制限付きサイト アクセス制御を使用すると、SharePoint サイトとそのコンテンツへのアクセスを特定のグループ内のユーザーに指定することで、過剰共有を防ぐことができます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、サイトまたはそのコンテンツにアクセスできません。 このポリシーは、Microsoft 365 グループまたは Microsoft Entra セキュリティ グループを使用して、Microsoft 365 グループ接続サイト、Teams 接続サイト、および非グループ接続サイトに適用できます。
サイトアクセス制限ポリシーは、ユーザーがサイトを開いたりファイルにアクセスしようとしたりするときに適用されます。 ファイルへの直接アクセス許可を持つユーザーは、検索結果でファイルを引き続き表示できます。 ただし、指定したグループに属していないファイルにはアクセスできません。
グループ メンバーシップを使用してサイト アクセスを制限すると、コンテンツの共有超過のリスクを最小限に抑えることができます。 データ共有に関する分析情報については、「 データ アクセス ガバナンス レポート」を参照してください。
サイトへのアクセスを制限するには何が必要ですか?
この記事で説明されている機能にアクセスするには、組織が特定のライセンスおよび管理要件を満たしている必要があります。
ライセンス要件とは
この機能を使用するには、組織が次のいずれかの基本ライセンスを保有している必要があります。
- Office 365 E3、E5、または A5
- Microsoft 365 E1、E3、E5、または A5
さらに、次のライセンスのうち少なくとも 1 つが必要です。
- Microsoft 365 Copilot ライセンス:organization内の少なくとも 1 人のユーザーに Copilot ライセンスを割り当てる必要があります (このユーザーは SharePoint 管理者である必要はありません)。
- Microsoft SharePoint 高度な管理ライセンス: 単体で購入できます。
管理者の要件
SharePoint 管理者であるか、同等のアクセス許可を持っている必要があります。
追加情報
組織に Copilot ライセンスがあり、組織の少なくとも 1 人に Copilot ライセンスが割り当てられている場合、SharePoint 管理者は Copilot の展開に必要なSharePoint 高度な管理機能に自動的にアクセスできます。 Copilot に含まれていない唯一のSharePoint 高度な管理機能は、制限付きサイトの作成です。
Copilot ライセンスをお持ちでない組織は、スタンドアロンの SharePoint 高度な管理ライセンスを購入することで、SharePoint 高度な管理機能をご利用になれます。
organizationのサイト レベルのアクセス制限を有効にする
個々のサイトに対して構成する前に、organizationのサイト レベルのアクセス制限を有効にする必要があります。
SharePoint 管理センターでorganizationのサイト レベルのアクセス制限を有効にするには:
[ ポリシー] を 展開し、[ アクセス制御] を選択します。
[ サイト レベルのアクセス制限] を選択します。
[ アクセス制限を許可する] を選択し、[保存] を選択 します。
PowerShell を使用してorganizationのサイト レベルのアクセス制限を有効にするには、次のコマンドを実行します。
Set-SPOTenant -EnableRestrictedAccessControl $true
コマンドが有効になるまでに最大 1 時間かかる場合があります。
注:
Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。
Microsoft 365 グループまたは Microsoft Entra セキュリティ グループを使用して、すべての SharePoint サイトへのアクセスを制限する
SharePoint サイトへのアクセスを制限するには、セキュリティ グループまたは Microsoft 365 グループMicrosoft Entra [制限付きAccess Control グループ] を指定します。 コントロール グループには、サイトとそのコンテンツへのアクセスを許可するユーザーが必要です。
サイトの場合は、最大 10 個のMicrosoft Entraセキュリティ グループまたは Microsoft 365 グループを構成できます。 ポリシーが適用されると、コンテンツへのアクセス許可を持つ指定されたグループ内のユーザーがアクセスを許可されます。
重要
制限付きAccess Control グループ (セキュリティ グループまたは Microsoft 365 グループMicrosoft Entra) にユーザーを追加しても、サイトまたはコンテンツへのアクセス許可がユーザーに自動的に付与されることはありません。 ユーザーがこのポリシーで保護されたコンテンツにアクセスできるようにするには、サイトまたはコンテンツアクセス許可の両方を持ち、制限付きAccess Control グループのメンバーである必要があります。
注:
また、ユーザー プロパティに基づいてグループ メンバーシップを基本にする場合は、動的セキュリティ グループを制限付きAccess Control グループとして使用することもできます。
サイトのサイト アクセスを管理する
サイトのサイト アクセスを管理するには:
- SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
- 管理するサイトを選択し、サイトの詳細パネルが表示されます。
- [ 設定] タブの [制限付きサイト アクセス] セクションで [編集 ] を選択します。
- [指定したグループ内のユーザーのみに SharePoint サイト アクセスを制限する] チェックボックスを選択します。
- セキュリティ グループまたは Microsoft 365 グループを追加または削除し、[保存] を選択 します。
サイトへのアクセス制限をサイトに適用するには、サイトアクセス制限ポリシーに少なくとも 1 つのグループを追加する必要があります。
グループに接続されたサイトの場合、サイトに接続されている Microsoft 365 グループが既定の制限付きAccess Control グループとして追加されます。 このグループを保持し、さらに Microsoft 365 または Microsoft Entra セキュリティ グループを制限付きAccess Control グループとして追加できます。
注:
前の画像に示すように、サイトに接続されている Microsoft 365 グループに対して [ 既定 のグループ] というラベルが付いたタグがあります。
PowerShell を使用して SharePoint サイトのサイト アクセス制限を管理するには、次のコマンドを使用します。
| アクション | PowerShell コマンド |
|---|---|
| サイトアクセス制限を有効にする | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| グループの追加 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| グループの編集 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| グループの表示 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| グループを削除する | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| サイトのアクセス制限をリセットする | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
サイト管理者とサイト所有者エクスペリエンス
サイトにポリシーを適用すると、[サイト情報] パネルと [アクセス許可] パネルに加えて、サイトの所有者とサイト管理者のポリシーの状態と構成されているすべてのコントロール グループが表示されます。
共有チャネル サイトとプライベート チャネル サイト
共有チャネル サイトとプライベート チャネル サイトは、標準チャネルで使用される Microsoft 365 グループ接続サイトとは別です。 共有チャネル サイトとプライベート チャネル サイトは Microsoft 365 グループに接続されていないため、チームに適用されるサイト アクセス制限ポリシーは影響を受けません。 グループ以外の接続済みサイトとして、共有チャネル サイトまたはプライベート チャネル サイトごとにサイト アクセス制限を個別に有効にする必要があります。
共有チャネル サイトの場合、リソース テナント内の内部ユーザーのみがサイト アクセス制限の対象となります。 外部チャネルの参加者はサイト アクセス制限ポリシーから除外され、サイトの既存のサイトのアクセス許可に従ってのみ評価されます。
重要
セキュリティ グループまたは Microsoft 365 グループにユーザーを追加しても、ユーザーは Teams のチャネルにアクセスできません。 Teams とセキュリティ グループまたは Microsoft 365 グループの Teams チャネルの同じユーザーを追加または削除することをお勧めします。そのため、ユーザーは Teams サイトと SharePoint サイトの両方にアクセスできます。
監査
監査イベントは、サイト アクセス制限アクティビティの監視に役立つ Microsoft Purview ポータルで使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。
- サイトへのサイト アクセス制限の適用
- サイトのサイト アクセス制限の削除
- サイトのサイト アクセス制限グループの変更
Reporting
制限付きサイト アクセス ポリシーの分析情報
IT 管理者は、次のレポートを表示して、制限付きサイト アクセス ポリシーで保護された SharePoint サイトに関するより多くの洞察を得ることができます。
- 制限付きサイト アクセス ポリシーによって保護されたサイト (RACProtectedSites)
- 制限されたサイト アクセスによるアクセス拒否の詳細 (ActionsBlockedByPolicy)
注:
各レポートの生成には数時間かかることがあります。
制限付きサイト アクセス ポリシー レポートによって保護されたサイト
SharePoint PowerShell で次のコマンドを実行して、レポートを生成、表示、ダウンロードできます。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| レポートの生成 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
制限付きサイト アクセス ポリシーによって保護されたサイトの一覧を生成します |
