認証されていないユーザーとファイルおよびフォルダーを共有するためのベスト プラクティス
認証されていない共有 ([すべてのユーザー] リンク) は便利で、さまざまなシナリオで役立ちます。 [すべてのユーザー] リンクは、最も簡単な共有方法です。ユーザーは認証なしでリンクを開くことができ、そのリンクを他のユーザーに自由に渡すことができます。
通常、組織内のすべてのコンテンツが認証されていない共有に適しているわけではありません。 この記事では、ユーザーがファイルやフォルダーの認証されていない共有を使用できるものの、組織のコンテンツを保護するのに役立つセーフガードが設定されている環境を作成するのに利用できるオプションを説明します。
注:
認証されていない共有を機能させるには、お客様の組織、および使用する予定の個々のサイトやチームに対して認証されていない共有を有効にする必要があります。 有効にするシナリオについては、「組織外のユーザーとの共同作業」を参照してください。
[すべてのユーザー] リンクの有効期限を設定する
ファイルは、サイト、グループ、チーム内に長期間保存されることがよくあります。 データ保持ポリシーによってファイルを数年間保持するように要求されている場合もあります。 そのようなファイルが認証されていない人と共有されている場合、ファイルへの予期しないアクセスや変更の原因となる可能性があります。 このような可能性を軽減するため、[すべてのユーザー] リンクの有効期限を設定することができます。
[すべてのユーザー] リンクの期限が切れると、そのリンクを使用してコンテンツにアクセスすることはできなくなります。
組織全体で [すべてのユーザー] リンクの有効期限を設定するには
- SharePoint 管理センターを開き、[ポリシー] を展開してから、[共有] を選択します。
- [ すべてのリンクの有効期限とアクセス許可オプションの選択] で、[ これらのリンクは、この日数以内に期限切れにする必要があります ] チェック ボックスをオンにします。
- このボックスに日数を入力し、[保存] をクリックします。
有効期限を変更すると、既存のリンクは、新しい設定が長い場合は現在の有効期限を保持し、新しい設定が短い場合は新しい設定に更新されます。
特定のサイトで [すべてのユーザー] リンクの有効期限を設定するには
- SharePoint 管理センターを開き、[サイト] を展開してから、[アクティブなサイト] を選択します。
- 変更するサイトを選択してから、[共有] を選択します。
- [ すべてのユーザーのリンクの詳細設定] の [ すべてのユーザーのリンクの有効期限] で、[ 組織レベルの設定と同じ ] チェック ボックスをオフにします。
- [これらのリンクは、次の日数以内に期限切れにする必要があります] オプションを選択し、ボックスに日数を入力します。
- [保存] を選択します。
[すべてのユーザー] リンクの有効期限が切れても、新しい [すべてのユーザー] リンクを使用してファイルやフォルダーを再共有できることにご注意ください。
Set-SPOSite を使用して、特定のサイトでの [すべてのユーザー] リンクの有効期限を設定できます。
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/marketing -OverrideTenantAnonymousLinkExpirationPolicy $true -AnonymousLinkExpirationInDays 15
リンクのアクセス許可を設定する
既定では、ファイルに対して [すべてのユーザー] リンクを使用すると、ユーザーはそのファイルを編集することができます。また、フォルダーに対して [すべてのユーザー] リンクを使用すると、ユーザーはファイルの編集と表示に加えて、そのフォルダーに新しいファイルをアップロードすることもできます。 ファイルやフォルダーに対するこれらのアクセス許可は、表示のみに個別に変更できます。
認証されていない共有を許可したい一方で、認証されていない人によって組織のコンテンツが変更されることへの懸念がある場合は、ファイルとフォルダーのアクセス許可を [表示] に設定することをご検討ください。
組織全体で [すべてのユーザー] リンクのアクセス許可を設定するには
- SharePoint 管理センターを開き、[共有] を選択します。
- [ すべてのユーザー] リンクの [詳細設定] で、使用するファイルとフォルダーのアクセス許可を選択します。
[すべてのユーザー] リンクが [表示] に設定されていても、[特定のユーザー] リンクを使用することにより、ユーザーはファイルやフォルダーをゲストと共有して、ゲストに編集するアクセス許可を付与できます。 [特定のユーザー] リンクでは組織外のユーザーにゲストとしての認証が要求されるため、これらのリンクを使用して共有されているファイルやフォルダーに対するゲストのアクティビティを追跡および監査できます。
既定のリンクの種類が組織内のユーザーに対してのみ有効になるように設定する
組織で [すべてのユーザー] 共有が有効になっている場合、既定の共有リンクは通常 [すべてのユーザー] に設定されています。 これはユーザーにとって便利である反面、意図せずに認証されていない共有のリスクを高める可能性があります。 機密性の高いドキュメントを共有する際にユーザーがリンクの種類を変更し忘れると、認証を必要としない共有リンクが誤って作成される恐れがあります。
