Microsoft 365 グループと Entra セキュリティ グループを使用して SharePoint サイトへのアクセスを制限する
この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です
サイト アクセス制限ポリシーを使用して、SharePoint サイトへのアクセスとコンテンツを特定のグループ内のユーザーに制限できます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、サイトまたはそのコンテンツにアクセスできません。 このポリシーは、Microsoft 365 グループ接続サイト、Teams 接続サイト、グループ以外の接続済みサイトで使用できます。
サイトアクセス制限ポリシーは、ユーザーがサイトを開いたりファイルにアクセスしようとしたりするときに適用されます。 ファイルへの直接アクセス許可を持つユーザーは、検索結果でファイルを引き続き表示できます。 ただし、指定したグループに属していないファイルにはアクセスできません。
グループ メンバーシップを使用してサイト アクセスを制限すると、コンテンツの共有超過のリスクを最小限に抑えることができます。 データ共有に関する分析情報については、「 データ アクセス ガバナンス レポート」を参照してください。
前提条件
サイト アクセス制限ポリシーには 、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です。
組織のサイト レベルのアクセス制限を有効にする
個々のサイトに対して構成する前に、組織のサイト レベルのアクセス制限を有効にする必要があります。
SharePoint 管理センターで組織のサイト レベルのアクセス制限を有効にするには:
[ ポリシー] を 展開し、[ アクセス制御] を選択します。
[ サイト レベルのアクセス制限] を選択します。
[ アクセス制限を許可する] を選択し、[保存] を選択 します。
PowerShell を使用して組織のサイト レベルのアクセス制限を有効にするには、次のコマンドを実行します。
Set-SPOTenant -EnableRestrictedAccessControl $true
コマンドが有効になるまでに最大 1 時間かかる場合があります
注:
Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。
グループに接続されたサイトへのアクセスを制限する (Microsoft 365 グループと Teams)
グループに接続されたサイトのサイト アクセス制限ポリシーは、SharePoint サイトへのアクセスを、サイトに関連付けられている Microsoft 365 グループまたはチームのメンバーに制限します。
SharePoint 管理センターでグループ接続サイトのサイト アクセス制限を管理するには
- SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
- 管理するサイトを選択し、サイトの詳細パネルが表示されます。
- [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。
- [ このサイトへのアクセスを制限する ] ボックスを選択し、[保存] を選択 します。
PowerShell を使用してグループ接続サイトのサイト アクセス制限を管理するには、次のコマンドを使用します。
| アクション | PowerShell コマンド |
|---|---|
| グループ接続サイトのサイト アクセス制限を有効にする | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| グループ接続サイトのサイト アクセス制限を表示する | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| グループ接続サイトのサイト アクセス制限を無効にする | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
グループに接続されていないサイトへのサイト アクセスを制限する
グループに接続されていないサイトへのアクセスを制限するには、サイトへのアクセスを許可する必要があるユーザーを含む Entra セキュリティ グループ または Microsoft 365 グループを指定します。 最大 10 個の Entra セキュリティ グループまたは Microsoft 365 グループを構成できます。 ポリシーが適用されると、サイトへのアクセス許可を持つ指定されたグループ内のユーザーに、サイトとそのコンテンツへのアクセス権が付与されます。 動的セキュリティ グループは、ユーザー プロパティに基づくグループ メンバーシップを使用する場合に使用できます。
グループ以外の接続済みサイトへのサイト アクセスを管理するには:
- SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
- 管理するサイトを選択し、サイトの詳細パネルが表示されます。
- [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。
- [ 指定したグループ内のユーザーのみに SharePoint サイト アクセスを制限する ] チェック ボックスをオンにします。
- セキュリティ グループまたは Microsoft 365 グループを追加または削除し、[保存] を選択 します。
サイトへのアクセス制限をサイトに適用するには、サイトアクセス制限ポリシーに少なくとも 1 つのグループを追加する必要があります。
PowerShell を使用してグループに接続されていないサイトのサイト アクセス制限を管理するには、次のコマンドを使用します。
| アクション | PowerShell コマンド |
|---|---|
| サイトアクセス制限を有効にする | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| グループの追加 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| グループの編集 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| グループの表示 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| グループを削除する | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| サイトのアクセス制限をリセットする | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
