認証されていないユーザーとファイルおよびフォルダーを共有するためのベスト プラクティス

  • [アーティクル]

認証されていない共有 ([すべてのユーザー] リンク) は便利で、さまざまなシナリオで役立ちます。 [すべてのユーザー] リンクは、最も簡単な共有方法です。ユーザーは認証なしでリンクを開くことができ、そのリンクを他のユーザーに自由に渡すことができます。

通常、組織内のすべてのコンテンツが認証されていない共有に適しているわけではありません。 この記事では、ユーザーがファイルやフォルダーの認証されていない共有を使用できるものの、組織のコンテンツを保護するのに役立つセーフガードが設定されている環境を作成するのに利用できるオプションを説明します。

注:

認証されていない共有を機能させるには、お客様の組織、および使用する予定の個々のサイトやチームに対して認証されていない共有を有効にする必要があります。 有効にするシナリオについては、「組織外のユーザーとの共同作業」を参照してください。

ファイルは、サイト、グループ、チーム内に長期間保存されることがよくあります。 データ保持ポリシーによってファイルを数年間保持するように要求されている場合もあります。 そのようなファイルが認証されていない人と共有されている場合、ファイルへの予期しないアクセスや変更の原因となる可能性があります。 このような可能性を軽減するため、[すべてのユーザー] リンクの有効期限を設定することができます。

[すべてのユーザー] リンクの期限が切れると、そのリンクを使用してコンテンツにアクセスすることはできなくなります。

組織全体で [すべてのユーザー] リンクの有効期限を設定するには

  1. SharePoint 管理センターを開き、[ポリシー] を展開してから、[共有] を選択します。
  2. [すべてのリンクの有効期限とアクセス許可オプションの選択] で、[これらのリンクは、この日数チェック期限切れにする必要があります] ボックスを選択します。
    SharePoint organization レベルの [すべてのユーザー] リンクの有効期限設定のスクリーンショット。
  3. ボックスに日数を入力し、[保存] を選択 します

有効期限を変更すると、既存のリンクは、新しい設定が長い場合は現在の有効期限を保持し、新しい設定が短い場合は新しい設定に更新されます。

特定のサイトで [すべてのユーザー] リンクの有効期限を設定するには

  1. SharePoint 管理センターを開き、[サイト] を展開してから、[アクティブなサイト] を選択します。
  2. 変更するサイトを選択してから、[共有] を選択します。
  3. [すべてのユーザーのリンクの詳細設定] の [すべてのユーザーのリンクの有効期限] で、[organization レベルの設定と同じチェック] ボックスをオフにします。
    SharePoint サイト レベルの [すべてのリンクの有効期限] 設定のスクリーンショット。
  4. [これらのリンクは、次の日数以内に期限切れにする必要があります] オプションを選択し、ボックスに日数を入力します。
  5. [保存] を選択します。

[すべてのユーザー] リンクの有効期限が切れると、ファイルまたはフォルダーを新しい [すべてのユーザー] リンクと再共有できることに注意してください。

Set-SPOSite を使用して、特定のサイトでの [すべてのユーザー] リンクの有効期限を設定できます。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/marketing -OverrideTenantAnonymousLinkExpirationPolicy $true -AnonymousLinkExpirationInDays 15

既定では、ファイルに対して [すべてのユーザー] リンクを使用すると、ユーザーはそのファイルを編集することができます。また、フォルダーに対して [すべてのユーザー] リンクを使用すると、ユーザーはファイルの編集と表示に加えて、そのフォルダーに新しいファイルをアップロードすることもできます。 ファイルとフォルダーに対するこれらのアクセス許可は、個別に、表示専用に変更できます。

認証されていない共有を許可したい一方で、認証されていない人によって組織のコンテンツが変更されることへの懸念がある場合は、ファイルとフォルダーのアクセス許可を [表示] に設定することをご検討ください。

組織全体で [すべてのユーザー] リンクのアクセス許可を設定するには

  1. SharePoint 管理センターを開き、[共有] を選択します。
  2. [すべてのリンクの有効期限とアクセス許可オプションの選択] で、使用するファイルとフォルダーのアクセス許可を選択します。
    SharePoint organization レベルの [すべてのユーザー] リンクのアクセス許可設定のスクリーンショット。

[すべてのユーザー] リンクが [表示] に設定されていても、[特定のユーザー] リンクを使用することにより、ユーザーはファイルやフォルダーをゲストと共有して、ゲストに編集するアクセス許可を付与できます。 特定のユーザー リンクでは、organization外のユーザーがゲストとして認証する必要があり、これらのリンクと共有されているファイルやフォルダーのゲスト アクティビティを追跡および監査できます。

組織で [すべてのユーザー] 共有が有効になっている場合、既定の共有リンクは通常 [すべてのユーザー] に設定されています。 これはユーザーにとって便利である反面、意図せずに認証されていない共有のリスクを高める可能性があります。 機密性の高いドキュメントを共有する際にユーザーがリンクの種類を変更し忘れると、認証を必要としない共有リンクが誤って作成される恐れがあります。

既定のリンク設定を組織内のユーザーに対してのみ有効なリンクに変更することにより、このようなリスクを軽減できます。 認証されていない人と共有したいユーザーは、そのオプションを意図的に選択することが必要になります。

