ユーザーの OneDrive コンテンツへのアクセスをグループ内のユーザーに制限する
この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です
サイト アクセス制限ポリシーを使用して、個々のユーザーの OneDrive コンテンツへのアクセスをセキュリティ グループまたは Microsoft 365 グループのユーザーに制限できます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、コンテンツにアクセスできません。
このポリシーは、その OneDrive 内のファイルにアクセスできるユーザーを含む、Microsoft Entraセキュリティ グループまたは Microsoft 365 グループを使用して適用されます。
ポリシーが適用されると、指定したグループ内のユーザーには、ファイルに対するアクセス許可が直接付与されません。 OneDrive の所有者は、通常と同じようにコンテンツを共有する必要があります。 サイト アクセス制限ポリシーを使用すると、セキュリティ グループまたは Microsoft 365 グループに含まれていないユーザーが OneDrive コンテンツと共有されている場合でも、OneDrive コンテンツにアクセスできなくなります。
アクセス制限ポリシーは、ユーザーがファイルにアクセスしようとしたときに適用されます。 ユーザーは、ファイルへの直接アクセス許可を持っている場合でも検索結果にファイルを表示できますが、指定したグループに属していない場合はファイルにアクセスできません。
OneDrive サービス自体へのアクセスをセキュリティ グループ内のユーザーに制限することもできます。 詳細については、「 セキュリティ グループによる OneDrive アクセスの制限」を参照してください。
要件
サイト アクセス制限ポリシーには、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です。
organizationのサイト アクセス制限を有効にする
ユーザーの OneDrive 用に構成する前に、organizationのサイト アクセス制限を有効にする必要があります。
SharePoint 管理センターでorganizationのサイト アクセス制限を有効にするには:
[ ポリシー] を 展開し、[ アクセス制御] を選択します。
[ サイト アクセス制限] を選択します。
[ アクセス制限を許可する] を選択し、[保存] を選択 します。
PowerShell を使用してorganizationのサイト アクセス制限を有効にするには、次のコマンドを実行します。
Set-SPOTenant -EnableRestrictedAccessControl $true
コマンドが有効になるまでに最大 1 時間かかる場合があります。
注:
Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。
ユーザーの OneDrive コンテンツへのアクセスを制限する
各 OneDrive には、最大 10 個のMicrosoft Entraセキュリティグループまたは Microsoft 365 グループを割り当てることができます。 グループが追加されると、グループ内のユーザーだけが、共有されている OneDrive 内のコンテンツにアクセスできます。 動的セキュリティ グループは、ユーザー プロパティに基づくグループ メンバーシップを使用する場合に使用できます。
重要
OneDrive の所有者は、指定したセキュリティグループまたは Microsoft 365 グループのいずれかに含める必要があります。または、OneDrive とそのコンテンツにアクセスできなくなります。
OneDrive のアクセス制限を管理するには、次のコマンドを使用します。
| アクション | PowerShell コマンド |
|---|---|
| 特定の OneDrive のアクセス制限を有効にします。 (セキュリティまたは Microsoft 365 グループを追加する前に、このコマンドを実行します)。 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| セキュリティの追加/ Microsoft 365 グループ | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| セキュリティの編集/ Microsoft 365 グループ | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| セキュリティの表示/Microsoft 365 グループ | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| セキュリティの削除/ Microsoft 365 グループ | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| サイトのアクセス制限をリセットする | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
制限付きサイト アクセス ポリシーを使用したサイトの共有
OneDrive サイトの共有は、制限付きアクセス制御ポリシーに従って許可されていないユーザーやグループとブロックできます。
共有コントロール機能は既定で無効になっています。 これを有効にするには、管理者としてSharePoint Online 管理シェルで次の PowerShell コマンドを実行します。
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
ユーザーとの共有
共有は、制限付きアクセス制御グループの一部であるユーザーに対してのみ許可されます。 次に示すように、制限付きアクセス制御グループの外部のすべてのユーザーとの共有がブロックされます。
グループとの共有
