SharePoint サイトおよびファイルをセキュリティで保護するためのポリシーの推奨事項
この記事では、SharePoint とOneDrive for Business を保護するために推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを実装する方法について説明します。 このガイダンスは共通 ID およびデバイス アクセス ポリシーに基づいています。
これらの推奨事項は、ニーズの粒度に基づいて適用可能な SharePoint ファイルのセキュリティと保護の 3 つの異なる層 (出発点、企業、および特殊なセキュリティ) に基づいています。 これらのセキュリティ層と、以下の推奨事項で参照されている推奨されるクライアントのオペレーティング システムの詳細については、概要を参照してください。
このガイダンスの実装に加えて、エンタープライズおよび特殊なセキュリティ コンテンツに適切なアクセス許可を設定するなど、適切な量の保護を使用して SharePoint サイトを構成してください。
一般的なポリシーを更新して SharePoint と OneDrive for Business を含める
次の図は、SharePoin tおよび OneDrive のファイルを保護するために、共通の ID およびデバイス アクセス ポリシーから更新するポリシーを示しています。
共通ポリシーの作成時に SharePoint を含めた場合は、新しいポリシーを作成するだけで完了できます。 条件付きアクセスポリシーの場合、SharePoint には OneDrive が含まれています。
新しいポリシーは、指定した SharePoint サイトに特定のアクセス要件を適用することにより、エンタープライズおよび特殊なセキュリティ コンテンツのデバイス保護を実装します。
次の表に、SharePoint のレビューと更新または新規作成が必要なポリシーを示します。 共通ポリシーは、共通 ID とデバイスのアクセス ポリシーの記事にある関連する構成手順にリンクしています。
| 保護レベル | ポリシー | 詳細情報 |
|---|---|---|
| 開始点 | サインインのリスクが中、または高のときに MFA を要求する | クラウド アプリの割り当てに SharePoint を含めます。 |
| 先進認証をサポートしないクライアントはブロックする | クラウド アプリの割り当てに SharePoint を含めます。 | |
| アプリ データ保護ポリシーを適用する | 推奨されるすべてのアプリがアプリのリストに含まれていることを確認してください。 各プラットフォーム (iOS、Android、Windows) のポリシーを必ず更新してください。 | |
| SharePoint でアプリによって適用される制限を使用する | この新しいポリシーを追加します。 これにより、Microsoft Entra IDに SharePoint で指定された設定を使用するように指示されます。 このポリシーはすべてのユーザーに適用されますが、SharePoint アクセス ポリシーに含まれるサイトへのアクセスにのみ影響します。 | |
| エンタープライズ | サインインのリスクが 低、中、または高のときに MFA を要求する | クラウド アプリの割り当てに SharePoint を含めます。 |
| 準拠した PC とモバイル デバイスが必要 | クラウド アプリのリストに SharePoint を含めます。 | |
| SharePoint アクセス制御ポリシー: 非管理対象デバイスから特定の SharePoint サイトへのブラウザーのみのアクセスを許可します。 | これにより、ファイルの編集およびダウンロードが防止されます。 PowerShell を使用してサイトを指定します。 | |
| 特殊なセキュリティ | 常に MFA が必要 | クラウド アプリの割り当てに SharePoint を含めます。 |
| SharePoint アクセス制御ポリシー: 非管理対象デバイスから特定の SharePoint サイトへのアクセスをブロックします。 | PowerShell を使用してサイトを指定します。 |
SharePoint でアプリによって適用される制限を使用する
SharePoint でアクセス制御を実装する場合、条件付きアクセス ポリシーは Microsoft Entra ID で作成され、SharePoint で構成したポリシーを適用するようにMicrosoft Entra IDに指示します。 既定では、このポリシーはすべてのユーザーに適用されますが、SharePoint でアクセス制御を作成するときに PowerShell を使用して指定したサイトへのアクセスにのみ影響します。 また、特定のユーザー、グループ、またはサイトのスコープを設定することもできます。
このポリシーを構成するには、「非管理対象デバイスからのアクセスを制御する」の「特定の SharePoint サイト コレクションまたは OneDrive アカウントへのアクセスを制限する」を参照してください。
SharePoint アクセス制御ポリシー
Microsoft では、SharePoint サイトのコンテンツをエンタープライズで保護し、特殊なセキュリティ コンテンツをデバイスのアクセス制御で保護することをお勧めします。 これを行うには、保護のレベルと保護を適用するサイトを指定するポリシーを作成します。
- エンタープライズ サイト: ブラウザのみのアクセスを許可します。 これにより、ユーザーによるファイルの編集およびダウンロードが防止されます。
- 専用のセキュリティ サイト: 管理されていないデバイスからのアクセスをブロックします。
「非管理対象デバイスからのアクセスを制御する」の「特定の SharePoint サイト コレクションまたは OneDrive アカウントへのアクセスを制限する」を参照してください。
これらのポリシーが連携する方法
SharePoint サイトのアクセス許可は通常、サイトへのアクセスに対するビジネス ニーズに基づいていることを理解することが重要です。 これらの権限はサイト所有者によって管理され、高度に動的なものにすることができます。 SharePoint デバイス アクセス ポリシーを使用すると、ユーザーが開始点、エンタープライズ、または特殊なセキュリティ保護に関連付けられているMicrosoft Entra グループに割り当てられているかどうかに関係なく、これらのサイトの保護が保証されます。
次の図は、SharePoint デバイス アクセス ポリシーがユーザーのサイトへのアクセスを保護する方法の例を示しています。
James には開始点の条件付きアクセス ポリシーが割り当てられていますが、エンタープライズまたは特殊なセキュリティ保護を備えた SharePoint サイトへのアクセスを許可できます。
- James が自分の PC を使用して、エンタープライズまたは特殊なセキュリティ保護のメンバーであるサイトにアクセスすると、アクセスが許可されます。
- James が自分の管理されていない電話を使用してメンバーであるエンタープライズ保護サイトにアクセスすると、このサイトに設定されたデバイスのアクセス許可ポリシーにより、エンタープライズ サイトへのブラウザのみのアクセスが許可されます。
- ジェームズが管理されていない電話を使用して、自分がメンバーである専用セキュリティ サイトにアクセスすると、このサイトに設定されているアクセスポリシーのためにブロックされます。 彼は自分のマネージド PC を使用してのみこのサイトにアクセスできます。
次の手順
次の条件付きアクセス ポリシーを構成する:
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示