サイトの権限を計画する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

この記事は、サイト コレクション、サイト、サブサイト、およびサイト コンテンツ (リストまたはライブラリ、フォルダー、アイテムまたはドキュメント) のレベルでアクセス制御を計画する場合に役立ちます。また、権限の継承と詳細に設定された権限の概念についても説明します。

この記事では、サーバー全体またはサーバー ファームのセキュリティの計画については説明しません。認証方法や認証モードなど、セキュリティの他の面の計画の詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。

この記事の内容:

  • サイト権限について

  • 権限の継承について

  • サイト権限の計画

  • 権限の継承の計画

概要

特定のサイトまたはサイト コレクション内の以下のレベルのサイト コンテンツに対する権限をユーザーまたはグループに割り当てることで、サイトとサイト コンテンツへのアクセスを制御できます。

  • サイト

  • ライブラリまたはリスト

  • フォルダー

  • ドキュメントまたはアイテム

サイトおよびサイト コンテンツへのアクセスについて計画を立案する前に、次の問題について考慮する必要があります。

  • サイトまたはサイト コンテンツへの権限をどの程度詳細に制御するか。たとえば、サイト レベルでアクセスを制御するか、または特定のリスト、フォルダー、あるいはアイテムに対してより厳格なセキュリティを設定することが考えられます。

  • SharePoint グループを使用してユーザーをどのように分類して管理するか。特定のサイトまたは特定のサイト コンテンツに対するアクセス許可レベルが割り当てられない限り、グループには権限が付与されません。SharePoint グループにサイト コレクション レベルでアクセス許可レベルを割り当てると、既定で、そのアクセス許可レベルがすべてのサイトおよびサイト コンテンツに継承されます。

グループを使用して権限を管理する方法の詳細については、「セキュリティ グループを選択する (Office SharePoint Server)」を参照してください。

サイト権限について

権限の計画を設計する前に、次の概念を理解する必要があります。

  • 権限   権限は、特定の操作の実行をユーザーに許可します。たとえば、アイテムの表示権限を適用すると、ユーザーはリスト内やフォルダー内のアイテムの閲覧はできますが、アイテムの追加または削除はできません。権限は、サイトまたはサイト コンテンツのレベルで個別のユーザーに許可できます。

    使用できる権限の詳細については、「ユーザー権限とアクセス許可レベル (SharePoint Server 2010)」を参照してください。

  • 詳細に設定された権限   詳細に設定された権限は、リストやライブラリ、フォルダー、アイテムやドキュメントに対する権限など、サイト階層の下位レベルにあるセキュリティ保護可能なオブジェクトに対する固有の権限です。詳細に設定された権限を使用すると、サイト コレクションでのユーザー権限を詳細に指定し、カスタマイズできます。

  • アクセス許可レベル   アクセス許可レベルは、一連の関連するタスクの実行をユーザーに許可する権限のコレクションです。たとえば、読み取りアクセス許可レベルにはアイテムの表示、アイテムを開く、ページの表示、およびバージョンの表示などの権限が含まれ (他にもあります)、これらはすべて SharePoint サイトでページ、ドキュメント、アイテムを表示するために必要な権限です。1 つの権限を複数のアクセス許可レベルに含めることができます。

    アクセス許可レベルはサイト コレクションのレベルで定義され、権限の管理権限を含むアクセス許可レベルを持っているユーザーまたはグループであればカスタマイズできます。アクセス許可レベルのカスタマイズの詳細については、「カスタム権限を構成する (SharePoint Server 2010)」を参照してください。

    既定のアクセス許可レベルには、制限付きアクセス、読み取り、投稿、デザイン、およびフル コントロールがあります。既定のアクセス許可レベル、および各レベルに含まれている権限の詳細については、「ユーザー権限とアクセス許可レベル (SharePoint Server 2010)」を参照してください。