共有チャネル サイトとプライベート チャネル サイト
共有チャネル サイトとプライベート チャネル サイト は、標準チャネルで使用される Microsoft 365 グループ接続サイトとは別です。 共有チャネル サイトとプライベート チャネル サイトは Microsoft 365 グループに接続されていないため、チームに適用されるサイト アクセス制限ポリシーは影響を受けません。 共有チャネル サイトまたはプライベート チャネル サイトごとに、グループ以外の接続済みサイトとして個別にサイト アクセス制限を有効にする必要があります。
共有チャネル サイトの場合、リソース テナント内の内部ユーザーのみがサイト アクセス制限の対象となります。 外部チャネルの参加者はサイト アクセス制限ポリシーから除外され、サイトの既存のサイトのアクセス許可に従ってのみ評価されます。
重要
セキュリティ グループまたは Microsoft 365 グループにユーザーを追加しても、ユーザーは Teams のチャネルにアクセスできなくなります。 Teams およびセキュリティ グループまたは Microsoft 365 グループ内の Teams チャネルの同じユーザーを追加または削除して、ユーザーが Teams と SharePoint の両方にアクセスできるようにすることをお勧めします。
アクセス拒否エラー ページの詳細情報のリンクを構成する
制限付きサイト アクセス制御ポリシーにより SharePoint サイトへのアクセスが拒否されたユーザーに通知する詳細情報のリンクを構成します。 このカスタマイズ可能なエラー リンクを使用すると、ユーザーに詳細情報とガイダンスを提供できます。
注:
詳細情報のリンクは、アクセス制御ポリシーが有効になっているすべてのサイトに適用されるテナント レベルの設定です。
リンクを構成するには、SharePoint PowerShell で次のコマンドを実行します。
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
リンクの値をフェッチするには、次のコマンドを実行します。
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
構成済みの詳細情報リンクは、ユーザーが [組織のポリシーの 詳細をここに知る ] リンクを選択すると起動されます。
制限付きサイト アクセス ポリシーの分析情報
IT 管理者は、次のレポートを表示して、制限付きサイト アクセス ポリシーで保護された SharePoint サイトに関するより多くの洞察を得ることができます。
- 制限付きサイト アクセス ポリシーによって保護されたサイト (RACProtectedSites)
- 制限されたサイト アクセスによるアクセス拒否の詳細 (ActionsBlockedByPolicy)
注:
各レポートの生成には数時間かかることがあります。
制限付きサイト アクセス ポリシー レポートで保護されたサイト (プレビュー)
SharePoint PowerShell で次のコマンドを実行して、レポートを生成、表示、ダウンロードできます。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| レポートの生成 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
制限付きサイト アクセス ポリシーによって保護されたサイトの一覧を生成します |
| レポートを表示する | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
レポートには、ポリシーによって保護されているページ ビューが最も高い上位 100 のサイトが表示されます。 |
| レポートのダウンロード | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
このコマンドは管理者として実行する必要があります。 ダウンロードしたレポートは、コマンドが実行されたパスにあります。 |
| 制限付きサイト アクセス レポートで保護されているサイトの割合 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
このレポートには、サイトの総数のうち、ポリシーによって保護されているサイトの割合が表示されます |
制限付きサイト アクセス ポリシーによるアクセス拒否
次のコマンドを実行して、制限されたサイト アクセス レポートが原因でアクセス拒否のレポートを作成、フェッチ、および表示できます。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| アクセス拒否レポートを作成する | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
アクセス拒否の詳細を取得するための新しいレポートを作成します |
| アクセス拒否レポートの状態をフェッチする | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
生成されたレポートの状態をフェッチします。 |
| 過去 28 日間の最新のアクセス拒否 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
過去 28 日間に発生した最新の 100 件のアクセス拒否の一覧を取得します |
| アクセスが拒否された上位ユーザーの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
最も多くのアクセス拒否を受け取った上位 100 人のユーザーの一覧を取得します |
| アクセス拒否が最も多い上位サイトの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
アクセス拒否が最も多かった上位 100 サイトの一覧を取得します |
| さまざまな種類のサイト間でのアクセス拒否の配布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
さまざまな種類のサイト間でのアクセス拒否の分散を示します |
注:
最大 10,000 拒否を表示するには、レポートをダウンロードする必要があります。 管理者としてダウンロード コマンドを実行すると、ダウンロードされたレポートは、コマンドが実行されたパスに配置されます。
監査
監査イベント は、サイト アクセス制限アクティビティの監視に役立つ Purview コンプライアンス ポータルで使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。
- サイトへのサイト アクセス制限の適用
- サイトのサイト アクセス制限の削除
- サイトのサイト アクセス制限グループの変更