ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御するControl access to SharePoint and OneDrive data based on network location

IT 管理者は、定義されている信頼できるネットワークの場所に基づいて、SharePoint と OneDrive のリソースへのアクセスを制御できます。As an IT admin, you can control access to SharePoint and OneDrive resources based on defined network locations that you trust. これは、場所に基づくポリシーとも呼ばれます。This is also known as location-based policy.

そのためには、許可される IP アドレス範囲を 1 つ以上指定することにより、信頼されたネットワークの境界を定義します。To do this, you define a trusted network boundary by specifying one or more authorized IP address ranges. このネットワーク境界の外側から (任意のデバイスの Web ブラウザー、デスクトップ アプリ、またはモバイル アプリを使用して) SharePoint および OneDrive にアクセスしようとするユーザーはすべてブロックされます。Any user who attempts to access SharePoint and OneDrive from outside this network boundary (using web browser, desktop app, or mobile app on any device) will be blocked.

ブラウザーに表示されたアクセス制限メッセージ

場所に基づくポリシーを設定するときに、考慮すべき重要な点を紹介します。Here are some important considerations for setting a location-based policy:

  • 外部共有: 認証を行うゲストとファイルやフォルダーが共有されている場合、定義された IP アドレスの範囲外のリソースにはアクセスできません。External sharing: If files and folders have been shared with guests who authenticate, they will not be able to access the resources outside of the defined IP address range.

  • 最初およびサードパーティアプリからのアクセス: 通常、SharePoint ドキュメントには、Exchange、Yammer、Skype、Teams、Planner、フロー、PowerBI、電源アプリ、OneNote などのアプリからアクセスできます。Access from first and third-party apps: Normally, a SharePoint document can be accessed from apps like Exchange, Yammer, Skype, Teams, Planner, Flow, PowerBI, Power Apps, OneNote, and so on. 場所に基づくポリシーが有効になっている場合は、場所に基づくポリシーをサポートしていないアプリはブロックされます。When a location-based policy is enabled, apps that do not support location-based policies are blocked. 現在、場所に基づくポリシーがサポートされているアプリは、Teams、Yammer および Exchange のみです。The only apps that currently support location-based policies are Teams, Yammer, and Exchange. つまり、その他のすべてのアプリは、信頼されたネットワークの境界内でホストされていてもブロックされます。This means that all other apps are blocked, even when these apps are hosted within the trusted network boundary. その理由は、これらのアプリのユーザーが信頼された境界内に存在しているかどうかを SharePoint が判断できないためです。This is because SharePoint cannot determine whether a user of these apps is within the trusted boundary.

    注意

    SharePoint で場所に基づくポリシーが有効になっている場合は、Exchange および Yammer に同じポリシーと IP アドレスの範囲を構成することをお勧めします。We recommend that when a location-based policy is enabled for SharePoint, the same policy and IP address ranges should be configured for Exchange and Yammer. SharePoint はこれらのサービスに依存して、これらのアプリのユーザーが信頼された IP 範囲内に存在するようにします。SharePoint relies on these services to enforce that the users of these apps are within the trusted IP range.

  • 動的 IP 範囲からのアクセス: 複数のサービスとプロバイダーは、発信元が動的 IP アドレスであるアプリをホストします。Access from dynamic IP ranges: Several services and providers host apps which have dynamic originating IP addresses. たとえば SharePoint にアクセスするサービスは、1 つの Azure データ センターから実行される間に、フェールオーバー状態またはその他の理由が原因で、別のデータセンターから実行を開始する可能性があるため、IP アドレスを動的に変更します。For example, a service that accesses SharePoint while running from one Azure data center may start running from a different data center due to a failover condition or other reason, thus dynamically changing its IP address. 場所に基づく条件付きのアクセスのポリシーは、固定され、信頼された IP アドレス範囲に依存します。The location-based conditional access policy relies on fixed, trusted IP address ranges. 事前に IP アドレス範囲を特定できない場合は、場所に基づくポリシーがお使いの環境のオプションにはない可能性があります。If the IP address range cannot be determined up front, location-based policy may not be an option for your environment.

SharePoint 管理センターで場所に基づくポリシーを設定するSet a location-based policy in the new SharePoint admin center

注意

これらの設定が有効になるまでに、最長で 15 分かかる場合があります。It can take up to 15 minutes for these settings to take effect.

  1. 新しい SharePoint 管理センターの [アクセス] コントロールページに移動し、組織の管理者権限を持つアカウントを使用してサインインします。Go to the Access control page of the new SharePoint admin center and sign in with an account that has admin permissions for your organization.

注意

Office 365 ドイツを使用している場合は、 Microsoft 365 管理センターにサインインし、SharePoint 管理センターを参照して、[アクセス制御] ページを開きます。If you have Office 365 Germany, sign in to the Microsoft 365 admin center, then browse to the SharePoint admin center and open the Access control page.
21Vianet が運用している Office 365 (中国) を使用している場合は、 Microsoft 365 管理センターにサインインし、SharePoint 管理センターを参照して、アクセス制御ページを開きます。If you have Office 365 operated by 21Vianet (China), sign in to the Microsoft 365 admin center, then browse to the SharePoint admin center and open the Access control page.

  1. [ネットワーク上の場所] を選択し、[特定の IP アドレス範囲からのアクセスのみを許可する] をオンにします。Select Network location and turn on Allow access only from specific IP address ranges.

    ネットワーク上の場所のパネル

  2. IP アドレスとアドレス範囲をコンマで区切って入力します。Enter IP addresses and address ranges separated by commas.

    重要

    自分がロックアウトされないように、必ず自分の IP アドレスを含めてください。この設定は、OneDrive および SharePoint サイトへのアクセスを制限するだけでなく、OneDrive 管理センターと SharePoint 管理センター、および PowerShell コマンドレットの実行も制限します。Make sure you include your own IP address so you don't lock yourself out. This setting not only restricts access to OneDrive and SharePoint sites, but also to the OneDrive and SharePoint admin centers, and to running PowerShell cmdlets. 自分をロックアウトし、指定した範囲内の IP アドレスから接続できない場合は、サポートに連絡する必要があります。If you lock yourself out and can't connect from an IP address within a range you specified, you will need to contact Support for help.
    重複する IP アドレスを保存すると、"入力 IP 許可一覧が重複しています" という関連付け ID を持つ一般的なエラーメッセージがユーザーに表示されます。If you save overlapping IP addresses, your users will see a generic error message with a correlation ID that points to "The input IP allow list has overlaps."

注意

PowerShell を使用して場所ベースのポリシーを設定するには、-IPAddressAllowList パラメーターで Set-SPOTenant を実行します。To set a location-based policy by using PowerShell, run Set-SPOTenant with the -IPAddressAllowList parameter. 詳細については、「 set-spotenant」を参照してください。For more info, see Set-SPOTenant.