ファイル コラボレーション環境の計画と展開 - SharePoint
Microsoft 365 のサービスを使用すると、安全で生産性の高い、ユーザー用のファイルの共同作業環境を作成できます。 SharePoint はこの機能の大部分を占めますが、Microsoft 365 でのファイル コラボレーションの機能は、従来の SharePoint サイトを超えています。 Teams、OneDrive、およびさまざまなガバナンスとセキュリティ オプションはすべて、ユーザーが簡単に共同作業でき、organizationの機密性の高いコンテンツがセキュリティで保護されたリッチ環境を作成する役割を果たします。
以下のセクションでは、コラボレーション環境を設定するときに管理者が考慮する必要があるオプションと決定事項について説明します。
SharePoint と Microsoft 365 の他のコラボレーション サービス (OneDrive、Microsoft 365 グループ、Teams など) との関係。
ユーザーに対して直感的で生産性の高いコラボレーション環境を作成する方法。
アクセス許可、データ分類、ガバナンス ルール、監視を使用してアクセスを管理することで、organizationのデータを保護する方法。
これは、より広範な Microsoft 365 コラボレーション ストーリーの一部です。
Microsoft 365 for IT アーキテクト向けMicrosoft Teamsおよび関連する生産性サービスのポスターをダウンロードし、この記事を読んでいる間に参照することをお勧めします。 このポスターでは、Microsoft 365 のコラボレーション サービスが相互にどのように関係し、相互作用しているかを詳しく説明します。
成功したコラボレーション エクスペリエンスの作成
Microsoft 365 のファイルコラボレーションに選択する技術的な実装オプションは、矛盾した要件と思われるもののバランスを取る必要があります。
知的財産の保護
セルフサービスの有効化
スムーズなユーザー エクスペリエンスの作成
知的財産の保護
知的財産を保護するためのオプションは、この記事の後半で説明します。 これには、共有できるファイルの制限、秘密度ラベルを使用したガバナンス ポリシーの適用、ユーザーがコンテンツへのアクセスに使用するデバイスの管理などがあります。
選択するオプションを検討する際には、バランスの取れたアプローチをお勧めします。
ユーザーがコンテンツを自由に共有できる構成は、機密データの偶発的な共有につながる可能性があります。 ただし、使用が困難または制限が厳しすぎるユーザー エクスペリエンスは、ユーザーがガバナンス ポリシーを回避する代替の共同作業オプションを見つけ、最終的にはリスクがさらに大きくなります。
データの機密性に応じて、機能の組み合わせを使用することで、使いやすく、必要なセキュリティと監査の制御を提供するコラボレーション環境を作成できます。
セルフサービスの有効化
Microsoft 365 では、ユーザーが必要に応じて Teams、Microsoft 365 グループ、SharePoint サイトを作成できるようにすることをお勧めします。 秘密度ラベルを使用して、アクセス許可ガバナンスを適用し、コンテンツを保護するコンプライアンス機能を活用し、有効期限と更新ポリシーを使用して未使用のサイトが蓄積されないようにすることができます。
ユーザーのセルフサービスを優先するオプションを選択することにより、IT スタッフへの影響を最小限に抑えながら、ユーザーにとって使いやすいエクスペリエンスを作成できます。
スムーズなユーザー エクスペリエンスの作成
スムーズなユーザー エクスペリエンスを作成するための鍵は、ユーザーが理解していない、またはヘルプ デスクにエスカレートする必要があるユーザーの障壁を作成しないようにすることです。 たとえば、サイトの外部共有をオフにすると、ユーザーの混乱や不満が生じる可能性があります。一方、サイトとそのコンテンツを機密としてラベル付けし、データ損失防止ポリシーのヒントと電子メールを使用してガバナンス ポリシーでユーザーを教育すると、ユーザーのエクスペリエンスがスムーズになる可能性があります。
SharePoint、Microsoft 365 グループ、および Teams
Microsoft 365 の SharePoint では、各 SharePoint チーム サイトは Microsoft 365 グループの一部です。 Microsoft 365 グループは、SharePoint サイト、Plannerのインスタンス、メールボックス、共有予定表など、さまざまな Microsoft 365 サービスに関連付けられている 1 つのアクセス許可グループです。 Microsoft 365 グループに所有者またはメンバーを追加すると、他の接続されたサービスと共に SharePoint サイトへのアクセス権が付与されます。
