次の方法で共有


アクセス許可レベルおよびグループを決定する (SharePoint Server)

適用対象:yes-img-13 2013yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

SharePoint グループは、一緒に管理できるユーザーのセットです。 アクセス許可レベルは、特定のセキュリティ保護可能なオブジェクトの特定のグループに割り当てることができる一連のアクセス許可です。 SharePoint のグループおよびアクセス許可レベルはサイト コレクション レベルで定義し、既定で親オブジェクトから継承されます。 この記事では、既定のグループとアクセス許可レベルについて説明し、それらをそのまま使用するか、カスタマイズするか、別のグループとアクセス許可レベルを作成するかを決定するのに役立ちます。

SharePoint Server でのサイトとコンテンツのセキュリティに関する最も重要な決定は、ユーザーをグループ化する方法と、割り当てるアクセス許可レベルです。

Microsoft 365 の既定の SharePoint グループについて説明します。

使用可能な既定のグループを確認する

SharePoint のグループを使用すると、個々のユーザーではなくユーザーのセットを管理できます。 これらのグループには、多数の個々のユーザーを含めることができます。または、Active Directory Domain Services (AD DS)、LDAPv3 ベースのディレクトリ、アプリケーション固有のデータベース、Windows Live ID などの新しいユーザー中心の ID モデルなど、任意の企業 ID システムの内容を含めることができます。 SharePoint グループは、サイトに特定の権限を付与しません。ユーザーのセットを指定する方法です。 組織または Web サイトのサイズと複雑さに応じて、ユーザーを任意の数のグループに編成できます。 SharePoint グループを入れ子にすることはできません。

次の表に、SharePoint Server のチーム サイト用に作成された既定のグループを示します。 既定の各グループには既定のアクセス許可レベルが割り当てられています。

グループ名 既定のアクセス許可レベル 説明
閲覧者
読み取り
このグループを使用して、SharePoint サイトに対する読み取りアクセス許可をユーザーに付与します。
メンバー
編集
このグループを使用して、SharePoint サイトに対する編集アクセス許可をユーザーに付与します。
所有者
フル コントロール
このグループを使用して、SharePoint サイトに対するフル コントロール アクセス許可をユーザーに付与します。
表示者
表示のみ
このグループを使用して、SharePoint サイトに対する表示のみアクセス許可をユーザーに付与します。

チーム サイト テンプレート以外のサイト テンプレートを使用する場合は、既定の SharePoint グループの別のリストが表示されます。 たとえば、次の表は、発行サイト テンプレートによって提供される他のグループを示しています。

グループ名 既定のアクセス許可レベル 説明
制限付き閲覧者
サイトに対する制限付き読み取り、および特定のリストへの制限付きアクセス
このグループのメンバーは、ページとドキュメントを表示できますが、過去のバージョンを表示したり、ユーザー権限情報を確認したりできません。
スタイル リソース閲覧者
マスター ページ ギャラリーに対する読み取り、およびスタイル ライブラリに対する制限付き読み取り。
このグループのメンバーには、マスター ページ ギャラリーに対する読み取りアクセス許可およびスタイル ライブラリに対する制限つき読み取りアクセス許可が与えられます。 既定では、すべての認証済みユーザーはこのグループのメンバーになります。
デザイナー
デザイン、制限付きアクセス
このグループのメンバーは、ブラウザーまたは SharePoint Designer 2013 を使用して、サイト ページのレイアウトを表示、追加、更新、削除、承認、カスタマイズできます。
承認者
承認、および制限付きアクセス
このグループのメンバーは、ページ、リスト アイテム、およびドキュメントを編集および承認できます。
階層管理者
階層の管理、および制限付きアクセス
このグループのメンバーは、サイト、リスト、リスト アイテム、およびドキュメントを作成できます。

注:

マスター ページ ギャラリーとスタイル ライブラリがサイト コレクション内のすべてのサイトで共有されるため、すべての認証されたユーザーをスタイル リソース リーダー グループから削除しないでください。また、すべてのサイトのすべてのユーザーがアクセスできる必要があります。 すべての認証済みユーザーをグループから削除すると、このアクセス許可レベルを持つ、サブサイトのどのユーザーもサイトを表示できなくなります。 SharePoint がこのグループに対してサブサイトのユーザーの追加または削除を必要に応じて自動的に行うことはありません。

