SharePoint Online　意図しない権限を増やさない方法

今回はSharePoint Onlineでの権限管理というテーマで、意図しない権限付与を防ぐための設定方法を検証を踏まえてご紹介いたします。

1.はじめに

2.検証結果

　・検証内容の説明

　・デフォルトの設定で動作検証

　・設定を変更して動作検証

3.まとめ

1.はじめに

おそらくこの記事を読まれている方は、SharePoint Online（以下SPO）を利用されている企業のサイト管理者の方が多いのではないでしょうか。本記事は、そんなサイト管理者の方に向けた設定の検証内容となっております。

SPOを組織で利用する際には、フォルダーを部署やプロジェクトごとに整理し、特定のメンバーだけが閲覧可能な場所を作る場合が多いかと思います。しかし、そんな整理された場所にあるはずのファイルが、気づいたら権限を付与していない人物も閲覧可能になっていた、なんて経験はありませんか？

結論から申しますと、権限を持つ人物が増えてしまう原因はファイルを共有する際の「リンクのコピー」（共有リンクの発行）が原因である可能性が高いです。今回はそんな「リンクのコピー」に関する設定を、実際に検証を交えながらご紹介いたします。

2.検証結果

検証内容の説明

今回設定を変更するのは、SPOサイトの設定である「サイト共有設定」に関してのみとなります。権限の継承状況等はお使いのSPOサイトごとに異なりますので、以下の前提であることをご認識ください。

前提条件

・検証を行うのはドキュメントライブラリ内で固有の権限を持っているファイル

・ファイルがあるドキュメントライブラリはサイトの権限を継承している

・サイトの権限は下記のグループで管理している

・メンバーとして権限付与されているユーザーを「Aさん」

閲覧者として権限付与されているユーザーを「Bさん」とします

デフォルトの設定で動作検証

はじめに、デフォルトの「サイトの共有設定」で実際にリンクのコピーを行った際の動作を検証します。

今回の検証では、デフォルトで作成されるドキュメントライブラリ「ドキュメント」を利用します。

「権限継承.pptx」はサイトから権限を継承しているため、サイトへの権限を付与されているユーザーであればだれでも閲覧可能ですが、「固有権限.xlsx」は継承を切っており下記の権限となっています。

権限を絞られているこのファイルは、「閲覧者」としてサイトへ権限付与されているBさんは見ることができないようになっているという状況です。

Aさん（メンバー）の画面

Bさん（閲覧者）の画面

ここで、ファイルが表示されているAさんが「固有権限.xlsx」の「リンクのコピー」を行うと、下記のメッセージが表示されます。

「リンクを知っているあなたの組織のユーザーが表示できます」

何やら怪しい文章が出ました。メッセージ横の「設定」で詳細を見てみましょう。

「このリンクは次のユーザーに機能します」という、発行したリンクが与える権限の対象設定を見てみましょう。デフォルト値として、一番上の組織内のユーザーであれば誰でもリンクからアクセスできてしまう設定が選択されています。

つまり今回AさんがコピーしたリンクをBさんへと共有すると、Bさんはリンクを知っている組織のユーザーとなるため、閲覧権限を設定していないにもかかわらず、共有されたリンクを経由することでファイルを見ることができてしまう＝閲覧権限が付与されるというわけです。

リンク発行後にファイルのアクセス許可を確認しますと、新たにリンクが発行されていることが分かります。

↓リンク発行前

↓リンク発行後

※こちらの共有リンクは削除することができ、リンク経由で付与されたユーザーの閲覧権限はリンクを削除することではく奪することができます。

設定を変更して動作検証

それでは、設定を変更してみましょう。

画面右上の歯車をクリックし、「設定」＞「サイトのアクセス許可」＞「メンバーが共有する方法を変更」の順に移動します。

「共有アクセス許可」の設定では、サイトやフォルダー、ファイルを共有する際の制限を行うことができます。ファイル等を共有できるユーザーを管理する項目となりますので、この設定で共有許可を与えられたメンバーは共有リンクを発行できてしまいます。

デフォルトの設定ではサイトの所有者、メンバー、編集権限を持つユーザーはファイルやフォルダーを共有できる設定となっているため、Aさんは権限のないBさんへのファイル共有ができてしまいました。

今回の設定ではサイトだけではなく、ファイルやフォルダー単位で権限管理をしているため、権限のないメンバーへのファイル共有は防ぎたいです。そのため、一番下の「ファイル、フォルダー、およびサイトを共有できるのはサイトの所有者だけです。」を選択し、保存しましょう。

※「サイトの所有者」に該当するメンバーは、「サイトのアクセス許可」の画面より確認ができます。

設定を変更した状態で、再度Aさんが「リンクのコピー」をした場合を検証します。

「既存のアクセス権を持つユーザーがリンクを使用できます。」

メッセージが変わりました。設定の画面も見てみましょう。

共有方法の設定変更を行う前とは異なり「既存のアクセス権を持つユーザー専用」がデフォルトとなっています。組織内のユーザーを選択することもできなくなっていますね。

この設定の実施後、Bさんはコピーしたリンクからはアクセスできず、「アクセスの拒否」の画面が出てしまいます。

これにて設定・検証は完了となります。

3.まとめ

今回は、SPOの「サイト共有設定」により、意図しない権限付与を制限する設定方法をご紹介しました。

管理者の知らないところで権限が付与されてしまっていた、ということが起こらないように、適切な設定・権限管理を行いましょう。

※組織ごとにテナントやサイトの設定が異なりますので、ご利用の環境をよくご確認したうえで設定をお試しいただければと思います。共有機能に関しては今回ご紹介したサイトの設定のほかに、テナント単位で設定できる設定もございます。

また、サイトの権限設定を変更する際には検証用のサイト等でお試しされてから、本番環境での設定を実施してください。