引き続き SharePoint グループを使用して SharePoint サイトのアクセス許可を個別に管理できますが、ユーザーを追加するか、関連付けられている Microsoft 365 グループから削除することで、SharePoint のアクセス許可を管理することをお勧めします。 これにより、管理が容易になり、ユーザーがより良いコラボレーションに使用できる関連サービスのホストにアクセスできるようになります。
Microsoft Teamsは、Microsoft 365 グループ関連のすべてのサービスに加え、さまざまな Teams 固有のサービスを永続的なチャットで 1 つのユーザー エクスペリエンスにまとめることで、コラボレーションのハブを提供します。 Teams は、関連付けられている Microsoft 365 グループを使用してアクセス許可を管理します。 Teams エクスペリエンス内で、ユーザーはアプリケーションを切り替えることなく、他のサービスと共に SharePoint に直接アクセスできます。 これにより、一元化された共同作業スペースが提供され、権限の管理を 1 つの場所で行うことができます。 Teams では、標準チャネル内のファイルに対して Microsoft 365 グループに接続されている SharePoint サイトを使用し、プライベート チャネルまたは共有チャネルごとに個別の SharePoint サイトを作成します。 organizationでのコラボレーション シナリオでは、SharePoint などのサービスを個別に使用するのではなく、Teams を使用することを強くお勧めします。
SharePoint と Teams の相互連携の詳細については、「Teams と SharePoint 統合の概要」および「SharePoint と Teams が統合されている場合の設定とアクセス許可の管理」を参照してください。
クライアント アプリケーションでのコラボレーション
Word、Excel、PowerPointなどの Office アプリケーションは、共同編集や@mentionsなど、さまざまなコラボレーション機能を提供し、秘密度ラベルやデータ損失防止と統合されています (後述)。
Microsoft 365 Apps for enterpriseをデプロイすることを強くお勧めします。 Microsoft 365 Apps for enterpriseは、ユーザーに常に最新のエクスペリエンスを提供し、制御できるスケジュールに従って最新の機能と更新プログラムを提供します。
Microsoft 365 Apps for enterpriseのデプロイの詳細については、「Microsoft 365 Appsのデプロイ ガイド」を参照してください。
OneDrive ライブラリ
SharePoint には、チームが共同作業できる共有ファイル用の共有ライブラリが用意されていますが、ユーザーは OneDrive に個々のライブラリを持ち、所有するファイルを格納することもできます。
ユーザーが OneDrive にファイルを追加しても、そのファイルは他のユーザーと共有されません。 OneDrive には SharePoint と同じ共有機能が用意されているため、ユーザーは必要に応じて OneDrive でファイルを共有できます。
ユーザーの個々のライブラリには、Teams から、および OneDrive Web インターフェイスとモバイル アプリケーションからアクセスできます。
Windows または macOS を実行しているデバイスでは、ユーザーは OneDrive 同期 アプリをインストールして、OneDrive と SharePoint の両方のファイルをローカル ディスクに同期できます。 これにより、オフラインでファイルを操作でき、Web インターフェイスに移動することなく、ネイティブ アプリケーション (Wordや Excel など) でファイルを開く利便性も提供します。
コラボレーション シナリオで OneDrive を使用する場合に考慮すべき 2 つのメイン決定事項は次のとおりです。
Microsoft 365 ユーザーが OneDrive 内のファイルをorganization外のユーザーと共有することを許可しますか?
マネージド デバイスのみになど、何らかの方法で ファイル同期を制限 しますか?
