SharePoint のサイトとファイルをセキュリティで保護するためのポリシーの推奨事項
この記事では、SharePoint と OneDrive を保護するために推奨されるゼロ トラストの ID とデバイス アクセス ポリシーを実装する方法について説明します。 このガイダンスは、一般的な ID とデバイスのアクセス ポリシーに基づいています。
これらの推奨事項は、ニーズの細かさに基づいて適用できる、SharePoint のファイルのセキュリティと保護の 3 つの異なるレベル (開始点、エンタープライズ、特殊なセキュリティ) に基づいています。 推奨事項で参照されている、これらのセキュリティ レベルと推奨されるクライアント オペレーティング システムについて詳しくは、概要に関する記事をご覧ください。
このガイダンスを実装するだけでなく、エンタープライズおよび特殊なセキュリティ コンテンツに対する適切なアクセス許可の設定など、適度な保護で SharePoint サイトを構成してください。
SharePoint と OneDrive を含むように一般的なポリシーを更新する
SharePoint と OneDrive のファイルを保護するには、次の図で示すポリシーを、一般的な ID とデバイスのアクセス ポリシーから更新します。
一般的なポリシーの作成時に SharePoint を含めた場合は、新しいポリシーを作成するだけで済みます。 条件付きアクセス ポリシーの場合、SharePoint には OneDrive が含まれています。
新しいポリシーでは、SharePoint サイトを指定して特定のアクセス要件を適用し、エンタープライズおよび特殊なセキュリティ コンテンツに対するデバイス保護を実装します。
次の表は、確認して更新する、または新しく作成する必要がある SharePoint のポリシーの一覧です。 一般的なポリシーは、一般的な ID とデバイスのアクセス ポリシーに関する記事の関連する構成手順にリンクしています。
防護等級 | ポリシー | 詳細 |
---|---|---|
開始ポイント | ログインリスクが中程度または高レベルの場合はMFAが必要 | クラウド アプリの割り当てに SharePoint を含めます。 |
最新の認証をサポートしていないクライアントのブロック | クラウド アプリの割り当てに SharePoint を含めます。 | |
APPデータ保護ポリシーの適用 | すべての推奨アプリがアプリの一覧に含まれていることを確認します。 プラットフォーム (iOS、Android、Windows) ごとにポリシーを更新します。 | |
SharePoint でアプリによって適用される制限を使用する | この新しいポリシーを追加します。 これにより、SharePoint で指定されている設定を使うことが Microsoft Entra ID に指示されます。 このポリシーはすべてのユーザーに適用されますが、SharePoint アクセス ポリシーに含まれるサイトへのアクセスにのみ影響します。 | |
Enterprise | ログオンリスクが低、中、または高の場合はMFAが必要 | クラウド アプリの割り当てに SharePoint を含めます。 |
準拠している PC とモバイル デバイスを 要求する | クラウド アプリの一覧に SharePoint を含めます。 | |
SharePoint アクセス制御ポリシー: アンマネージド デバイスから特定の SharePoint サイトへの、ブラウザー専用アクセスを許可します。 | これにより、ファイルの編集とダウンロードが禁止されます。 PowerShell を使ってサイトを指定します。 | |
特殊なセキュリティ | 常に MFA を要求する | クラウド アプリの割り当てに SharePoint を含めます。 |
SharePoint アクセス制御ポリシー: アンマネージド デバイスから特定の SharePoint サイトへのアクセスをブロックします。 | PowerShell を使ってサイトを指定します。 |
SharePoint でアプリによって適用される制限を使用する
SharePoint でアクセス制御を実装する場合、ユーザーが SharePoint で構成したポリシーを適用するよう Microsoft Entra ID に指示する条件付きアクセス ポリシーが、Microsoft Entra ID で作成されます。 既定では、このポリシーはすべてのユーザーに適用されますが、ユーザーが SharePoint でアクセス制御を作成するときに PowerShell を使って指定したサイトへのアクセスがけが影響を受けます。 ポリシーの対象範囲を、特定のユーザー、グループ、またはサイトに設定することもできます。
このポリシーの構成については、「非管理対象デバイスからのアクセスを制御する」の "特定の SharePoint サイト コレクションや OneDrive アカウントへのアクセスのブロックまたは制限" に関するセクションをご覧ください。
SharePoint のアクセス制御ポリシー
Microsoft は、エンタープライズおよび特殊なセキュリティ コンテンツとデバイスのアクセス制御を使って、SharePoint サイトのコンテンツを保護することをお勧めします。 これを行うには、保護のレベルと保護を適用するサイトを指定するポリシーを作成します。
- エンタープライズ サイト: ブラウザー専用アクセスを許可します。 これにより、ユーザーはファイルをダウンロード、印刷、または同期できなくなります。
- 特殊なセキュリティ サイト: アンマネージド デバイスからのアクセスをブロックします。
「非管理対象デバイスからのアクセスを制御する」の "特定の SharePoint サイト コレクションや OneDrive アカウントへのアクセスのブロックまたは制限" に関するセクションをご覧ください。
これらのポリシーが連携するしくみ
通常、SharePoint サイトのアクセス許可はサイトにアクセスするビジネス ニーズに基づくことを、理解しておくことが重要です。 これらのアクセス許可はサイト所有者によって管理され、非常に動的な場合があります。 SharePoint のデバイス アクセス ポリシーを使うと、開始点、エンタープライズ、または特殊なセキュリティ保護に関連付けられている Microsoft Entra グループにユーザーが割り当てられているかどうかに関係なく、これらのサイトが確実に保護されます。
次の図は、SharePoint デバイス アクセス ポリシーによってユーザーのサイトへのアクセスがどのように保護されるかを示したものです。
James には開始点の条件付きアクセス ポリシーが割り当てられていますが、エンタープライズまたは特殊なセキュリティ保護を使って SharePoint サイトへのアクセスを許可できます。
- James が、自分の PC を使ってエンタープライズまたは特殊なセキュリティ保護のメンバーであるサイトにアクセスすると、アクセスが許可されます。
- James が、自分のアンマネージドの電話を使って、自分がメンバーであるエンタープライズ保護サイトにアクセスした場合 (これは、開始点ユーザーに対して許可されます)、このサイトに対して構成されたデバイス アクセス ポリシーにより、エンタープライズ サイトへのブラウザー専用アクセスを受け取ります。
- James が、自分のアンマネージドの電話を使って、自分がメンバーである特殊なセキュリティ サイトにアクセスすると、このサイトに対して構成されたアクセス ポリシーのためにブロックされます。 彼は自分のマネージド PC を使うことによってのみ、このサイトにアクセスできます。
次のステップ
次のものに対する条件付きアクセス ポリシーを構成します。