制限付きサイト アクセス制御は、SharePoint サイトとそのコンテンツへのアクセスを特定のグループ内のユーザーに指定することで、過剰共有を防ぐのに役立ちます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、サイトまたはそのコンテンツにアクセスできません。 このポリシーは、Microsoft 365 グループまたは Microsoft Entra セキュリティ グループを使用して、Microsoft 365 グループ接続サイト、Teams 接続サイト、およびグループ以外の接続済みサイトに適用できます。
サイトアクセス制限ポリシーは、ユーザーがサイトを開いたりファイルにアクセスしたりしようとすると有効になります。 ファイルへの直接アクセス許可を持つユーザーは、検索結果でファイルを引き続き表示できます。 ただし、指定したグループに属していないファイルにはアクセスできません。
グループ メンバーシップを使用してサイト へのアクセスを制限すると、コンテンツの共有超過のリスクを最小限に抑えることができます。 データ共有に関する分析情報については、「 データ アクセス ガバナンス レポート」を参照してください。
サイトへのアクセスを制限するには何が必要ですか?
ライセンス要件
この記事で説明する機能を使用するには、organizationが適切なライセンスを持ち、特定の管理アクセス許可またはロールを満たしている必要があります。
まず、組織には次のいずれかの基本ライセンスが必要です:
- Office 365 E3、E5、または A5
- Microsoft 365 E1、E3、E5、または A5
さらに、次のライセンスのうち少なくとも 1 つが必要です。
- Microsoft 365 Copilot ライセンス: organization内の少なくとも 1 人のユーザーに Copilot ライセンスを割り当てる必要があります (このユーザーは SharePoint 管理者である必要はありません)。
- Microsoft SharePoint 高度な管理ライセンス: 単体で購入できます。
管理者の要件
SharePoint 管理者であるか、同等のアクセス許可を持っている必要があります。
追加情報
組織に Copilot ライセンスがあり、組織の少なくとも 1 人に Copilot ライセンスが割り当てられている場合、SharePoint 管理者は Copilot の展開に必要なSharePoint 高度な管理機能に自動的にアクセスできます。
Copilot ライセンスをお持ちでない組織は、スタンドアロンの SharePoint 高度な管理ライセンスを購入することで、SharePoint 高度な管理機能をご利用になれます。
organizationのサイト レベルのアクセス制限を有効にする
個々のサイトに対して構成する前に、organizationのサイト レベルのアクセス制限を有効にする必要があります。 また、organizationのすべてのサイト管理者にサイト アクセス制限の制御を委任することもできます。
SharePoint 管理センターでorganizationのサイト レベルのアクセス制限を有効にするには、次の手順に従います。
[ ポリシー] を 展開し、[ アクセス制御] を選択します。
[ サイト レベルのアクセス制限] を選択します。
[ アクセス制限を許可する] を選択し、[保存] を選択 します。
PowerShell を使用してorganizationのサイト レベルのアクセス制限を有効にするには、次のコマンドを実行します。
Set-SPOTenant -EnableRestrictedAccessControl $true
コマンドが有効になるまでに最大 1 時間かかる場合があります。
制限付きAccess Controlの管理をサイト管理者に委任する
SharePoint 管理者は、制限付きAccess Controlの管理をサイト管理者に委任することもできます。 ポリシーを更新する場合は、ポリシーが更新される理由に関する適切な理由を提供する必要があります。
既定では、委任はオフになっています。 有効にする場合は、次のコマンドを実行します。
Set-SPOTenant -DelegateRestrictedAccessControlManagement $true
制限付きAccess Controlがすべてのサイト管理者に委任されたら、ポリシーを管理できます。
制限付きアクセス制御の代理人管理の状態をサイト管理者に確認する
委任の状態をチェックするには、次のコマンドを実行します。
Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement
注:
Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。
Microsoft 365 グループまたは Microsoft Entra セキュリティ グループを使用して、すべての SharePoint サイトへのアクセスを制限する
SharePoint サイトへのアクセスを制限するには、セキュリティ グループまたは Microsoft 365 グループMicrosoft Entra [制限付きAccess Control グループ] を指定します。 コントロール グループには、サイトへのアクセスを許可されているユーザーとそのコンテンツを含める必要があります。
サイトの場合は、最大 10 個のMicrosoft Entraセキュリティ グループまたは Microsoft 365 グループを構成できます。 ポリシーを適用すると、コンテンツへのアクセス許可を持つ指定されたグループ内のユーザーにアクセス権が付与されます。
重要
制限付きAccess Control グループ (セキュリティ グループまたは Microsoft 365 グループMicrosoft Entra) にユーザーを追加しても、サイトまたはコンテンツへのアクセス許可がユーザーに自動的に付与されることはありません。 ユーザーがこのポリシーによって保護されたコンテンツにアクセスするには、サイトまたはコンテンツのアクセス許可の両方が必要であり、制限付きAccess Control グループのメンバーである必要があります。
注:
