次の方法で共有


Microsoft 365 グループ、Teams、および SharePoint でのアクセスの管理

ユーザーがグループ、チーム、および SharePoint のリソースにアクセスする方法を管理できるコントロールは多数あります。 これらのオプションを確認し、ビジネス ニーズに対応する方法、データの機密性、ユーザーが共同作業を行う必要があるユーザーの範囲を検討します。

次の表に、Microsoft 365 で使用できるアクセス制御のクイック リファレンスを示します。 詳細については、次のセクションで説明します。

カテゴリ 説明 関連情報
メンバーシップ
ルールに基づく動的グループ メンバーシップ Microsoft Entra ID で動的グループを作成または更新する
ファイル、フォルダー、サイトを共有できるユーザーを制御します。 アクセス要求の設定と管理
条件付きアクセス
多要素認証 多要素認証のMicrosoft Entra
グループ、チーム、またはサイトの機密性に基づいてデバイス アクセスを制御します。 秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する
管理されていないデバイスのサイト アクセスを制限します。 管理されていないデバイスからの SharePoint アクセスを制御する
場所に基づいてサイト アクセスを制御する ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御する
ユーザーが SharePoint サイトにアクセスするときに、より厳しいアクセス条件を適用します。 SharePoint サイトと OneDrive の条件付きアクセス ポリシー
ゲスト アクセス
指定したドメインからの SharePoint 共有を許可またはブロックします。 ドメイン別の SharePoint および OneDrive コンテンツの共有を制限する
指定したドメインからのチームまたはグループ メンバーシップを許可またはブロックします。 B2B ユーザーに対する特定組織からの招待を許可またはブロックする
匿名共有を禁止します。 [すべてのユーザー] リンクをオフにする
匿名アクセス リンクのアクセス許可を制御します。 すべてのリンクのリンクアクセス許可を設定する
匿名共有リンクの有効期限を制御します。 [すべてのユーザー] リンクの有効期限を設定する
既定でユーザーに表示される共有リンクの種類を制御します。 サイトの既定のリンクの種類を変更する
外部共有を特定のユーザーに制限します。 外部共有を指定されたセキュリティ グループに制限する
情報の機密性に基づいて、グループ、チーム、またはサイトへのゲスト アクセスを制御します。 秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する
共有オプションをオフにします。 Microsoft 365 の共有を制限する
ユーザーの管理
チームとグループのメンバーシップを定期的に確認します。 Microsoft Entraアクセス レビューとは
グループとチームへのアクセス管理を自動化します。 Microsoft Entraエンタイトルメント管理とは
特定のセキュリティ グループのメンバーに OneDrive アクセスを制限します。 セキュリティ グループによる OneDrive アクセスの制限
チームまたはサイトへのアクセスをグループのメンバーに制限します。 SharePoint サイトへのアクセスをグループのメンバーに制限する
情報分類
グループとチームを分類する 秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する
機密コンテンツを自動的に分類する 秘密度ラベルをコンテンツに自動的に適用する
機密性の高いコンテンツを暗号化する 機密ラベルを使用して暗号化を適用しコンテンツへのアクセスを制限する
ユーザーのセグメント化
ユーザー セグメント間の通信を制限する 情報障壁
データ所在地
特定の地理的な場所にデータを格納する Microsoft 365 Multi-Geo

メンバーシップ

部署などの条件に基づいて、グループまたはチームのメンバーシップを動的に管理できます。 この場合、メンバーと所有者はチームにユーザーを招待できません。 動的グループは、Microsoft Entra ID で定義したメタデータを使用して、グループのメンバーを制御します。 メタデータが正しくないと、ユーザーがグループから除外されたり、誤ったユーザーが追加されたりする可能性があり、使用しているメタデータが完全かつ最新であることを確認してください。

SharePoint サイトでは、グループまたはチーム メンバーシップとは別に、所有者、メンバー、および訪問者を追加できます。 要件に応じて、サイトにユーザーを招待できるユーザーを制限できます。 また、特定のサイト内の情報の機密性によっては、ファイルとフォルダーを共有できるユーザーを制限することもできます。 これらの制限は、チーム、グループ、またはサイト所有者によって構成されます。

条件付きアクセス

Microsoft 365 では、organization内外のユーザーに多要素認証を要求できます。 ユーザーが認証の 2 番目の要素を求められる状況には、多くのオプションがあります。 organizationに多要素認証をデプロイすることを強くお勧めします。

一部のグループやチームに機密情報がある場合は、グループまたはチームの秘密度ラベルに基づいてデバイス管理ポリシーを適用できます。 アンマネージド デバイスからのアクセスを完全にブロックすることも、制限された Web のみのアクセスを許可することもできます。

SharePoint では、指定したネットワークの場所からサイトへのアクセスを制限できます。

追加情報:

ゲスト アクセス

ゲストは、メール アドレスのドメインに基づいて制限できます。 SharePoint には、organization全体およびサイト固有のドメイン制限設定が用意されています。 グループと Teams では、ドメイン許可リストまたはブロックリストがMicrosoft Entra ID で使用されます。 不要な共有を回避し、一貫性のあるユーザー エクスペリエンスを確保するために、両方の設定を必ず構成してください。

