次の方法で共有


Microsoft 365 グループと Entra セキュリティ グループを使用して SharePoint サイトへのアクセスを制限する

この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です

サイト アクセス制限ポリシーを使用して、SharePoint サイトへのアクセスとコンテンツを特定のグループ内のユーザーに制限できます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、サイトまたはそのコンテンツにアクセスできません。 このポリシーは、Microsoft 365 グループ接続サイト、Teams 接続サイト、グループ以外の接続済みサイトで使用できます。

サイトアクセス制限ポリシーは、ユーザーがサイトを開いたりファイルにアクセスしようとしたりするときに適用されます。 ファイルへの直接アクセス許可を持つユーザーは、検索結果でファイルを引き続き表示できます。 ただし、指定したグループに属していないファイルにはアクセスできません。

グループ メンバーシップを使用してサイト アクセスを制限すると、コンテンツの共有超過のリスクを最小限に抑えることができます。 データ共有に関する分析情報については、「 データ アクセス ガバナンス レポート」を参照してください。

前提条件

サイト アクセス制限ポリシーには、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です

organizationのサイト レベルのアクセス制限を有効にする

個々のサイトに対して構成する前に、organizationのサイト レベルのアクセス制限を有効にする必要があります。

SharePoint 管理センターでorganizationのサイト レベルのアクセス制限を有効にするには:

  1. [ ポリシー] を 展開し、[ アクセス制御] を選択します。

  2. [ サイト レベルのアクセス制限] を選択します。

  3. [ アクセス制限を許可する] を選択し、[保存] を選択 します

    sharepoint 管理センター ダッシュボードのサイト アクセス制限のスクリーンショット。

PowerShell を使用してorganizationのサイト レベルのアクセス制限を有効にするには、次のコマンドを実行します。

Set-SPOTenant -EnableRestrictedAccessControl $true

コマンドが有効になるまでに最大 1 時間かかる場合があります

注:

Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。

グループに接続されたサイト (Microsoft 365 グループと Teams) へのアクセスを制限する

グループに接続されたサイトのサイト アクセス制限ポリシーは、SharePoint サイトへのアクセスを、サイトに関連付けられている Microsoft 365 グループまたはチームのメンバーに制限します。

SharePoint 管理センターでグループ接続サイトのサイト アクセス制限を管理するには

  1. SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
  2. 管理するサイトを選択し、サイトの詳細パネルが表示されます。
  3. [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。
  4. [ このサイトへのアクセスを制限する ] ボックスを選択し、[保存] を選択 します

PowerShell を使用してグループ接続サイトのサイト アクセス制限を管理するには、次のコマンドを使用します。

アクション PowerShell コマンド
グループ接続サイトのサイト アクセス制限を有効にする Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
グループ接続サイトのサイト アクセス制限を表示する Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl
グループ接続サイトのサイト アクセス制限を無効にする Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false

注:

サイトに対してポリシーが有効になると、サイト所有者は、サイトアクセス制限ポリシーがサイトに与える影響の詳細を表示できます。

グループに接続されたサイトの場合、ポリシーの状態と構成済みのコントロール グループの詳細が [ サイト情報 ] パネルと [アクセス許可] パネルに表示されます。

制限付きアクセス制御のサイト情報ページのスクリーンショット。

制限付きアクセス制御のサイトアクセス許可ページのスクリーンショット。

グループに接続されていないサイトへのサイト アクセスを制限する

グループに接続されていないサイトへのアクセスを制限するには、サイトへのアクセスを許可する必要があるユーザーを含む Entra セキュリティ グループ または Microsoft 365 グループを指定します。 最大 10 個の Entra セキュリティ グループまたは Microsoft 365 グループを構成できます。 ポリシーが適用されると、サイトへのアクセス許可を持つ指定されたグループ内のユーザーに、サイトとそのコンテンツへのアクセス権が付与されます。 動的セキュリティ グループは、ユーザー プロパティに基づくグループ メンバーシップを使用する場合に使用できます。

グループ以外の接続済みサイトへのサイト アクセスを管理するには:

  1. SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。

  2. 管理するサイトを選択し、サイトの詳細パネルが表示されます。

  3. [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。

  4. [指定したグループ内のユーザーのみに SharePoint サイト アクセスを制限する] チェックボックスを選択します。

  5. セキュリティ グループまたは Microsoft 365 グループを追加または削除し、[保存] を選択 します

    サイトへのアクセス制限をサイトに適用するには、サイトアクセス制限ポリシーに少なくとも 1 つのグループを追加する必要があります。

    非グループ接続サイトに追加されているサイト アクセス制限セキュリティ グループを示すスクリーンショット。

PowerShell を使用してグループに接続されていないサイトのサイト アクセス制限を管理するには、次のコマンドを使用します。

アクション PowerShell コマンド
サイトアクセス制限を有効にする Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
グループの追加 Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
グループの編集 Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
グループの表示 Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
グループを削除する Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
サイトのアクセス制限をリセットする Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

通信サイトのポリシーを有効にすると、[サイト情報] パネルと [アクセス許可] パネルに加えて、サイトの所有者に対してポリシーの状態と構成されているすべての制御グループが表示されます。

制限付きアクセス制御のサイト アクセス パネルのスクリーンショット。

共有チャネル サイトとプライベート チャネル サイト

共有チャネル サイトとプライベート チャネル サイト は、標準チャネルで使用される Microsoft 365 グループ接続サイトとは別です。 共有チャネル サイトとプライベート チャネル サイトは Microsoft 365 グループに接続されていないため、チームに適用されるサイト アクセス制限ポリシーは影響を受けません。 共有チャネル サイトまたはプライベート チャネル サイトごとに、グループ以外の接続済みサイトとして個別にサイト アクセス制限を有効にする必要があります。

