループのアクセス許可を判別できます。ユーザーに直接割り当てられているアクセス許可と、ユーザーが属しているグループに割り当てられているアクセス許可がわかります (図 8)。
図 7
図 8
継承警告バー
もう 1 つの新しい機能は、サイト内で固有のアクセス許可を付与されているセキュリティで保護されたコンテンツを示す黄色の警告バーです (図 9)。[固有のセキュリティで保護されたコンテンツの表示] (Show me uniquely secured content) リンクをクリックすることで、そのコンテンツを確認できます。警告バーには、アクセス許可の継承元である親サイトも示されます。
図 9
これはローカライズされたブログ投稿です。原文の記事は「An overview of site permissions 」をご覧ください。