SharePoint サイトと OneDrive の条件付きアクセスポリシー

[アーティクル]
06/07/2024

この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です

Microsoft Entra 認証コンテキストを使用すると、ユーザーが SharePoint サイトにアクセスするときに、より厳しいアクセス条件を適用できます。

認証コンテキストを使用して、 Microsoft Entra 条件付きアクセスポリシーを SharePoint サイトに接続できます。ポリシーは、サイトに直接適用することも、秘密度ラベルを使用して適用することもできます。

この機能は、SharePoint のルートサイトに適用できません (例: https://contoso.sharepoint.com)。

要件

SharePoint サイトで認証コンテキストを使用するには、次のいずれかのライセンスが必要です。

Microsoft SharePoint Premium - SharePoint Advanced Management
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5 コンプライアンス
Microsoft 365 E5 Information Protection and Governance
Office 365 E5/A5/G5

制限事項

一部のアプリは認証コンテキストで動作しません。この機能を広く展開する前に、認証コンテキストが有効になっているサイトでアプリをテストすることをお勧めします。

次のアプリとシナリオは、認証コンテキストでは機能しません。

以前のバージョンの Office アプリ ( サポートされているバージョンの一覧を参照)
Viva Engage
Teams Web アプリ
関連付けられている SharePoint サイトに認証コンテキストがある場合、OneNote アプリをチャネルに追加することはできません。
Teams チャネル会議の記録のアップロードは、認証コンテキストを持つサイトで失敗します。
サイトに認証コンテキストがある場合、Teams の SharePoint フォルダーの名前変更が失敗します。
OneDrive に認証コンテキストがある場合、Teams ウェビナーのスケジュール設定が失敗します。
サードパーティ製アプリ
OneDrive 同期アプリは、認証コンテキストとサイトを同期しません。
認証コンテキストをエンタープライズアプリケーションカタログサイトコレクションに関連付けることはサポートされていません。
"Power BI での SharePoint リストの視覚化" 機能は、現在認証コンテキストをサポートしていません。
Windows、Mac、Android、iOS 上の Outlook では、認証コンテキストによって保護された SharePoint サイトとの通信はサポートされていません。
現在、複数ファイルのダウンロード機能は、条件付きアクセスポリシーでセッション制御の認証コンテキストと "条件付きアクセスアプリ制御の使用" の両方が有効になっている場合は機能しません。

認証コンテキストの設定

ラベル付きサイトの認証コンテキストを設定するには、次の基本的な手順が必要です。

Microsoft Entra ID に認証コンテキストを追加します。
その認証コンテキストに適用され、使用する条件とアクセス制御を持つ条件付きアクセスポリシーを作成します。
次のいずれかの操作を行います。
1. 秘密度ラベルを設定して、ラベル付けされたサイトに認証コンテキストを適用します。
2. 認証コンテキストをサイトに直接適用する

この記事では、機密性の高い SharePoint サイトにアクセスする前に、ゲストに利用規約への同意を求める例について説明します。また、組織に必要なその他の条件付きアクセス条件とアクセス制御を使用することもできます。

認証コンテキストを追加する

まず、Microsoft Entra ID に認証コンテキストを追加します。

認証コンテキストを追加するには:

Microsoft Entra 条件付きアクセスで、[管理] で [認証コンテキスト] を選択します。
[ 新しい認証コンテキスト] を選択します。
名前と説明を入力し、[ アプリに発行 ] チェックボックスをオンにします。
[保存] を選択します。

条件付きアクセスポリシーを作成する

次に、その認証コンテキストに適用され、ゲストがアクセス条件として利用規約に同意する必要がある条件付きアクセスポリシーを作成します。

条件付きアクセスポリシーを作成するには:

Microsoft Entra 条件付きアクセスで、[新しいポリシー] を選択します。
ポリシーの名前を入力します。
[ ユーザーとグループ ] タブで、[ ユーザーとグループの選択 ] オプションを選択し、[ ゲストまたは外部ユーザー ] チェックボックスをオンにします。
ドロップダウンから [B2B コラボレーションゲストユーザー ] を選択します。
[ クラウドアプリまたはアクション ] タブの [ このポリシーの適用対象を選択する] で、[ 認証コンテキスト] を選択し、作成した認証コンテキストのチェックボックスをオンにします。
[ 許可 ] タブで、使用する使用条件のチェックボックスをオンにし、[選択] を選択します。
ポリシーを有効にするかどうかを選択し、[ 作成] を選択します。

認証コンテキストをサイトに直接適用する

SharePoint サイトに認証コンテキストを直接適用するには、 Set-SPOSite PowerShell コマンドレットを使用します。

注:

この機能には、Microsoft 365 E5 または Microsoft SharePoint Premium - SharePoint Advanced Management ライセンスが必要です。

次の例では、上記で作成した認証コンテキストを "research" というサイトに適用します。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

秘密度ラベルを設定して、ラベル付けされたサイトに認証コンテキストを適用する

秘密度ラベルを使用して認証コンテキストを適用する場合は、認証コンテキストを使用するように秘密度ラベルを更新 (または新しいラベルを作成) します。

注:

秘密度ラベルには、Microsoft 365 E5 または Microsoft 365 E3 と高度なコンプライアンスライセンスが必要です。

秘密度ラベルを更新するには

Microsoft Purview コンプライアンスポータルの [情報保護] タブで、更新するラベルを選択し、[ラベルの編集] を選択します。
[グループとサイトの保護設定を定義する] ページが表示されるまで、[次へ] を選択します。
[ 外部共有と条件付きアクセスの設定 ] チェックボックスがオンになっていることを確認し、[ 次へ] を選択します。
[ 外部共有とデバイスアクセスの設定を定義する] ページで、[ ラベル付けされた SharePoint サイトを保護するために Microsoft Entra 条件付きアクセスを使用する ] チェックボックスをオンにします。
[ 既存の認証コンテキストの選択] オプションを選択します 。
ドロップダウンリストで、使用する認証コンテキストを選択します。
[設定と完了の確認] ページが表示されるまで [次へ] を選択し、[ラベルの保存] を選択します。

ラベルが更新されると、そのラベルを持つ SharePoint サイト (またはチームの [ ファイル ] タブ) にアクセスするゲストは、そのサイトにアクセスする前に使用条件に同意する必要があります。

バックグラウンドアプリのブロック (プレビューでのロールアウト)

サイトで認証コンテキストが設定されている場合、管理者は、条件付きアクセスポリシーでその認証コンテキストを使用して割り当てられたアプリについて、バックグラウンドアプリがそのサイトにアクセスできないようにすることができます。選択したアプリケーション原則 (Microsoft 以外のアプリケーション) に特定の認証コンテキストを割り当てることができるよう、条件付きアクセスポリシーを構成できます。次のコマンドレットを使用して、この機能を明示的に有効にする必要があります。アプリケーションの原則が構成された条件付きアクセスポリシーが少なくとも 1 つ必要です。

Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)

次の方法で共有

SharePoint サイトと OneDrive の条件付きアクセスポリシー

要件

制限事項