SharePoint サイトと OneDrive の条件付きアクセスポリシー

[アーティクル]
12/26/2023

この記事の一部の機能では、Microsoft Syntexが必要です - SharePoint Advanced Management

Microsoft Entra認証コンテキストを使用すると、ユーザーが SharePoint サイトにアクセスするときに、より厳しいアクセス条件を適用できます。

認証コンテキストを使用して、Microsoft Entra条件付きアクセスポリシーを SharePoint サイトに接続できます。ポリシーは、サイトに直接適用することも、秘密度ラベルを使用して適用することもできます。

この機能は、SharePoint のルートサイト (たとえば https://contoso.sharepoint.com) に適用できないことに注意してください。

要件

SharePoint サイトで認証コンテキストを使用するには、次のいずれかのライセンスが必要です。

Microsoft Syntex - SharePoint Advanced Management
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5 コンプライアンス
Microsoft 365 E5 Information Protection and Governance
Office 365 E5/A5/G5

制限事項

一部のアプリは認証コンテキストで動作しません。この機能を広く展開する前に、認証コンテキストが有効になっているサイトでアプリをテストすることをお勧めします。

次のアプリとシナリオは、認証コンテキストでは機能しません。

以前のバージョンの Office アプリ ( サポートされているバージョンの一覧を参照)
Viva Engage
Teams Web アプリ
関連付けられている SharePoint サイトに認証コンテキストがある場合、OneNote アプリをチャネルに追加することはできません。
Teams チャネル会議の記録のアップロードは、認証コンテキストを持つサイトで失敗します。
サイトに認証コンテキストがある場合、Teams の SharePoint フォルダーの名前変更が失敗します。
OneDrive に認証コンテキストがある場合、Teams ウェビナーのスケジュール設定が失敗します。
サードパーティ製アプリ
OneDrive 同期アプリは、認証コンテキストとサイトを同期しません。
認証コンテキストをエンタープライズアプリケーションカタログサイトコレクションに関連付けることはサポートされていません。
"Power BI での SharePoint リストの視覚化" 機能は、現在認証コンテキストをサポートしていません。
Windows、Mac、Android、iOS 上の Outlook では、認証コンテキストによって保護された SharePoint サイトとの通信はサポートされていません。

認証コンテキストの設定

ラベル付きサイトの認証コンテキストを設定するには、次の基本的な手順が必要です。

Microsoft Entra IDに認証コンテキストを追加します。
その認証コンテキストに適用され、使用する条件とアクセス制御を持つ条件付きアクセスポリシーを作成します。
次のいずれかの操作を行います。
1. 秘密度ラベルを設定して、ラベル付けされたサイトに認証コンテキストを適用します。
2. 認証コンテキストをサイトに直接適用する

この記事では、機密性の高い SharePoint サイトにアクセスする前に、ゲストに利用規約への同意を求める例について説明します。また、organizationに必要なその他の条件付きアクセス条件とアクセス制御を使用することもできます。

認証コンテキストを追加する

まず、Microsoft Entra IDに認証コンテキストを追加します。

認証コンテキストを追加するには:

[Microsoft Entra条件付きアクセス] で、[管理] の [認証コンテキスト] をクリックします。
[ 新しい認証コンテキスト] をクリックします。
名前と説明を入力し、[アプリに発行] チェックボックスを選択します。
[保存] をクリックします。

条件付きアクセスポリシーを作成する

次に、その認証コンテキストに適用され、ゲストがアクセス条件として利用規約に同意する必要がある条件付きアクセスポリシーを作成します。

条件付きアクセスポリシーを作成するには:

[条件付きアクセスMicrosoft Entraで、[新しいポリシー] をクリックします。
ポリシーの名前を入力します。
[ユーザーとグループ] タブで、[ユーザーとグループの選択] オプションを選択し、[ゲストまたは外部ユーザー チェック] ボックスを選択します。
ドロップダウンから [B2B コラボレーションゲストユーザー ] を選択します。
[クラウドアプリまたはアクション] タブの [このポリシーの適用対象の選択] で、[認証コンテキスト] を選択し、作成した認証コンテキストの [チェック] ボックスを選択します。
[許可] タブで、使用する使用条件の [チェック] ボックスを選択し、[選択] をクリックします。
ポリシーを有効にするかどうかを選択し、[ 作成] をクリックします。

認証コンテキストをサイトに直接適用する

SharePoint サイトに認証コンテキストを直接適用するには、 Set-SPOSite PowerShell コマンドレットを使用します。

注:

この機能には、Microsoft 365 E5または Microsoft Syntex - SharePoint Advanced Management ライセンスが必要です。

次の例では、上記で作成した認証コンテキストを "research" というサイトに適用します。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

秘密度ラベルを設定して、ラベル付けされたサイトに認証コンテキストを適用する

秘密度ラベルを使用して認証コンテキストを適用する場合は、認証コンテキストを使用するように秘密度ラベルを更新 (または新しいラベルを作成) します。

注:

秘密度ラベルには、Microsoft 365 E5またはMicrosoft 365 E3と高度なコンプライアンスライセンスが必要です。

秘密度ラベルを更新するには

Microsoft Purview コンプライアンスポータルの [情報保護] タブで、更新するラベルをクリックし、[ラベルの編集] をクリックします。
[グループとサイトの保護設定を定義する] ページが表示されるまで、[次へ] をクリックします。
[外部共有と条件付きアクセスの設定] チェックボックスが選択されていることを確認し、[次へ] をクリックします。
[外部共有とデバイスアクセスの設定を定義する] ページで、[Microsoft Entra条件付きアクセスを使用してラベル付けされた SharePoint サイトを保護する] チェックボックスを選択します。
[ 既存の認証コンテキストの選択] オプションを選択します 。
ドロップダウンリストで、使用する認証コンテキストを選択します。
[設定と完了の確認] ページが表示されるまで [次へ] をクリックし、[ラベルの保存] をクリックします。

ラベルが更新されると、そのラベルを持つ SharePoint サイト (またはチームの [ ファイル ] タブ) にアクセスするゲストは、そのサイトにアクセスする前に使用条件に同意する必要があります。

バックグラウンドアプリのブロック (プレビューでのロールアウト)

サイトで認証コンテキストが設定されている場合、管理者は、条件付きアクセスポリシーでその認証コンテキストを使用して割り当てられたアプリについて、バックグラウンドアプリがそのサイトにアクセスできないようにすることができます。選択したアプリケーション原則 (Microsoft 以外のアプリケーション) に特定の認証コンテキストを割り当てることができるよう、条件付きアクセスポリシーを構成できます。次のコマンドレットを使用して、この機能を明示的にオンにする必要があります。アプリケーションプリンシパルが構成された条件付きアクセスポリシーが少なくとも 1 つ必要であることに注意してください。

Set-SPOTenant -BlockAPPAccessToSitesWithAuthentcationContext $false/$true (default false)

SharePoint サイトと OneDrive の条件付きアクセスポリシー

要件

制限事項