SharePoint / OneDrive での安全なファイルの共有(前編)

Microsoft 365 に含まれるSharePoint Online とOneDrive for Business はユーザーが自分やチームのファイルを保存し、共同作業が行える機能です。組織内のユーザーとファイルを共有できるだけでなく、組織外の人とも共有し、共同作業を行うことができます。
この機能は適切に利用すれば非常に便利ですが、組織の外部を含めて簡単にファイルの共有が行えるため、共有の設定や方法を誤ると、秘密情報の漏洩が発生する危険があります。特にMicrosoft 365 の初期設定では、組織内の全ユーザーが、組織外の不特定の相手に対して、ファイルの共有が行えるようになっています。誰でも容易に社外の相手にファイル共有できるので注意が必要です。
またTeamsでチャットやチャネルでファイルを共有する際もSharePoint Online とOneDrive for Business の機能が利用されているので、同様の注意が必要です。
この記事では、SharePoint Online と OneDrive for Business で安全にファイルの共有や共同作業を行うために確認すべき設定、より安全かつ便利に共有を行うための設定について解説します。

SharePoint Online・OneDrive for Business・Teamsでの共有の初期設定は以下のようになっています。

  • SharePoint Online
    • 組織内のすべてのユーザーは自分がアクセス権のあるサイトで外部共有を作成可能
    • ユーザーはサインインが必要ないリンク(URL)を使用してファイルとフォルダーを共有可能
    • 共有相手の制限なし
    • パブリックサイトではサイト内のファイルは組織内の全ユーザーが閲覧可能
  • OneDrive for Business
    • 組織内のすべてのユーザーは自分の個人用OneDrive で外部共有を作成可能
    • ユーザーはサインインが必要ないリンク(URL)を使用してファイルとフォルダーを共有可能
    • 共有相手の制限なし
  • Teamsのチャット
    • 組織内のすべてのユーザーはチャットで他のチャット参加者(メンバーとゲスト)と共有可能
    • 外部アクセスユーザー(チームにゲストとして登録されていないユーザー)とは共有不可
  • Teamsのチャネル
    • 組織内のすべてのユーザーはチームで他のチーム参加者(メンバーとゲスト)と共有可能
    • パブリックチームではチーム内のファイルは組織内の全ユーザーが閲覧可能

また共有リンクを作成する際の既定値は、「リンクを知っているユーザー」で、かつ誰でも「編集可能」に設定されています。
この設定は共有のし易さが重視されていますが、個人情報や営業秘密などの秘密情報を扱う際に注意して操作・設定しないと、意図せず外部に秘密情報を流出させてしまう危険があります。

SharePoint Online・OneDrive for Business・Teamsを含むMicrosoft 365 の利用を開始する際、まず共有の設定を確認し、必要に応じた変更を行うことをお勧めします。
共有設定は以下の場所から確認・変更できます。

  1. Microsoft 365 管理センターにアクセスします。

    ※設定の変更にはグローバル管理者またはSharePoint 管理者の権限が必要です。

  2. [すべて表示] - [すべての管理センター] - [SharePoint] の順に選択します。
  3. SharePoint 管理センターが表示されたら、[ポリシー] - [共有] の順に選択します。

コンテンツを共有できる相手の設定

最初に確認するのはコンテンツ(ファイル)を共有できる相手の設定です。
既定では以下の設定になっています。

  • 設定を変更したら、忘れずにページ下部の [保存] ボタンをクリックしてください。

共有できる相手のレベルはSharePoint Online とOneDrive for Business のそれぞれで4段階に設定できます。ただしOneDrive の設定レベルSharePoint の設定レベル以下にする必要があります。SharePoint よりOneDrive の制限を少なくすることはできません。

  • [すべてのユーザー]

    リンク(URL)だけ知っていればサインインなしに誰でもアクセスできる共有の作成(アクセスできるリンク(URL)の作成)が許可されます。組織外のユーザーとファイルを共有する最も簡単で使いやすい設定ですが、秘密情報の偶発的な公開を引き起こす可能性があります。

  • [新規および既存のゲスト]