  • SharePoint グループ   SharePoint グループは、権限を簡単に管理できるようにサイト コレクション レベルで定義されているユーザーのグループです。各 SharePoint グループには既定のアクセス許可レベルが割り当てられています。たとえば、既定の SharePoint グループは所有者、閲覧者、メンバーであり、それぞれに既定のアクセス許可レベルとしてフル コントロール、読み取り、投稿が割り当てられています。フル コントロールの権限を持つユーザーはカスタム グループを作成できます。

  • ユーザー    ユーザーとは、Web アプリケーションがサポートする任意の認証プロバイダーからのユーザー アカウントを持つ人です。サイトや特定のコンテンツに対する権限を個別のユーザーに直接許可することもできますが、ユーザーではなくグループに権限を割り当てることをお勧めします。権限に関してユーザー アカウント単位で管理することは効率的ではないため、ユーザー単位での権限の割り当ては例外としてのみ行うようにしてください。

  • セキュリティ保護可能なオブジェクト    セキュリティ保護可能なオブジェクトには、サイト、リスト、ライブラリ、フォルダー、ドキュメント、またはアイテムがあります。これらのオブジェクトに対するアクセス許可レベルをユーザーまたはグループに割り当てることができます。既定では、サイトに含まれるすべてのリストおよびライブラリは、サイトに付与された権限を継承します。リスト レベル、フォルダー レベル、およびアイテム レベルの権限を使用して、サイト コンテンツを表示または操作できるユーザーをさらに詳細に制御できます。セキュリティ保護可能なオブジェクトに対する権限を変更したり割り当てたりするには、事前にそのセキュリティ保護可能なオブジェクトに対する権限の継承を解除する必要があります。権限を親リストまたはサイトから継承するようにいつでも戻すことができます。

ユーザーまたはグループに、特定のセキュリティ保護可能なオブジェクトに対する権限を割り当てることができます。ユーザー単位またはグループ単位で、セキュリティ保護可能なオブジェクトごとに異なる権限を設定できます。次の図では、権限、ユーザーとグループ、セキュリティ保護可能なオブジェクトの間の関係を示します。

アクセス許可レベルの指定

権限の継承について

サイト内のセキュリティ保護可能なオブジェクトの権限は、既定では親オブジェクトから継承します。継承を解除し、詳細に設定された権限 (リストやライブラリ、フォルダー、アイテムやドキュメントのレベルで設定された一意な権限) を使用して、サイト上でユーザーが実行可能な操作を厳密に制御できます。詳細に設定された権限の使用に関するベスト プラクティスの詳細については、「詳細に設定されたアクセス許可の使用に関するベスト プラクティス」を参照してください。

権限の継承を停止すると、グループ、ユーザー、およびアクセス許可レベルが親オブジェクトから子オブジェクトにコピーされ、継承が解除されます。権限の継承を解除すると、すべての権限は明示的になり、親オブジェクトを変更しても子オブジェクトは影響を受けません。継承された権限を復元すると、子オブジェクトはそのユーザー、グループ、およびアクセス許可レベルを親から再び継承し、子オブジェクトに固有のユーザー、グループ、またはアクセス許可レベルは失われます。

管理を容易にするため、可能な場合は常に権限の継承を使用してください。

ヒント

継承を解除して詳細に設定された権限を使用する場合は、個別のユーザーを追跡しなくても済むように、グループを使用してください。チーム内の人の出入りが激しく、責任範囲が頻繁に変わる場合、そうした変更を追跡し、セキュリティ設定が可能なオブジェクトごとに権限を更新するのは、時間がかかるだけでなくエラーが発生しやすくなります。

サイト権限の計画

権限を作成する際は、管理のしやすさやパフォーマンスと、個々のアイテムへのアクセスを制御する必要性との間でバランスを取る必要があります。詳細に設定された権限を広範囲に使用する場合は、権限の管理のためにより多くの時間がかかるので、ユーザーはサイト コンテンツにアクセスしようとしたときにパフォーマンスの低下を感じる可能性があります。