また、ユーザー プロパティに基づいてグループ メンバーシップを基本にする場合は、動的セキュリティ グループを制限付きAccess Control グループとして使用することもできます。
サイトのサイト アクセスを管理する
サイトのサイト アクセスを管理するには、次の手順に従います。
SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
管理するサイトを選択します。 サイトの詳細パネルが表示されます。
[ 設定 ] タブの [制限付きサイト アクセス] セクションで [編集 ] を選択します。
[指定したグループ内のユーザーのみに SharePoint サイト アクセスを制限する] チェックボックスを選択します。
セキュリティ グループまたは Microsoft 365 グループを追加または削除し、[保存] を選択 します。
サイトへのサイト アクセス制限を適用するには、サイト アクセス制限ポリシーに少なくとも 1 つのグループを追加する必要があります。
グループに接続されたサイトの場合、サイトに接続されている Microsoft 365 グループは既定の制限付きAccess Control グループです。 このグループを保持し、さらに Microsoft 365 または Microsoft Entra セキュリティ グループを制限付きAccess Control グループとして追加できます。
注:
前の画像に示すように、サイトに接続されている Microsoft 365 グループに対して [ 既定 のグループ] というラベルが付いたタグがあります。
PowerShell を使用して SharePoint サイトのサイト アクセス制限を管理するには、次のコマンドを使用します。
| アクション | PowerShell コマンド |
|---|---|
| サイトアクセス制限を有効にする | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| グループの追加 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| グループの編集 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| グループの表示 | Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl, RestrictedAccessControlGroups |
| グループを削除する | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| サイトのアクセス制限をリセットする | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
サイト管理者エクスペリエンス
サイト管理者にサイト アクセス制限の制御を委任した後、サイト 情報 パネルでサイト アクセス制限設定を構成できます。
![[制限付きサイト アクセス] 設定を示すスクリーンショット。](sharepointonline/media/restricted-access-control/site-admin.png#lightbox)
SharePoint サイトへのアクセスを制限するには:
- Microsoft Entraセキュリティ グループまたは Microsoft 365 グループを使用して、サイトにアクセスできるユーザーを制限します。
- アクセス権を持つユーザーを含むグループを追加します。
- サイトごとに最大 10 個のグループを追加します。
- サイト アクセス制限設定の構成を保存すると、それらのグループ内のユーザーと、コンテンツに対するアクセス許可を既に持っているユーザーのみがサイトにアクセスできます。
- サイトのアクセス制限設定を更新するたびに、正当な理由を指定します。
サイト所有者エクスペリエンス
サイトにポリシーを適用すると、[ サイトのアクセス ] パネルには、[サイト 情報 ] パネルと [ アクセス許可 ] パネルに加えて、サイト所有者のポリシーの状態と構成されているすべての制御グループが表示されます。
共有チャネル サイトとプライベート チャネル サイト
共有チャネル サイトとプライベート チャネル サイトは、標準チャネルで使用される Microsoft 365 グループ接続サイトとは別です。 共有チャネル サイトとプライベート チャネル サイトは Microsoft 365 グループに接続されていないため、チームに適用されるサイト アクセス制限ポリシーは影響を受けません。 グループ以外の接続済みサイトとして、共有チャネル サイトまたはプライベート チャネル サイトごとにサイト アクセス制限を個別に有効にする必要があります。
共有チャネル サイトの場合、リソース テナント内の内部ユーザーのみがサイト アクセス制限の対象となります。 外部チャネルの参加者はサイト アクセス制限ポリシーから除外され、サイトの既存のサイトのアクセス許可に従ってのみ評価されます。
重要
セキュリティ グループまたは Microsoft 365 グループにユーザーを追加しても、ユーザーは Teams のチャネルにアクセスできません。 Teams とセキュリティ グループまたは Microsoft 365 グループの Teams チャネルの同じユーザーを追加または削除すると、ユーザーは Teams サイトと SharePoint サイトの両方にアクセスできるようになります。
監査
Microsoft Purview ポータルには、サイト アクセス制限アクティビティを監視するのに役立つ監査イベントが用意されています。 システムは、次のアクティビティの監査イベントをログに記録します。
- サイトへのサイト アクセス制限の適用
- サイトのサイト アクセス制限の削除
- サイトのサイト アクセス制限グループの変更
- サイトのアクセス制限を更新するためのサイト管理者の正当な理由
Reporting
制限付きサイト アクセス ポリシーの分析情報
IT 管理者は、次のレポートを表示して、制限付きサイト アクセス ポリシーで保護された SharePoint サイトに関するより多くの洞察を得ることができます。
- 制限付きサイト アクセス ポリシーによって保護されたサイト (RACProtectedSites)
- 制限付きサイト アクセス ポリシーによるアクセス拒否の詳細 (ActionsBlockedByPolicy)