    メールアドレスで指定され、メールで配信される確認コードを入力した外部ユーザー、組織のテナントにゲストとして参加する外部ユーザー、組織内のユーザーがアクセスできるリンク(URL)の作成が許可されます。ゲストと組織内のユーザーはサインインが必要です。

  • [既存のゲスト]

    組織のテナントにゲストとして参加する外部ユーザーと、組織内のユーザーがアクセスできるリンク(URL)の作成が許可されます。ゲストと組織内のユーザーはサインインが必要です。

  • [自分の組織内のユーザーのみ]

    組織内のユーザーだけがアクセスできるリンク(URL)の作成が許可されます。外部共有は行えません。組織内のユーザーはサインインが必要です。

この設定はテナント内すべてのSharePoint サイトとすべてのユーザーのOneDrive に反映します。設定の反映後は、この設定より制限が緩やかなサイトの作成や、この設定で許可されないOneDrive 上の共有方法の選択はできません。逆にSharePoint サイト単位でここでの設定より厳しい制限を掛けることは可能です。そのためここでは組織(テナント)全体で必要となる最も緩やかな制限を設定してください。
不特定な外部のパートナーとの共同作業に利用するサイトなど、緩やかな制限が求められるサイトはここでの設定のまま利用し、社外秘など秘密情報を扱うサイトだけを個別に厳しい制限を掛けるようにします。実際に業務上で簡便なファイル共有の手段が求められているのにやみくもに全体的な制限を厳しくすることは、シャドーIT*1 の発生を招きかえって危険となる場合があります。

*1:ユーザーが独自に(多くの場合無断で)組織の管理外のITサービスを導入・利用すること。この場合はファイル共有のために無断で外部のサービスを利用するようなケースを想定。

外部共有の詳細設定

外部共有について、以下のような詳細設定が行えます。

ドメインごとに外部共有を制限する

有効にすると、[ドメインを追加] ボタンが表示されます。

ボタンをクリックすると、ドメインを追加する画面が表示されます。登録したドメインを許可して他のドメインとの共有をブロックするのか(ホワイトリスト)、登録したドメインをブロックして他のドメインとの共有を許可するのか(ブラックリスト)選択し、ドメイン名を入力し、[保存] をクリックします。

関連会社や親子関係の会社、協力会社、ビジネスパートナーなど特定の組織とは共有を行いたいが、それ以外との外部共有は禁止したい場合、ホワイトリストを登録すると良いでしょう。

特定のセキュリティグループのユーザーのみに外部共有を許可する

有効にすると、[セキュリティグループの管理] ボタンが表示されます。

ボタンをクリックすると、メンバーに外部共有を許可するセキュリティグループを追加する画面が表示されます。許可を与えるセキュリティグループを指定し、[共有可能な相手] を選択します。

  • セキュリティグループは最大12個指定できます

[共有可能な相手] で [すべてのユーザー] を選択すると、追加されたグループのメンバーはリンク(URL)だけ知っていればサインインなしに誰でもアクセスできる共有の作成が許可されます([コンテンツを共有できる相手] の設定で許可されている場合)。[認証済みゲストのみ] を選択すると、サインインしたゲストに対する共有が行えます。
許可されたセキュリティグループのメンバーでないユーザーが外部共有を作成しようとすると、以下のようなメッセージが表示されてリンクを作成できません。

許可されたセキュリティグループのメンバーは、以下のように組織外のユーザーと共有しようとしている警告は表示されますが、共有が行えます。

  • この設定は外部共有にのみ影響し、組織内のユーザーとの共有には影響しません。
    外部共有を行えるユーザーを限定したい場合や、特定の部署でのみ外部共有を許可したい場合に、この設定を利用できます。

ゲストは共有招待状の送信先と同じアカウントを使用してサインインする必要がある

既存の外部ユーザーとの共有を設定すると、そのユーザーに電子メールで共有への招待状が送信されます。招待状を受け取ったユーザーは招待状に記載されているリンクからサインインすることで招待を受諾し、共有されたファイルへアクセスできます。
既定では、ゲストは招待状を受け取ったアカウントとは別のアカウントでサインインできます。招待状の利用後に、その招待状は別のアカウントでは使用できなくなります。
この設定を有効にすると、招待状を受け取ったメールアドレス以外での招待の受諾ができなくなります。
有効にすることで招待状の転送などで意図しないユーザーがファイルにアクセスすることを防げます。