ヒント

制限付きアクセス許可レベルは、サイト全体へのアクセスを許可することなく、特定のリスト、ライブラリ、フォルダー、ドキュメント、またはアイテムへのアクセスをグループに許可するために使用します。 このアクセス許可レベルを上記のグループから削除しないでください。 このアクセス許可レベルが削除されると、グループは、サイト上を移動して、やりとりする必要のある特定のアイテムを取得できなくなる場合があります。

ほとんどのユーザーを [訪問者] または [メンバー] グループのメンバーにします。 既定では、[メンバー] グループのユーザーは、アイテムやドキュメントを追加または削除してサイトに投稿できますが、サイトの構造、サイト設定、外観を変更することはできません。 Visitors グループには、サイトへの読み取り専用アクセス権があります。つまり、ページとアイテムを表示したり、アイテムやドキュメントを開いたりすることはできますが、ページ、アイテム、またはドキュメントを追加または削除することはできません。

既定のグループが組織内の正確なユーザー グループに関連付けられない場合、カスタム グループを作成できます。

上記の SharePoint グループだけでなく、より高いレベルの管理タスク用の管理者グループもあります。 その管理者グループは、Windows 管理者、SharePoint ファーム管理者、およびサイト コレクション管理者です。

詳細については、「SharePoint 2013 で管理階層の管理者と所有者を選択する」を参照してください。

使用可能なアクセス許可レベルを確認する

サイトを表示、変更、または管理できるかどうかは、ユーザーまたはグループに割り当てるアクセス許可レベルによって決まります。 このアクセス許可レベルにより、サイトと、そのサイトの権限を継承する子オブジェクトのすべての権限が制御されます。 適切なアクセス許可レベルが設定されていないと、ユーザーが自分のタスクを実行できない場合や、管理者が意図しないタスクをユーザーが実行できてしまう場合があります。

既定では、以下のアクセス許可レベルを使用できます。

  • 表示のみ ユーザーがページ、リスト アイテム、ドキュメントを表示できるようにするアクセス許可が含まれています。

  • 制限付きアクセス ユーザーがサイトのすべての要素にアクセスすることなく、特定のリスト、ドキュメント ライブラリ、リスト アイテム、フォルダー、またはドキュメントを表示できるようにするアクセス許可が含まれています。 このアクセス許可レベルは直接は編集できません。

    注:

    このアクセス許可レベルが削除されると、グループのメンバーがサイト内のアイテムに対する適切なアクセス許可を持っている場合でも、サイト内を移動してアイテムにアクセスできなくなる可能性があります。

  • 読む ユーザーがサイト ページ上のアイテムを表示できるようにするアクセス許可が含まれています。

  • 編集 ユーザーがリストを追加、編集、削除できるようにするアクセス許可が含まれます。では、リスト アイテムとドキュメントを表示、追加、更新、削除できます。

  • 貢献する ユーザーがサイト ページまたはリストやドキュメント ライブラリの項目を追加または変更できるようにするアクセス許可が含まれます。

  • 設計 ブラウザーまたは SharePoint Designer 2013 を使用して、ユーザーがサイト ページのレイアウトを表示、追加、更新、削除、承認、カスタマイズできるようにするアクセス許可が含まれています。

  • フル コントロール すべてのアクセス許可が含まれます。

既定のアクセス許可レベルに含まれる権限の詳細については、「SharePoint 2013 のユーザー権限とアクセス許可レベル」を参照してください。

既定では、発行テンプレートには次の追加のアクセス許可レベルが用意されています。

  • 承認する ページ、リスト アイテム、ドキュメントを編集および承認するためのアクセス許可が含まれます。

  • 階層の管理 サイトへのアクセス許可と、ページ、リスト アイテム、ドキュメントの編集が含まれます。

  • 制限付き読み取り ページとドキュメントを表示するためのアクセス許可が含まれますが、履歴バージョンやアクセス許可情報は含まれません。

カスタム アクセス許可レベルやグループが必要かどうかを判断する

既定のグループおよびアクセス許可レベルは、権限に対する一般的なフレームワークを提供するものであり、多くの組織の種類、およびそれらの組織内の役割を対象とします。 ただし、既定のグループおよびアクセス許可レベルは、ユーザーの組織や、ユーザーがサイトで実行するさまざまなタスクに正確に関連付けられない場合があります。 既定のグループおよびアクセス許可レベルが組織に適していない場合、カスタム グループを作成したり、特定のアクセス許可レベルに含まれる権限を変更したり、カスタム アクセス許可レベルを作成したりできます。