現在、必要なライセンスを持っている場合でも、Gallatin ではレポートを使用できません。
注:
各レポートの生成には数時間かかることがあります。
制限付きサイト アクセス ポリシー レポートによって保護されたサイト
SharePoint PowerShell で次のコマンドを実行して、レポートを生成、表示、ダウンロードします。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| レポートの生成 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
制限付きサイト アクセス ポリシーによって保護されたサイトの一覧を生成します |
| レポートを表示する | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
レポートには、ポリシーによって保護されているページ ビューが最も高い上位 100 のサイトが表示されます。 |
| レポートのダウンロード | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
管理者としてこのコマンドを実行します。 ダウンロードしたレポートは、コマンドが実行されたパスにあります。 |
| 制限付きサイト アクセス レポートで保護されているサイトの割合 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
このレポートには、サイトの総数のうち、ポリシーによって保護されているサイトの割合が表示されます |
制限付きサイト アクセス ポリシー レポートによるアクセス拒否
次のコマンドを実行して、制限されたサイト アクセス レポートが原因でアクセス拒否のレポートを作成、フェッチ、および表示します。
| アクション | PowerShell コマンド | 説明 |
|---|---|---|
| アクセス拒否レポートを作成する | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
アクセス拒否の詳細を取得するための新しいレポートを作成します |
| アクセス拒否レポートの状態をフェッチする | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
生成されたレポートの状態をフェッチします。 |
| 過去 28 日間の最新のアクセス拒否 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
過去 28 日間に発生した最新の 100 件のアクセス拒否の一覧を取得します |
| アクセスが拒否された上位ユーザーの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
最も多くのアクセス拒否を受け取った上位 100 人のユーザーの一覧を取得します |
| アクセス拒否が最も多い上位サイトの一覧を表示する | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
アクセス拒否が最も多かった上位 100 サイトの一覧を取得します |
| さまざまな種類のサイト間でのアクセス拒否の配布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
さまざまな種類のサイト間でのアクセス拒否の分散を示します |
注:
最大 10,000 拒否を表示するには、レポートをダウンロードする必要があります。 管理者として download コマンドを実行します。 ダウンロードしたレポートは、コマンドを実行するパスにあります。
制限付きAccess Control グループ以外のユーザーとのサイトとコンテンツの共有 (オプトイン機能)
既定では、SharePoint サイトとそのコンテンツを共有することは、制限付きサイト アクセス ポリシーに従いません。 SharePoint 管理者は、制限付きAccess Control グループのメンバーではないユーザーとのサイトとそのコンテンツの共有を制限することを選択できます。
制限付きAccess Control グループの外部のユーザーに共有機能を制限するには、管理者としてSharePoint Online 管理シェルで次の PowerShell コマンドを実行します。
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
ユーザーとの共有
共有制限を適用すると、制限付きAccess Control グループのメンバーではないユーザーの共有がブロックされます。
グループとの共有
共有は、制限付きAccess Control グループの一覧に含まれる Microsoft Entra Security または Microsoft 365 グループで許可されます。 外部ユーザーや SharePoint グループを除くすべてのグループを含め、他のすべてのグループとの共有は許可されません。
注:
制限付きAccess Control グループの一部である入れ子になったセキュリティ グループに対して、サイトとそのコンテンツの共有が許可されるようになりました。
アクセス拒否エラー ページの [詳細情報] リンクを構成する (オプトイン機能)
制限付きサイト アクセス制御ポリシーにより SharePoint サイトへのアクセスが拒否されたユーザーに通知するには、[ 詳細情報 ] リンクを構成します。 このエラー リンクをカスタマイズすることで、ユーザーに詳細情報とガイダンスを提供できます。
注:
[詳細情報] リンクは、制限付きAccess Control ポリシーが有効になっているすべてのサイトに適用されるテナント レベルの設定です。
リンクを構成するには、SharePoint PowerShell で次のコマンドを実行します。
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
リンクの値をフェッチするには、次のコマンドを実行します。
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
構成された [詳細情報] リンクは、ユーザーが [ここでorganizationのポリシーの詳細を知る] リンクを選択すると起動します。