| レポートを表示する | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
レポートには、ポリシーによって保護されているページ ビューが最も高い上位 100 のサイトが表示されます。 |
| レポートのダウンロード | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
このコマンドは管理者として実行する必要があります。 ダウンロードしたレポートは、コマンドが実行されたパスにあります。 |
| 制限付きサイト アクセス レポートで保護されているサイトの割合 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
このレポートには、サイトの総数のうち、ポリシーによって保護されているサイトの割合が表示されます |
制限付きサイト アクセス ポリシー レポートによるアクセス拒否
次のコマンドを実行して、制限されたサイト アクセス レポートが原因でアクセス拒否のレポートを作成、フェッチ、および表示できます。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| アクセス拒否レポートを作成する | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
アクセス拒否の詳細を取得するための新しいレポートを作成します |
| アクセス拒否レポートの状態をフェッチする | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
生成されたレポートの状態をフェッチします。 |
| 過去 28 日間の最新のアクセス拒否 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
過去 28 日間に発生した最新の 100 件のアクセス拒否の一覧を取得します |
| アクセスが拒否された上位ユーザーの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
最も多くのアクセス拒否を受け取った上位 100 人のユーザーの一覧を取得します |
| アクセス拒否が最も多い上位サイトの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
アクセス拒否が最も多かった上位 100 サイトの一覧を取得します |
| さまざまな種類のサイト間でのアクセス拒否の配布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
さまざまな種類のサイト間でのアクセス拒否の分散を示します |
注:
最大 10,000 拒否を表示するには、レポートをダウンロードする必要があります。 ダウンロード コマンドを管理者として実行すると、ダウンロードしたレポートは、コマンドが実行されたパスにあります。
制限付きAccess Control グループ以外のユーザーとのサイトとコンテンツの共有 (オプトイン機能)
SharePoint サイトとそのコンテンツの共有では、制限付きサイト アクセス ポリシーは既定では適用されません。 SharePoint 管理者は、制限付きAccess Control グループのメンバーではないユーザーとのサイトとそのコンテンツの共有を制限できます。
制限付きAccess Control グループの外部のユーザーとの共有機能を制限するには、これを有効にするには、管理者としてSharePoint Online 管理シェルで次の PowerShell コマンドを実行します。
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
ユーザーとの共有
共有制限が適用されると、制限付きAccess Control グループのメンバーではないユーザーの共有はブロックされます。
グループとの共有
共有は、制限付きAccess Control グループの一覧に含まれる Microsoft Entra Security または Microsoft 365 グループで許可されます。 そのため、外部ユーザーまたは SharePoint グループを除くすべてのユーザーを含む他のすべてのグループとの共有は許可されません。
注:
制限付きAccess Control グループの一部である入れ子になったセキュリティ グループでは、サイトとそのコンテンツの共有は許可されません。 このサポートは、次のリリースイテレーションで追加されます。
アクセス拒否エラー ページの [詳細情報] リンクを構成する (オプトイン機能)
[ 詳細情報 ] リンクを構成して、制限付きサイト アクセス制御ポリシーのために SharePoint サイトへのアクセスが拒否されたユーザーに通知します。 このカスタマイズ可能なエラー リンクを使用すると、ユーザーに詳細情報とガイダンスを提供できます。
注:
[詳細情報] リンクは、制限付きAccess Controlポリシーが有効になっているすべてのサイトに適用されるテナント レベルの設定です。
リンクを構成するには、SharePoint PowerShell で次のコマンドを実行します。
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
リンクの値をフェッチするには、次のコマンドを実行します。
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
構成された詳細情報のリンクは、ユーザーが [ここでorganizationのポリシーの詳細を知る] リンクを選択すると起動されます。
