Web アプリケーションのアクセス許可ポリシーを管理する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2011-12-19

Web アプリケーションは、作成するサイト コレクションの論理コンテナーとして動作するインターネット インフォメーション サービス (IIS) Web サイトで構成されます。サイト コレクションを作成する前に、Web アプリケーションを作成する必要があります。

Web アプリケーションには、50 万件ものサイト コレクションを含めることができます。サイト コレクションがこれだけの数になると、権限の管理が複雑になり、間違いも起こりやすくなります。特に、Web アプリケーション全体に適用される権限の他に、一部のユーザーやグループに必要な権限がある場合はなおさらです。

アクセス許可ポリシーは、Web アプリケーションの一部のユーザーやグループだけに適用される一連の権限を構成および管理するための一元的な手段となります。詳細については、「ユーザー権限とアクセス許可レベル (SharePoint Server 2010)」を参照してください。

Web アプリケーションにユーザー権限を指定する場合と、Web アプリケーションにアクセス許可ポリシーを作成する場合とでは、権限を適用する対象となるユーザーとグループ、および権限を適用する範囲が異なります。また、個々の権限が選択される権限リストも異なります。

  • Web アプリケーションの権限は包括的な設定で、Web アプリケーション内のすべてのサイト コレクションのすべてのユーザーとグループに適用されます。権限リストは 1 つの列のみを持ち、すべての権限が既定で有効になっています。それぞれの権限を個別に無効にする必要があります。

    詳細については、「Web アプリケーションの権限を管理する (SharePoint Server 2010)」を参照してください。

  • Web アプリケーションのアクセス許可ポリシー レベルには、一部のユーザーやグループがサイト コレクションを特定の方法で操作できる権限が含まれます。たとえば、サイト コレクションの一部のユーザーに対するアクセス許可ポリシー レベルを作成し、リストのアイテムを追加、編集、または削除すること、リストを開くこと、およびアイテム、リスト、またはページを表示することを許可できます。その一方で、同じユーザーに対して、リストを作成または削除することを禁止できます。これらの操作にはリストの管理権限が必要となります。

    権限リストには、[すべて許可] 列と [すべて拒否] 列があります。アクセス許可ポリシー レベルの一部として、すべての権限を許可または拒否できます。また、個々の権限を許可または拒否することもできます。既定では、有効になっている権限はありません。許可も拒否もされていない個々の権限は、サイト コレクション管理者またはサイト管理者の判断で設定できます。

警告

アクセス許可ポリシーは、情報管理ポリシーとは異なります。アクセス許可ポリシーでは、Web アプリケーションの権限を一元的に管理できます。情報管理ポリシーでは、情報にアクセスできるユーザー、ユーザーが情報に対して実行できる操作、および情報が保持される期間を制御できます。アクセス許可ポリシーは、グループ ポリシーとも異なります。グループ ポリシーは、オペレーティング システムと、オペレーティング システム上で実行されるアプリケーションの構成管理を一元化するためのインフラストラクチャとなります。

この記事の内容

  1. ユーザー アクセス許可ポリシーを管理する

  2. 匿名ユーザーのアクセス許可ポリシーを管理する

  3. アクセス許可ポリシー レベルを追加または削除する

ユーザー アクセス許可ポリシーを管理する

アクセス許可ポリシーにユーザーを追加すること、ポリシー設定を編集すること、およびアクセス許可ポリシーからユーザーを削除できます。次の設定を指定または変更できます。

  • 領域: 複数の領域がある Web サイトの場合、アクセス許可ポリシーを適用する領域を選択できます。既定値はすべての領域で、これは Windows ユーザーに対してのみ指定できます。詳細については、「Web アプリケーションを拡張する (SharePoint Server 2010)」を参照してください。

  • 権限: フル コントロール、すべて読み取り、書き込みの拒否、すべて拒否の各権限を指定することや、カスタム アクセス許可レベルを指定できます。

  • システム: この設定では、アプリケーション プールのホスト用として構成された Windows ユーザー アカウントや SharePoint ファーム サービス アカウントに関係なく、システム関連の操作で SHAREPOINT\System と表示できます。この設定を指定すると、エンド ユーザーに対してや、企業内の SharePoint 展開の詳細について把握しようとしているハッカーのおそれがある人物に対して、不要な情報漏えいを防ぐことができます。