これらの設定は、 SharePoint 管理センターで使用できます。
データのセキュリティ保護
成功したコラボレーション ソリューションの重要な部分は、organizationのデータのセキュリティを確保することです。 Microsoft 365 には、ユーザーのシームレスなコラボレーション エクスペリエンスを実現しながら、データのセキュリティを維持するのに役立つさまざまな機能が用意されています。
organizationの情報を保護するために、次のことができます。
共有の制御 – サイト内の情報の種類に適した各サイトの共有設定を構成することで、知的財産を保護しながら、ユーザー向けのコラボレーション スペースを作成できます。
情報の分類と保護 - organization内の情報の種類を分類することで、自由に共有する情報と比較して機密性の高い情報に対して高いレベルのセキュリティを提供するガバナンス ポリシーを作成できます。
デバイスの管理 – デバイス管理を使用すると、デバイス、場所、その他のパラメーターに基づいて情報へのアクセスを制御できます。
アクティビティの監視 – Teams と SharePoint で発生しているコラボレーション アクティビティを監視することで、organizationの情報がどのように使用されているかについての分析情報を得ることができます。 アラートを設定して、疑わしいアクティビティにフラグを設定することもできます。
脅威から保護する – ポリシーを使用して SharePoint、OneDrive、および Teams の悪意のあるファイルを検出することで、organizationのデータとネットワークの安全性を確保できます。
これらはそれぞれ、以下で詳しく説明します。 選択できるオプションは多数あります。 organizationのニーズに応じて、セキュリティと使いやすさの最適なバランスを提供するオプションを選択できます。 規制の厳しい業界にいる場合や、機密性の高いデータを扱っている場合は、これらの制御の多くを実施することをお勧めします。一方、organizationの情報が機密性が高くない場合は、基本的な共有設定と悪意のあるファイル アラートに依存する必要があります。
共有を制御する
SharePoint と OneDrive 用に構成する共有設定によって、ユーザーがorganizationの内外で共同作業できるユーザーが決まります。 ビジネス ニーズとデータの機密性に応じて、次のことができます。
organization外のユーザーとの共有を禁止します。
organization外のユーザーに認証を要求する。
指定したドメインへの共有を制限します。
これらの設定は、organization全体、またはサイトごとに個別に構成できます (プライベート または共有チャネル サイトを除く)。 詳細については、「サイト の共有をオンまたはオフにする 」および「 共有を有効または無効にする」を参照してください。
organization外のユーザーとの共有に関する詳細なガイダンスについては、「ゲストと共有するときのファイルへの偶発的な公開を制限する」を参照してください。
ユーザーがファイルとフォルダーを共有すると、アイテムに対するアクセス許可を持つ共有可能なリンクが作成されます。 3 つの主要なリンクの種類があります。
- すべてのユーザー - 誰でも使用でき、サインインが必要ないリンク
- organizationのPeople - organization内のユーザーに対して機能するリンク
- 特定のユーザー - リンクの作成時に指定されたユーザーに対して機能するリンク
これらのリンクの種類の詳細については、「 Microsoft 365 の OneDrive と SharePoint での共有可能なリンクのしくみ」を参照してください。
[すべてのユーザー] リンクを使用した認証されていないアクセス
すべてのリンクは、organization外のユーザーとファイルやフォルダーを簡単に共有するための優れた方法です。 ただし、機密情報を共有する場合は、この方法は最適ではない可能性があります。
organization外のユーザーに認証を要求する場合、すべてのリンクをユーザーが使用できなくなり、共有ファイルとフォルダーのゲスト アクティビティを監査できます。
すべてのリンクでは、organization外のユーザーの認証は必要ありませんが、必要に応じてすべてのリンクの使用状況を追跡し、アクセスを取り消すことができます。
[すべてのユーザー] リンクを許可する場合は、より安全に共有を行うためのオプションがいくつかあります。
[すべてのユーザー] リンクを [読み取り専用] に制限できます。 また、有効期限の制限を設定して、リンクの動作を停止することもできます。
もう 1 つのオプションは、別のリンクの種類をユーザーに既定で表示するように構成することです。 これにより、不適切な共有を最小限に抑えることができます。 たとえば、[すべてのユーザー] リンクを許可したいが、特定の目的にのみ使用されることを懸念している場合は、既定のリンクの種類を [特定のユーザー] リンクに設定するか、[すべてのユーザー] リンクではなくorganizationリンクのPeopleを設定できます。 これにより、ユーザーがファイルまたはフォルダーを共有する際は、[すべてのユーザー] リンクを明示的に選択しなければならなくなります。
また、データ損失防止を使用して、機密情報を含むファイルへの すべての リンク アクセスを制限することもできます。
organizationリンクのPeople