組織の既定のファイルやフォルダーの共有リンクを設定するには:

  1. SharePoint 管理センターを開き、[共有] を選択します。

  2. [ファイルとフォルダーのリンク] で、[自分の組織内のユーザーのみ] を選択します。

    SharePoint の既定のリンクの種類設定のスクリーンショット。

  3. [保存] を選びます。

特定のサイトの既定のファイルやフォルダーの共有リンクを設定するには:

  1. SharePoint 管理センターを開き、[サイト] を展開してから、[アクティブなサイト] を選択します。

  2. 変更するサイトを選択してから、[共有] を選択します。

  3. [既定の共有リンクの種類] で、[organization レベルの設定と同じチェック] ボックスをオフにします。

    SharePoint のサイトレベルの既定のリンクの種類設定のスクリーンショット。

  4. [組織内のユーザーのみ] オプションを選択してから、[保存] を選択します。

機密コンテンツの認証されていない共有を防止する

Microsoft Purview データ損失防止 (DLP) を使用して、機密コンテンツの認証されていない共有を防ぐことができます。 データ損失防止は、ファイルの秘密度ラベル、保持ラベル、ファイル自体に含まれている機密情報に基づいてアクションを実行することができます。

DLP ルールを作成するには:

  1. Microsoft Purview 管理センターで、[データ損失防止] を展開し、[ポリシー] を選択します。

  2. [ポリシーの作成] を選択します。

  3. [ カスタム] を選択し、[ カスタム ポリシー ] を選択し、[ 次へ] を選択します。

  4. ポリシーの名前を入力し、[ 次へ] を選択します。

  5. [ 管理ユニットの割り当て] ページで、[ 次へ] を選択します。

  6. [ ポリシーを適用する場所] ページで、 SharePoint サイトOneDrive アカウントを除くすべての設定をオフにし、[ 次へ] を選択します。

  7. [ ポリシー設定の定義 ] ページで、[ 次へ] を選択します。

  8. [ 高度な DLP ルールのカスタマイズ ] ページで、[ ルールの作成 ] を選択し、ルールの名前を入力します。

  9. [ 条件] で [ 条件の追加] を選択し、[ コンテンツに含まれるもの] を選択します。

  10. [ 追加] を選択し、認証されていない共有を禁止する情報の種類を選択します。

  11. [ アクション ] で [ アクションの追加 ] を選択し、[ アクセスの制限] を選択するか、Microsoft 365 の場所のコンテンツを暗号化します

  12. [ リンクを持つすべてのユーザー] オプションを使用して、コンテンツへのアクセス権を付与されたユーザーのみをブロックするオプションを 選択します。

    DLP ルールのアクションオプションのスクリーンショット。

  13. [ 保存] を 選択し、[ 次へ] を選択します。

  14. テスト オプションを選択し、[ 次へ] を選択します。

  15. [ 送信] を選択し、[完了] を選択 します

悪意のあるファイルから保護する

匿名ユーザーにファイルのアップロードを許可する場合、悪意のあるファイルをアップロードされるリスクが高くなります。 安全でないと検出された受信者と検疫ファイルに配信される前に、安全な添付ファイル機能を使用して、仮想環境で電子メールの添付ファイルをチェックできます。 詳細については、「Microsoft Defender for Office 365の安全な添付ファイル」を参照してください。

また、セーフ ドキュメント機能を使用して、保護ビューまたは office 用のApplication Guardで開いている Office ドキュメントをスキャンすることもできます。 詳細については、「Microsoft 365 A5 または E5 セキュリティの安全なドキュメント」を参照してください。

Microsoft Purview 管理センターで秘密度ラベルを使用する場合は、ラベルのコンテンツ マーキングを構成して、organizationの Office ドキュメントに透かしまたはヘッダーまたはフッターを自動的に追加できます。 このようにすることで、共有ファイルに著作権などの所有者情報が確実に含められるようにすることができます。

ラベルが付けられたファイルにフッターを追加するには

  1. Microsoft Purview 管理センターを開きます。
  2. 左側のナビゲーションの [ ソリューション] で、[ 情報保護 ] を展開し、[ラベル] を選択 します
  3. コンテンツ マーキングを追加するラベルを選択し、[ ラベルの編集] を選択します。
  4. [ 次へ ] を選択して、[ ラベル付けされたアイテムの保護設定の選択 ] ページに移動し、[ コンテンツ マーキングの適用] を選択します。 [次へ] を選択します。
  5. [ コンテンツ マーキング ] ページで、[ コンテンツ マーキング][オン] に設定します。
  6. 追加するテキストの種類の [チェック] ボックスを選択し、[テキストのカスタマイズ] を選択します
  7. ドキュメントに追加するテキストを入力し、目的のテキスト オプションを選択して、[保存] を選択 します
    秘密度ラベルのコンテンツ マーキング設定のスクリーンショット。
  8. [ 次へ ] を選択してウィザードの最後に移動し、[ ラベルの保存] を選択します。
  9. [完了] を選択します。

コンテンツのマーキングがラベルに対して有効になっている状態で、そのラベルをユーザーが適用すると、Office ドキュメントに指定したテキストが追加されます。

秘密度ラベルの詳細

組織外のユーザーと共有する場合、ファイルが偶発的に公開されることを制限する

より安全なゲスト共有環境を作成する