共有は、制限付きアクセス制御グループの一覧の一部であるMicrosoft Entraセキュリティグループまたは Microsoft 365 グループで許可されます。 そのため、外部ユーザーまたは SharePoint グループを除くすべてのユーザーを含む他のすべてのグループとの共有は許可されません。
注:
現時点では、制限付きアクセス制御グループの一部である入れ子になったセキュリティ グループに対して、サイトとそのコンテンツの共有は許可されません。 このサポートは、次のリリースイテレーションで追加されます。
アクセス拒否エラー ページの詳細情報のリンクを構成する
制限付きサイト アクセス制御ポリシーのために OneDrive サイトへのアクセスが拒否されたユーザーに通知する詳細情報のリンクを構成します。 このカスタマイズ可能なエラー リンクを使用すると、ユーザーに詳細情報とガイダンスを提供できます。
注:
詳細情報のリンクは、アクセス制御ポリシーが有効になっているすべての OneDrive サイトに適用されるテナント レベルの設定です。
リンクを構成するには、SharePoint PowerShell で次のコマンドを実行します。
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
リンクの値をフェッチするには、次のコマンドを実行します。
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
構成された詳細情報のリンクは、ユーザーが [ここでorganizationのポリシーの詳細を知る] リンクを選択すると起動されます。
制限付きサイト アクセス ポリシーの分析情報
IT 管理者は、次のレポートを表示して、制限付きサイト アクセス ポリシーで保護された OneDrive サイトに関するより多くの洞察を得ることができます。
- 制限付きサイト アクセス ポリシーによって保護されたサイト (RACProtectedSites)
- 制限されたサイト アクセスによるアクセス拒否の詳細 (ActionsBlockedByPolicy)
注:
各レポートの生成には数時間かかることがあります。
制限付きサイト アクセス ポリシー レポートによって保護されたサイト
SharePoint PowerShell で次のコマンドを実行して、レポートを生成、表示、ダウンロードできます。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| レポートの生成 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
制限付きサイト アクセス ポリシーによって保護されたサイトの一覧を生成します |
| レポートを表示する | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
レポートには、ポリシーによって保護されているページ ビューが最も高い上位 100 のサイトが表示されます。 |
| レポートのダウンロード | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
このコマンドは管理者として実行する必要があります。 ダウンロードしたレポートは、コマンドが実行されたパスにあります。 |
| 制限付きサイト アクセス レポートで保護されているサイトの割合 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
このレポートには、サイトの総数のうち、ポリシーによって保護されているサイトの割合が表示されます |
制限付きサイト アクセス ポリシーによるアクセス拒否
次のコマンドを実行して、制限されたサイト アクセス レポートが原因でアクセス拒否のレポートを作成、フェッチ、および表示できます。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| アクセス拒否レポートを作成する | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
アクセス拒否の詳細を取得するための新しいレポートを作成します |
| アクセス拒否レポートの状態をフェッチする | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
生成されたレポートの状態をフェッチします。 |
| 過去 28 日間の最新のアクセス拒否 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
過去 28 日間に発生した最新の 100 件のアクセス拒否の一覧を取得します |
| アクセスが拒否された上位ユーザーの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
最も多くのアクセス拒否を受け取った上位 100 人のユーザーの一覧を取得します |
| アクセス拒否が最も多い上位サイトの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
アクセス拒否が最も多かった上位 100 サイトの一覧を取得します |
| さまざまな種類のサイト間でのアクセス拒否の配布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
さまざまな種類のサイト間でのアクセス拒否の分散を示します |
注:
最大 10,000 拒否を表示するには、レポートをダウンロードする必要があります。 ダウンロード コマンドを管理者として実行すると、ダウンロードしたレポートは、コマンドが実行されたパスにあります。
監査
監査イベントは、サイトアクセス制限アクティビティを監視するのに役立つMicrosoft Purview コンプライアンス ポータルで使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。
- サイトへのサイト アクセス制限の適用
- サイトのサイト アクセス制限の削除
- サイトのサイト アクセス制限グループの変更