共有チャネル サイトの場合、リソース テナント内の内部ユーザーのみがサイト アクセス制限の対象となります。 外部チャネルの参加者はサイト アクセス制限ポリシーから除外され、サイトの既存のサイトのアクセス許可に従ってのみ評価されます。

重要

セキュリティ グループまたは Microsoft 365 グループにユーザーを追加しても、ユーザーは Teams のチャネルにアクセスできなくなります。 Teams およびセキュリティ グループまたは Microsoft 365 グループ内の Teams チャネルの同じユーザーを追加または削除して、ユーザーが Teams と SharePoint の両方にアクセスできるようにすることをお勧めします。

制限付きサイト アクセス ポリシーを使用したサイトの共有

SharePoint サイトとそのコンテンツの共有は、制限付きアクセス制御ポリシーに従って許可されていないユーザーやグループとブロックできます。

共有コントロール機能は既定で無効になっています。 これを有効にするには、管理者として SharePoint Online 管理シェルで次の PowerShell コマンドを実行します。

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false 

ユーザーとの共有

共有は、制限付きアクセス制御グループの一部であるユーザーに対してのみ許可されます。 次に示すように、制限付きアクセス制御グループの外部のすべてのユーザーとの共有がブロックされます。

ユーザーとの共有のスクリーンショット。

グループとの共有

制限付きアクセス制御グループの一覧の一部である Microsoft Entra Security グループまたは M365 グループとの共有が許可されます。 そのため、外部ユーザーまたは SharePoint グループを除くすべてのユーザーを含む他のすべてのグループとの共有は許可されません。

グループとの共有のスクリーンショット。

注:

現時点では、制限付きアクセス制御グループの一部である入れ子になったセキュリティ グループに対して、サイトとそのコンテンツの共有は許可されません。 このサポートは、次のリリースイテレーションで追加されます。

制限付きサイト アクセス制御ポリシーにより SharePoint サイトへのアクセスが拒否されたユーザーに通知する詳細情報のリンクを構成します。 このカスタマイズ可能なエラー リンクを使用すると、ユーザーに詳細情報とガイダンスを提供できます。

注:

詳細情報のリンクは、アクセス制御ポリシーが有効になっているすべてのサイトに適用されるテナント レベルの設定です。

リンクを構成するには、SharePoint PowerShell で次のコマンドを実行します。

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>” 

リンクの値をフェッチするには、次のコマンドを実行します。

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink 

構成された詳細情報のリンクは、ユーザーが [ここでorganizationのポリシーの詳細を知る] リンクを選択すると起動されます。

制限付きアクセス制御の詳細リンクを示すスクリーンショット

制限付きサイト アクセス ポリシーの分析情報

IT 管理者は、次のレポートを表示して、制限付きサイト アクセス ポリシーで保護された SharePoint サイトに関するより多くの洞察を得ることができます。

  • 制限付きサイト アクセス ポリシーによって保護されたサイト (RACProtectedSites)
  • 制限されたサイト アクセスによるアクセス拒否の詳細 (ActionsBlockedByPolicy)

注:

各レポートの生成には数時間かかることがあります。

制限付きサイト アクセス ポリシー レポートによって保護されたサイト

SharePoint PowerShell で次のコマンドを実行して、レポートを生成、表示、ダウンロードできます。

アクション PowerShell コマンド 説明
レポートの生成 Start-SPORestrictedAccessForSitesInsights -RACProtectedSites 制限付きサイト アクセス ポリシーによって保護されたサイトの一覧を生成します
レポートを表示する Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> レポートには、ポリシーによって保護されているページ ビューが最も高い上位 100 のサイトが表示されます。
レポートのダウンロード Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download このコマンドは管理者として実行する必要があります。 ダウンロードしたレポートは、コマンドが実行されたパスにあります。
制限付きサイト アクセス レポートで保護されているサイトの割合 Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary このレポートには、サイトの総数のうち、ポリシーによって保護されているサイトの割合が表示されます

制限付きサイト アクセス ポリシーによるアクセス拒否

次のコマンドを実行して、制限されたサイト アクセス レポートが原因でアクセス拒否のレポートを作成、フェッチ、および表示できます。

アクション PowerShell コマンド 説明
アクセス拒否レポートを作成する Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy アクセス拒否の詳細を取得するための新しいレポートを作成します
アクセス拒否レポートの状態をフェッチする Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy 生成されたレポートの状態をフェッチします。
過去 28 日間の最新のアクセス拒否 Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials 過去 28 日間に発生した最新の 100 件のアクセス拒否の一覧を取得します
アクセスが拒否された上位ユーザーの一覧を表示する Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers 最も多くのアクセス拒否を受け取った上位 100 人のユーザーの一覧を取得します
アクセス拒否が最も多い上位サイトの一覧を表示する Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites アクセス拒否が最も多かった上位 100 サイトの一覧を取得します
さまざまな種類のサイト間でのアクセス拒否の配布 Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution さまざまな種類のサイト間でのアクセス拒否の分散を示します

注:

最大 10,000 拒否を表示するには、レポートをダウンロードする必要があります。 管理者としてダウンロード コマンドを実行すると、ダウンロードされたレポートは、コマンドが実行されたパスに配置されます。

監査

監査イベント は、サイト アクセス制限アクティビティの監視に役立つ Purview コンプライアンス ポータルで使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。

  • サイトへのサイト アクセス制限の適用
  • サイトのサイト アクセス制限の削除
  • サイトのサイト アクセス制限グループの変更

SharePoint サイトと OneDrive の条件付きアクセス ポリシー

データ アクセス ガバナンス レポート