ゲストに所有していないアイテムの共有を許可する

この設定が無効の場合、ゲストは自分がファイルに対するフルコントロールのアクセス許可を持っている場合のみ、外部との共有が行えます。
設定を有効にすると、ゲストはアクセス可能なアイテムをすべて外部と共有できます(組織内のメンバーと同じ権限)。

サイトまたはOneDrive へのゲストアクセスは、この数日後に自動的に期限切れになります

この設定を有効にすると、ゲストアクセスの有効期限を設定できます。

ゲストはこの有効期限を過ぎると無効になり、SharePoint サイトやOneDrive にアクセスできなくなります。

  • 有効期間中にゲストがファイルをダウンロードしている場合、ダウンロード済みのファイルには影響を与えません。一定の期間のみゲストアクセスを有効にして、それ以後はアクセスできなくしたい場合に構成してください。

確認コードを使用するユーザーは、この日数の後に再認証を行う必要があります

共有に招待された外部ユーザーは、確認コードを招待されたメールアドレスで受信し、受け取った確認コードでサインインして共有されたファイルにアクセスできます。確認コードでサインインする際、ブラウザーで [サインインアウトしない]を選択するとサインインの状態を維持できます。
この設定を有効にすると、指定した日数の経過後に再認証(確認コードの受け取りと入力)が必要になります。

この設定は確認コードを使用するゲストに対する本人確認として利用できます。

ファイルとフォルダーのリンク

共有で作成されるリンク(URL)の既定値などを設定できます。

SharePoint とOneDrive でユーザーがファイルとフォルダーを共有するときに、既定で選択されるリンクの種類を選択します。 共有リンクに既定で選択されるアクセス許可を選択してください。
この2つの設定は、共有リンクを作成する際の以下の赤囲みの部分の既定値を設定します。

例えば [特定のユーザー] と [表示] を設定すると、上のダイアログは以下のように変化します。

[全員] リンクの有効期限とアクセス許可のオプションを選択します。

[すべてのユーザー](全員)に対する共有はリンク(URL)を知っていれば誰でもサインインなしにアクセスできますので、設定によっては誰でも編集(書き換え)や削除、フォルダーへのアップロードが可能になってしまいます。このような動作を制限できるのがこの設定です。
[これらのリンクは、次の日数以内に期限切れにする必要があります]を有効にすると、[すべてのユーザー](全員)に対する共有リンクは指定した日数で無効になり、アクセスできなくなります。
[これらのリンクを使用して次のアクセス許可を付与できます]では、[すべてのユーザー](全員)に対する共有リンクを利用したアクセスで、ファイルとフォルダーに対して行える操作を表示のみに制限できます。

設定の保存

設定を変更したら、忘れずにページ下部の [保存] ボタンをクリックしてください。

保存ボタンがクリックできる状態のときは、未保存の設定変更があります。設定がすべて保存済みの場合は、以下のようにボタンがグレーアウトします。

SharePoint 管理センター以外に、ゲストとの外部共有・共同作業についてテナント全体の設定を行う場所があります。
これらの設定はテナント全体に反映され、SharePoint 管理センターでの設定が優先されます。

Microsoft 365 グループの設定

  1. Microsoft 365 管理センターで [設定] - [組織設定] にアクセスします。
  2. [Microsoft 365 グループ] をクリックします。
  3. Microsoft 365 グループの設定画面が表示されます。

SharePoint Online やOneDrive for Business でゲストを招待してファイル共有を行う動作に、この2つの設定が影響します。この2つが有効の場合、ゲストとして招待され招待を受諾した組織外のユーザー(ゲスト)はMicrosoft 365 グループにメンバーとして参加でき、グループのコンテンツ(ファイルやリスト)にアクセスできます。
具体的には、SharePoint サイトであればゲストはサイトのメンバーに追加され、ドキュメントライブラリやリストをアクセスすることが可能です。Teamsであればチームのメンバーに追加され、チャネルメッセージやファイル、アプリのタブなどにアクセスすることが可能です。