organizationリンクのPeopleは、organization内で情報を共有するための優れた方法です。 [組織内のユーザー] リンクは組織内のすべてのユーザーに対して機能するので、チームやサイト メンバー以外のユーザーとファイルやフォルダーを共有できます。 このリンクを使用すると、特定のファイルまたはフォルダーにアクセスでき、organization内で渡すことができます。 これにより、設計、マーケティング、サポート グループなど、別のチームやサイトを持つグループの関係者と簡単にコラボレーションできます。
organization リンクにPeopleを作成しても、関連付けられているファイルまたはフォルダーが検索結果に表示されたり、Copilot 経由でアクセスしたり、organization内のすべてのユーザーにアクセス権が付与されたりすることはありません。 このリンクを作成するだけでは、コンテンツへの組織全体のアクセスは提供されません。 個人がファイルまたはフォルダーにアクセスするには、リンクを所有している必要があり、引き換えによってアクティブ化する必要があります。 ユーザーは、リンクをクリックすることで引き換えることができます。または、場合によっては、メール、チャット、またはその他の通信方法を介して他のユーザーに送信されると、リンクが自動的に引き換えられる場合があります。 このリンクは、ゲストやorganization外の他のユーザーには機能しません。
特定のユーザー のリンク
特定のユーザー リンクは、ユーザーがファイルまたはフォルダーへのアクセスを制限する状況に最適です。 リンクは指定されたユーザーに対してのみ機能し、使用するために認証する必要があります。 これらのリンクは、内部または外部にすることができます (ゲスト共有を有効にしている場合)。
情報の分類と保護
Microsoft Purview データ損失防止では、チーム、グループ、サイト、ドキュメントを分類し、一連の条件、アクション、および例外を作成して、それらの使用方法と共有方法を管理する方法を提供します。
情報を分類し、それらの周りにガバナンス ルールを作成することで、ユーザーが機密情報を誤ってまたは意図的に不適切に共有することなく、ユーザーが簡単に共同作業できるコラボレーション環境を作成できます。
データ損失防止ポリシーを設定すると、特定のサイトの共有設定を比較的自由に使用でき、データ損失防止に依存してガバナンス要件を適用できます。 これにより、ユーザー エクスペリエンスがフレンドリになり、ユーザーが回避しようとする不要な制限を回避できます。
データ損失防止の詳細については、「 データ損失防止について」を参照してください。
機密ラベル
秘密度ラベルを使用すると、チーム、グループ、サイト、ドキュメントをわかりやすいラベルで分類し、それを使用してガバナンス ワークフローを適用できます。
秘密度ラベルを使用すると、ユーザーが情報を安全に共有し、それらのポリシーの専門家になる必要なくガバナンス ポリシーを維持できます。
たとえば、Microsoft 365 グループを非公開として分類し、パブリックではなくプライベートにする必要があるポリシーを構成できます。 このような場合、グループ、チーム、または SharePoint サイトを作成しているユーザーは、機密の分類を選択した場合にのみ "プライベート" オプションが表示されます。 チーム、グループ、サイトで秘密度ラベルを使用する方法については、「秘密度ラベルを使用してMicrosoft Teams、Microsoft 365 グループ、および SharePoint サイトのコンテンツを保護する」を参照してください。
条件とアクション
データ損失保護の条件とアクションを使用すると、特定の条件が満たされたときにガバナンス ワークフローを適用できます。
たとえば、次のような情報が含まれます。
ドキュメントで顧客情報が検出された場合、ユーザーはそのドキュメントをゲストと共有できません。
ドキュメントに機密プロジェクトの名前が含まれている場合、ゲストはドキュメントが共有されていても開けられません。
詳細については、「データ損失防止の詳細」を参照してください。
条件付きアクセス
Microsoft Entra条件付きアクセスでは、信頼されていない場所や最新でないデバイスなど、危険な状況でユーザーがorganizationのリソースにアクセスできないようにするための追加の制御が提供されます。
たとえば、次のような情報が含まれます。
危険な場所からのゲストのサインインをブロックする
モバイル デバイスに多要素認証を要求する
ゲスト専用のアクセス ポリシーを作成して、管理されていないデバイスを持っている可能性が最も高いユーザーのリスク軽減を可能にすることができます。
詳細については、「 条件付きアクセスとは」を参照してください。
レポートを使用した監視
Microsoft 365 では、サイトの使用状況、ドキュメント共有、ガバナンス コンプライアンス、およびその他のイベントのホストを監視するのに役立つさまざまなレポートを利用できます。
SharePoint サイトの使用状況に関するレポートを表示する方法については、「管理 センターの Microsoft 365 レポート - SharePoint サイトの使用状況」を参照してください。
データ損失防止レポートを表示する方法については、「データ損失防止 のレポートを表示する」を参照してください。
コンテンツ共有の監視に役立つレポートについては、「 SharePoint サイトのデータ アクセス ガバナンス レポート」を参照してください。