Microsoft 365 では、 すべての 共有リンクを使用して、ファイルとフォルダーを匿名で共有できます。 すべての リンクを転送でき、リンクを持つすべてのユーザーが共有アイテムにアクセスできます。 データの機密性に応じて、すべてのリンクを完全にオフにする、リンクアクセス許可を読み取り専用に制限する、有効期限を設定するなど、 すべての リンクの使用方法を管理することを検討してください。

ファイルまたはフォルダーを共有する場合、ユーザーは複数のリンクの種類から選択できます。 誤って不適切な共有が発生するリスクを減らすために、ユーザーが共有するときに表示される既定のリンクの種類を変更できます。 たとえば、匿名アクセスを許可する [すべてのユーザー] リンクの既定値を organization リンク内のPeopleに変更すると、機密情報の不要な外部共有のリスクを軽減できます。

organizationにゲストと共有する必要がある機密データがあるが、不適切な共有が心配な場合は、ファイルとフォルダーの外部共有を指定されたセキュリティ グループのメンバーに制限できます。 このようにして、外部での共有を特定のユーザー グループに制限したり、セキュリティ グループに追加する前に適切な外部共有に関するトレーニングをユーザーに要求したりできます。

グループと Teams には、ゲスト アクセスを許可または拒否するorganizationレベルの設定があります。 Microsoft PowerShell を使用して特定のチームまたはグループへのゲスト アクセスを制限できますが、秘密度ラベルを使用してこれを行うことをお勧めします。 秘密度ラベルを使用すると、適用されたラベルに基づいてゲスト アクセスを自動的に許可または拒否できます。

グループやチームにゲストを頻繁に招待する環境では、定期的にスケジュールされたゲスト アクセス レビューを設定することを検討してください。 所有者は、グループやチームのゲストを確認し、アクセスを承認または拒否するように求められます。

Microsoft 365 では、さまざまな方法で情報を共有できます。 機密情報があり、共有方法を制限する場合は、共有を制限するためのオプションを確認します。

追加情報:

ユーザーの管理

グループとチームがorganizationで進化するにつれて、チームとグループのメンバーシップを定期的に確認することをお勧めします。 これは、メンバーシップが変更されているチームやグループ、機密情報を含むチームやグループ、ゲストを含むグループに特に役立つ場合があります。 次のチームとグループのアクセス レビューを設定することを検討してください。

多くの組織は、共同作業を深める他の組織や主要ベンダーとビジネス パートナーシップを結びます。 これらのシナリオでは、ユーザーの管理とリソースへのアクセスを管理するのは困難な場合があります。 ユーザー管理タスクの一部を自動化し、一部をパートナー organizationに移行することを検討してください。

Teams のプライベート チャネルを使用すると、チーム メンバーのサブセット間でスコープ付きの会話やファイル共有を行うことができます。 特定のビジネス ニーズに応じて、この機能を許可またはブロックすることができます。

共有チャネルを使用すると、チーム外またはorganization外にいるユーザーを招待できます。 特定のビジネス ニーズと外部共有ポリシーに応じて、この機能を許可またはブロックすることができます。

OneDrive を使用すると、ユーザーが作業しているコンテンツを簡単に保存して共有できます。 ビジネス ニーズに応じて、このコンテンツへのアクセスを、社内の正社員やその他のグループに制限することができます。 その場合は、OneDrive コンテンツへのアクセスをセキュリティ グループのメンバーに制限できます。

一部の機密性の高いチームまたはサイトでは、チームまたはサイト コンテンツへのアクセスをチームのメンバーまたはセキュリティ グループのメンバーに制限することができます。

追加情報:

情報分類

秘密度ラベルを使用して、グループとチームのゲスト アクセス、グループとチームのプライバシー、および管理されていないデバイスによるアクセスを管理できます。 ユーザーがラベルを適用すると、これらの設定はラベル設定で指定されたとおりに自動的に構成されます。

機密情報の種類の検出やトレーニング可能な分類子とのパターン マッチングなど、指定した条件に基づいてファイルと電子メールに秘密度ラベルを自動的に適用するように Microsoft 365 を構成できます。

秘密度ラベルを使用してファイルを暗号化し、暗号化を解除して読み取るアクセス許可を持つファイルのみを許可できます。

追加情報:

ユーザーのセグメント化

情報バリアを使用すると、データとユーザーをセグメント化して、グループ間の望ましくない通信とコラボレーションを制限し、organizationに対する関心の競合を回避できます。 情報バリアを使用すると、organization内のグループ間でファイルコラボレーション、チャット、通話、会議の招待状を許可または禁止するポリシーを作成できます。

データ所在地

Microsoft 365 Multi-Geo を使用すると、データ所在地の要件を満たすために選択した地域の場所に保存データをプロビジョニングして格納できます。 複数地域環境では、Microsoft 365 テナントは、中央の場所 (Microsoft 365 サブスクリプションが最初にプロビジョニングされた場所) と、データを格納できる 1 つ以上のサテライトの場所で構成されます。

おすすめのコラボレーション ガバナンス計画

コラボレーション ガバナンス計画を作成する

Microsoft Teams のセキュリティとコンプライアンス

SharePoint で共有設定を管理する

3 層の保護を使って Teams を構成する