アクセス許可ポリシーにユーザーを追加する

すべてのユーザーが同じアクセス許可のセットでコンテンツにアクセスできるよう、アクセス許可ポリシーにユーザーを追加します。

アクセス許可ポリシーにユーザーを追加するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを管理する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[ユーザー ポリシー] をクリックします。

  5. [Web アプリケーションのポリシー] ダイアログ ボックスで、管理するユーザーまたはグループの横にあるチェック ボックスをオンにして、[ユーザーの追加] をクリックします。

  6. [ユーザーの追加] ダイアログ ボックスの [領域] の一覧で、アクセス許可ポリシーを適用する領域をクリックします。

  7. [ユーザーの選択] セクションで、アクセス許可ポリシーに追加するユーザー名、グループ名、または電子メール アドレスを入力します。名前のチェックまたは参照のために、該当するアイコンをクリックすることもできます。

  8. [権限の選択] セクションで、ユーザーに付与する権限を選択します。

  9. [システム設定の選択] セクションで、[このアカウントでの操作はシステムとして行う] をクリックし、SharePoint 環境内で特定のタスクを実行する実際のユーザー アカウントの代わりにユーザー アカウントを SHAREPOINT\System と表示するかどうかを指定します。

  10. [完了] をクリックします。

ユーザー アクセス許可ポリシーを編集する

ユーザー アクセス許可ポリシーを編集し、アクセス許可レベルを変更することや、SharePoint 環境内で特定のタスクを実行する実際のアカウントの代わりにユーザー アカウントを SHAREPOINT\System と表示するかどうかを指定できます。

ユーザー アクセス許可ポリシーを編集するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを編集する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[ユーザー ポリシー] をクリックします。

  5. [Web アプリケーションのポリシー] ダイアログ ボックスで、管理するユーザーまたはグループの横にあるチェック ボックスをオンにして、[選択したユーザーの権限の編集] をクリックします。

  6. [ユーザーの編集] ページの [アクセス許可ポリシー レベル] セクションで、ユーザーに適用する権限を選択します。

  7. [システム設定の選択] セクションで、[このアカウントでの操作はシステムとして行う] をクリックし、SharePoint 環境内で特定のタスクを実行する実際のユーザー アカウントの代わりにユーザー アカウントを SHAREPOINT\System と表示するかどうかを指定します。

  8. [保存] をクリックします。

アクセス許可ポリシーからユーザーを削除する

アクセス許可ポリシーが適用されるグループまたは組織のメンバーではなくなったユーザーは、そのアクセス許可ポリシーから削除します。たとえば、社員が退職したときには、その人のユーザー アカウントをすべてのアクセス許可ポリシーから削除する必要があります。

アクセス許可ポリシーからユーザーを削除するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを管理する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[ユーザー ポリシー] をクリックします。

  5. [Web アプリケーションのポリシー] ダイアログ ボックスで、管理するユーザーまたはグループの横にあるチェック ボックスをオンにして、[選択したユーザーの削除] をクリックし、[OK] をクリックします。

匿名ユーザーのアクセス許可ポリシーを管理する

Web アプリケーションへの匿名アクセスを有効または無効にすることができます。Web アプリケーションへの匿名アクセスを有効にした場合は、サイト管理者がサイト コレクション、サイト、またはアイテム レベルで匿名アクセスを許可または拒否できます。Web アプリケーションへの匿名アクセスを無効にした場合は、匿名ユーザーはその Web アプリケーション内のどのサイトにもアクセスできなくなります。

匿名ユーザーに指定できるアクセス許可ポリシーは次のとおりです。

  1. なし: ポリシーを指定しません。この設定では、NT AUTHORITY\Authenticated Users およびすべての認証されたユーザーに適用されるのと同じ既定の権限が匿名ユーザーに付与されます。

  2. 書き込みの拒否: この設定では、Web アプリケーションのサイト コレクション内のすべてのコンテンツの読み取りが匿名ユーザーに許可されます。同時に、サイト コレクション、サイト、またはアイテムごとに読み取りアクセスを制限できます。