サイト権限を計画する場合は、以下のガイドラインに従ってください。

  1. 最小限の特権を与えるという原則に従います。ユーザーには、割り当てられたタスクを実行するために必要最小限のアクセス許可レベルまたは個別の権限を付与します。

  2. 標準のグループ (メンバー、閲覧者、所有者など) を使用し、サイト レベルで権限を制御します。

    • 大部分のユーザーをメンバー グループまたは閲覧者グループのメンバーにします。既定では、メンバー グループのユーザーは、サイトに投稿でき、アイテムやドキュメントの追加、削除を行うことができますが、サイトの構造を変更したり、サイトの設定や外観を変更したりすることはできません。閲覧者グループは、読み取り専用でサイトにアクセスできます。ページやアイテムを表示したり、アイテムやドキュメントを開くことはできますが、ページやアイテム、ドキュメントの追加や削除はできません。

    • 所有者グループのメンバーを限定します。サイトの構造、設定、外観の変更を信頼して任せられるユーザーのみを所有者グループのメンバーにします。

  3. 個別の権限を割り当てるのではなく、アクセス許可レベルを使用します。

注意

  1. ユーザーが実行する操作に対してより詳細に制御する必要のある場合は、SharePoint グループやアクセス許可レベルを新たに作成できます。たとえば、特定のサブサイトにおける読み取りアクセス許可レベルに通知の作成権限が含まれないようにするには、そのサブサイトの継承を解除し、読み取りアクセス許可レベルをカスタマイズします。

  2. Microsoft SharePoint Foundation 2010 および SharePoint Server 2010 は、[権限の確認] を使用して、サイト コレクション内のすべてのリソースに対するユーザーまたはグループの権限を特定します。これにより、特定のサイトまたはサイト コンテンツに対する権限を調べることで、ユーザーに直接割り当てられている権限と、ユーザーが属するグループに割り当てられている権限の両方を特定できます。

権限の継承の計画

権限および継承される権限の階層を明確にしておくと、簡単に権限を管理できます。サイト内の一部のリストに詳細な権限が適用されていて、一部のサイトに一意の権限を持つサブサイトと継承した権限を持つサブサイトが含まれる場合、管理は複雑になります。可能な限り、ほとんどの権限を共有できるように、サイトとサブサイトおよびリストとライブラリに配置します。機密性の高いデータは、専用のリスト、ライブラリ、またはサブサイトに分けて格納します。

たとえば、以下の表に示すように権限を継承しているサイトはより簡単に管理できます。

セキュリティ保護可能なオブジェクト 説明 一意な権限または継承された権限

SiteA

グループのホーム ページ

一意

SiteA/SubsiteA

機密性の高いグループ

一意

SiteA/SubsiteA/ListA

機密性の高いデータ

一意

SiteA/SubsiteA/LibraryA

機密性の高いドキュメント

一意

SiteA/SubsiteB

グループで共有されるプロジェクト情報

継承

SiteA/SubsiteB/ListB

機密性の低いデータ

継承

SiteA/SubsiteB/LibraryB

機密性の低いドキュメント

継承

しかし、以下の表に示すように権限を継承しているサイトを管理するのは簡単ではありません。

セキュリティ保護可能なオブジェクト 説明 一意な権限または継承された権限

SiteA

グループのホーム ページ

一意

SiteA/SubsiteA

機密性の高いグループ

一意

SiteA/SubsiteA/ListA

機密性の低いデータ

一意。ただし SiteA と同じ権限

SiteA/SubsiteA/LibraryA

機密性の低いドキュメント (ただし、1 つまたは 2 つの機密性の高いドキュメントを含む)

継承 (ドキュメント レベルで一意な権限あり)

SiteA/SubsiteB

グループで共有されるプロジェクト情報

継承

SiteA/SubsiteB/ListB

機密性の低いデータ (ただし、1 つまたは 2 つの機密性の高いアイテムを含む)

継承 (アイテム レベルで一意な権限あり)

SiteA/SubsiteB/LibraryB

機密性の低いドキュメント (ただし、機密性の高いドキュメントを格納する専用フォルダーあり)

継承 (フォルダーとドキュメントのレベルで一意な権限あり)