既定のリンク設定を組織内のユーザーに対してのみ有効なリンクに変更することにより、このようなリスクを軽減できます。 認証されていない人と共有したいユーザーは、そのオプションを意図的に選択することが必要になります。
組織の既定のファイルやフォルダーの共有リンクを設定するには:
SharePoint 管理センターを開き、[共有] を選択します。
[ファイルとフォルダーのリンク] で、[自分の組織内のユーザーのみ] を選択します。
[保存] を選びます。
特定のサイトの既定のファイルやフォルダーの共有リンクを設定するには:
SharePoint 管理センターを開き、[サイト] を展開してから、[アクティブなサイト] を選択します。
変更するサイトを選択してから、[共有] を選択します。
[ 既定の共有リンクの種類] で、[ 組織レベルの設定と同じ ] チェック ボックスをオフにします。
[組織内のユーザーのみ] オプションを選択してから、[保存] を選択します。
機密コンテンツの認証されていない共有を防止する
Microsoft Purview データ損失防止 (DLP) を使用して、機密コンテンツの認証されていない共有を防ぐことができます。 データ損失防止は、ファイルの秘密度ラベル、保持ラベル、ファイル自体に含まれている機密情報に基づいてアクションを実行することができます。
DLP ルールを作成するには:
Microsoft Purview コンプライアンス管理センターで、[データ損失防止] ページに移動します。
[ポリシーの作成] をクリックします。
[カスタム] を選択し、[次へ] をクリックします。
ポリシーの名前を入力し、[次へ] をクリックします。
[ポリシーを適用する場所] ページで、SharePoint サイト と OneDrive アカウント以外のすべての設定をオフにし、[次へ] をクリックします。
[ポリシーの設定を定義] ページで、[次へ] をクリックします。
[高度な DLP ルールのカスタマイズ] ページで [ルールの作成] をクリックし、ルールの名前を入力します。
[ 条件で、[ 条件の追加] をクリックし、[ コンテンツを含むを選択します。
[追加] をクリックして、認証されていない共有を防止する情報の種類を選択します。
[ アクション ] で、[ アクションの追加] をクリックし [ アクセスを制限する、またはMicrosoft 365のロケーションでコンテンツを暗号化する] を選択します。
[アクセスを制限する、または Microsoft 365 のロケーションでコンテンツを暗号化する] チェック ボックスをオンにし、[Only people who were given access to the content through the "Anyone withe the link" options] ([リンクを知っているすべてのユーザー] オプションを通してコンテンツへのアクセス権を付与されたユーザーのみ) オプションを選択します。
[保存] をクリックし、[次へ] をクリックします。
テスト オプションを選択し、[次へ] をクリックします。
[送信] をクリックしてから、[完了] をクリックします。
悪意のあるファイルから保護する
匿名ユーザーにファイルのアップロードを許可する場合、悪意のあるファイルをアップロードされるリスクが高くなります。 Microsoft Defender for Office 365 プラン 1 またはプラン 2 ライセンスを持つ組織 (Microsoft 365 E5 やアドオンなど) では、[安全な添付ファイル] 機能を使用して、サンドボックス仮想環境でアップロードされたファイルを爆発させ、安全でないと見なされたファイルを検疫できます。
手順については、「SharePoint、OneDrive、Microsoft Teams に対して安全な添付ファイルをオンにする」を参照してください。
Microsoft 365 A5 または E5 セキュリティ ライセンスをお持ちの場合は、[安全なドキュメント] 機能をオン (および使用) することもできます。 詳細については、「Microsoft 365 A5 または E5 セキュリティの安全なドキュメント」を参照してください。
ファイルに著作権情報を追加する
Microsoft Purview 管理センターで秘密度ラベルを使用する場合は、組織の Office ドキュメントに透かしまたはヘッダーまたはフッターを自動的に追加するようにラベルを構成できます。 このようにすることで、共有ファイルに著作権などの所有者情報が確実に含められるようにすることができます。
ラベルが付けられたファイルにフッターを追加するには
- Microsoft Purview 管理センターを開きます。
- 左側のナビゲーションにある [ソリューション] で、[情報の保護] をクリックします。
- フッターを追加するラベルをクリックし、[ラベルの編集] をクリックします。
- [次へ] をクリックして [コンテンツのマーキング] タブに移動し、コンテンツのマーキングをオンにします。
- 追加するテキストの種類のチェック ボックスをオンにして、[テキストをカスタマイズする] をクリックします。
- ドキュメントに追加するテキストを入力し、目的のテキスト オプションを選択して、[ 保存] をクリックします。
- [次へ] をクリックしてウィザードの最後に移動し、[Save label] (ラベルの保存) をクリックします。
コンテンツのマーキングがラベルに対して有効になっている状態で、そのラベルをユーザーが適用すると、Office ドキュメントに指定したテキストが追加されます。