  3. すべて拒否: 匿名ユーザーは、Web アプリケーションのどの部分にもアクセスできません。

匿名ユーザーのアクセス許可ポリシーを管理するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを管理する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[匿名ポリシー] をクリックします。

  5. [匿名アクセス制限] ダイアログ ボックスの [範囲] ボックスの一覧で、ポリシーを適用する範囲をクリックします。

  6. [権限] セクションで、匿名ユーザーに適用するアクセス許可ポリシーを選択し、[保存] をクリックします。

アクセス許可ポリシー レベルを管理する

アクセス許可ポリシー レベルには、特定のユーザーまたはグループに適用される権限が含まれます。リストの権限、サイトの権限、または個人の権限を組み合わせて指定できます。また、次のレベルのサイト コレクションの権限の 1 つを指定することもできます。

  • サイト コレクションの管理者: サイト コレクション全体に対してフル コントロールの権限を持ち、あらゆるオブジェクトに対して任意の操作を実行できます。

  • サイト コレクションの監査者: サイト コレクション全体と、権限、構成情報などの関連データに対してすべて読み取りの権限を持ちます。

これらの一方または両方のアクセス許可レベルを指定した場合、個々の権限は指定できません。

アクセス許可ポリシー レベルを追加する

アクセス許可ポリシー レベルを作成し、特定のグループまたは組織の一連の権限をカスタマイズできます。

アクセス許可ポリシー レベルを追加するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを管理する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[アクセス許可ポリシー] をクリックします。

  5. [アクセス許可ポリシー レベルの管理] ダイアログ ボックスで、[アクセス許可ポリシー レベルの追加] をクリックします。

  6. [アクセス許可ポリシー レベルの追加] ダイアログ ボックスで、[名前と説明] セクションに、作成するポリシーの名前と説明を入力します。

  7. [サイト コレクションの権限] セクションで、このポリシーのサイト コレクションの権限を選択します。

  8. [権限] セクションで、このアクセス許可レベルで付与または拒否する権限を選択します。

    • このポリシーに有効なすべての権限を含めるには、[すべて許可] チェック ボックスをオンにします。

    • このポリシーで有効なすべての権限を拒否するには、[すべて拒否] チェック ボックスをオンにします。

    • このポリシーにリスト、サイト、および個人の権限を個別に含めたり、除外したりするには、[許可] チェック ボックスまたは [拒否] チェック ボックスをオンにします。

      サイト コレクションまたはサイトの所有者がこの権限を構成する場合は、[許可] または [拒否] をクリックしないでください。

  9. [保存] をクリックします。

アクセス許可ポリシー レベルを編集する

アクセス許可ポリシー レベルを使用するユーザーやグループのニーズに応じて、アクセス許可ポリシー レベルを編集して、個々の権限を追加または削除できます。

アクセス許可ポリシー レベルを編集するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを管理する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[アクセス許可ポリシー] をクリックします。

  5. [アクセス許可ポリシー レベルの管理] ダイアログ ボックスで、編集するアクセス許可ポリシー レベルのリンクをクリックします。

  6. [アクセス許可ポリシー レベルの編集] ページで、設定を編集し、[保存] をクリックします。

アクセス許可ポリシー レベルを削除する

アクセス許可ポリシー レベルを作成したグループや組織で、アクセス許可ポリシー レベルが不要になった場合は、これを削除できます。既存のすべてのアクセス許可ポリシー レベルを調べて、これらが引き続き必要かどうかを確認することをお勧めします。

アクセス許可ポリシー レベルを削除するには

  1. 次に示す管理者の資格情報があることを確認します。

    • SharePoint サーバーの全体管理 Web サイトを実行しているコンピューターの Farm Administrators グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[Web アプリケーションの管理] をクリックします。

  3. アクセス許可ポリシーを管理する Web アプリケーションの行をクリックして選択します。

  4. リボンの [ポリシー] グループで、[アクセス許可ポリシー] をクリックします。

  5. [アクセス許可ポリシー レベルの管理] ダイアログ ボックスで、アクセス許可ポリシー レベルのチェック ボックスをオンにし、[選択したアクセス許可ポリシー レベルの削除] をクリックし、[OK] をクリックします。