カスタム グループが必要かどうかの判断

カスタム グループを作成するかどうかの判断は非常に簡単で、サイトのセキュリティにほとんど影響を与えません。 次のいずれかの状況が該当する場合は、既定のグループを使用する代わりにカスタム グループを作成します。

  • 組織内のユーザーの役割が、既定のグループにあるユーザーの役割より明らかに多い (または少ない) 場合。 たとえば、承認者、編集者、および階層管理者以外に、サイトへのコンテンツ発行を担当する社員がいる場合は、発行者グループを作成するとよいでしょう。

  • サイトでさまざまなタスクを実行する、組織内の一意のロールに関してよく知られている名前があります。 たとえば、組織の製品を販売するためのパブリック サイトを作成する場合は、閲覧者や Viewers の代わりに、顧客グループを作成すると便利です。

  • Windows セキュリティ グループと SharePoint グループの間で一対一の関係を維持する場合。 たとえば、Web Site Managers という名前のセキュリティ グループが設定されている組織では、サイトを管理するときに識別しやすいようにその名前をグループ名として使用できます。

  • 他のグループ名を使用する場合。

カスタム アクセス許可レベルが必要かどうかの判断

アクセス許可レベルをカスタマイズするかどうかの判断は、SharePoint グループのカスタマイズの判断に比べると複雑です。 アクセス許可レベルに割り当てられたアクセス許可をカスタマイズする場合は、その変更を追跡し、変更の影響を受けるすべてのグループとサイトで機能することを確認し、変更がセキュリティやサーバーの容量またはパフォーマンスに悪影響を与えないことを確認する必要があります。

たとえば、投稿アクセス許可レベルをカスタマイズしてサブサイトの作成権限 (通常、フル コントロール アクセス許可レベルに含まれている) を含めた場合、投稿者グループのメンバーがサブサイトを作成して所有できるようになり、悪意のあるユーザーをサブサイトに潜在的に招いたり、承認されていないコンテンツを投稿したりする可能性があります。 また、読み取りアクセス許可レベルをカスタマイズして利用状況データの表示権限 (通常、フル コントロール アクセス許可レベルに含まれている) を含めた場合、閲覧者グループのすべてのメンバーが利用状況データを表示できるようになり、パフォーマンスの問題が発生する可能性があります。

次のいずれかの状況が適用される場合は、既定のアクセス許可レベルをカスタマイズします。

  • 既定のアクセス許可レベルに、ユーザーが業務を遂行するために必要な権限以外のすべての権限が含まれていて、必要な権限を追加する場合。

  • 既定のアクセス許可レベルに、ユーザーには不要な権限が含まれている場合。

    注:

    組織にセキュリティがある場合や、アクセス許可レベルの一部である特定のアクセス許可に関するその他の懸念がある場合は、既定のアクセス許可レベルをカスタマイズしないでください。 そのアクセス許可を含むアクセス許可レベルまたはレベルに割り当てられているすべてのユーザーに対してそのアクセス許可を使用できないようにする場合は、すべてのアクセス許可レベルを変更するのではなく、サーバー ファーム内のすべての Web アプリケーションのアクセス許可をオフにします。Web アプリケーションのアクセス許可を管理するには、「 SharePoint Server で Web アプリケーションのアクセス許可を管理する」を参照してください。

アクセス許可レベルに対して複数の変更を加える必要がある場合は、必要な権限すべてを含むカスタム アクセス許可レベルを作成します。

次のいずれかの条件に該当する場合は、さらにアクセス許可レベルを作成できます。

  • 特定のアクセス許可レベルから複数の権限を除外する場合。

  • 新しいアクセス許可レベルに対して、固有の複数の権限を定義する場合。

アクセス許可レベルを作成するには、アクセス許可レベルを作成した後に、含める権限を選択できます。

注:

一部の権限は、他の権限に依存します。 他の権限が依存している権限を無効にすると、依存している権限も無効になります。