Azure Active Directory の設定

  1. Microsoft Entra 管理センターにアクセスします。
  2. [Azure Active Directory] - [External Identities] - [外部コラボレーションの設定] に順に選択します。

ここでは以下の2つの設定を確認・構成します。

ゲスト招待の制限

外部ユーザーをゲストとして招待できる権限を管理します。
管理者だけがゲストを招待できるようにするには、[特定の管理者ロールに割り当てられているユーザーのみがゲストユーザーを招待できる] を選択します。

  • 特定の管理者ロール:全体管理者、ユーザー管理者、およびゲスト招待元

コラボレーションの制限

ゲスト参加への招待状を送信できるドメインを指定できます。
SharePoint 管理センターの [ドメインごとに外部共有を制限する] と同様にブラックリストまたはホワイトリストの構成が可能です。

この設定で制限されたドメインのメールアドレスにはゲストの招待状が送信できなくなります。そのため制限されたドメインのメールアドレスを持つユーザーは、組織にゲスト参加できません。

SharePoint 管理センターの [ポリシー] - [共有] では組織のテナント全体の共有の制限を構成できますが、個々のSharePoint サイト単位でも共有の制限が行えます。
以下にその手順を示します。

  1. Microsoft 365 管理センターにアクセスします。
    • 設定の変更にはグローバル管理者またはSharePoint 管理者の権限が必要です。
  2. [すべて表示] - [すべての管理センター] - [SharePoint] の順に選択します。
  3. SharePoint 管理センターが表示されたら、[サイト] - [アクティブなサイト] の順に選択します。
  4. 共有設定を変更するサイトを選択して、[共有] をクリックします。
  5. 共有の設定画面が表示されます。

    各設定項目は、[ポリシー] - [共有] と共通しています。異なるのは、ここでの設定は選択したサイトでのみ有効になる点です。
    設定を変更したら [保存] ボタンをクリックします。

    • サイト単位の設定を破棄して、[ポリシー] - [共有] で構成した組織レベルの設定に戻すこともできます。

以上の設定を利用して、組織のニーズに合致した共有のポリシーを構成します。繰り返しになりますが、SharePoint 管理センターでは組織(テナント)全体で必要となる最も緩やかな制限を設定し、サイト(Teamsではチーム)ごとに個別に必要とされる制限を設定してください。

Microsoft 365 のSharePoint Online やOneDrive for Business では組織内だけでなく、組織外の人ともファイルを共有し、共同作業を行うことができます。この機能は非常に便利ですが、共有の設定や方法が適切でないと秘密情報の漏洩が発生する危険があります。

Microsoft 365 の初期設定では共有の制限が無く、組織内の全ユーザーが、組織外の不特定の相手に対して、ファイルの共有が行えるようになっています。安全な共有のために、組織内の外部共有のニーズや目的・使われ方を洗い出して、それに応じた共有の制限を行うことが必要です。 洗い出した要件を基にSharePoint 管理センターでは組織(テナント)全体で必要となる最も緩やかな制限を設定します。そして緩やかな制限が必要なサイトは組織の既定の制限のまま利用し、外部共有の制限が必要となるサイトだけを個別に厳しい制限を掛けるようにします。必要以上の厳しい制限はシャドーITの発生を招く原因となり、かえって危険となる場合があります。

安全なファイルの共有のため、外部共有の設定を見直してみましょう。
Microsoft 365 の利用でお困りのこと、また製品の導入やライセンスの選択でお悩みのことがございましたら、お気軽に当社担当営業までご相談下さい。

このように設定を行うことでファイルの共有に制限を行うことができますが、これだけでは共有されたファイルが共有相手にダウンロードされた後、さらに別の人に共有されてしまうことを防げません。このようなファイルの拡散を防ぐ機能について、次回の後編で解説します。ご期待ください。

CSPの記事