ユーザーの OneDrive コンテンツへのアクセスをグループ内のユーザーに制限する
この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です
OneDrive アクセス制限ポリシーを使用して、個々のユーザーの OneDrive コンテンツへのアクセスをセキュリティ グループ内のユーザーに制限できます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、コンテンツにアクセスできません。
このポリシーは、その OneDrive 内のファイルにアクセスできるユーザーを含む Microsoft Entra セキュリティ グループ を使用して適用されます。
ポリシーが適用されると、セキュリティ グループ内のユーザーには、ファイルに対するアクセス許可が直接付与されません。 OneDrive の所有者は、通常と同じようにコンテンツを共有する必要があります。 OneDrive アクセス制限ポリシーは、セキュリティ グループに含まれていないユーザーが OneDrive コンテンツと共有されている場合でも、OneDrive コンテンツにアクセスできないようにします。
アクセス制限ポリシーは、ユーザーがファイルにアクセスしようとしたときに適用されます。 ユーザーは、ファイルへの直接アクセス許可を持っている場合でも検索結果にファイルを表示できますが、指定したセキュリティ グループに属していない場合はファイルにアクセスできません。
OneDrive サービス自体へのアクセスをセキュリティ グループ内のユーザーに制限することもできます。 詳細については、「 セキュリティ グループによる OneDrive アクセスの制限」を参照してください。
要件
OneDrive アクセス制限ポリシーには 、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です。
組織のサイト アクセス制限を有効にする
ユーザーの OneDrive 用に構成する前に、組織のサイト アクセス制限を有効にする必要があります。
SharePoint 管理センターで組織のサイト アクセス制限を有効にするには:
[ ポリシー] を 展開し、[ アクセス制御] を選択します。
[ サイト アクセス制限] を選択します。
[ アクセス制限を許可する] を選択し、[保存] を選択 します。
PowerShell を使用して組織のサイト アクセス制限を有効にするには、次のコマンドを実行します。
Set-SPOTenant -EnableRestrictedAccessControl $true
コマンドが有効になるまでに最大 1 時間かかる場合があります。
注:
Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。
ユーザーの OneDrive コンテンツへのアクセスを制限する
各 OneDrive には、最大 10 個の Microsoft Entra セキュリティ グループを割り当てることができます。 セキュリティ グループが追加されると、グループ内のユーザーだけが、共有されている OneDrive 内のコンテンツにアクセスできます。 動的セキュリティ グループは、ユーザー プロパティに基づくグループ メンバーシップを使用する場合に使用できます。
重要
OneDrive の所有者は、指定したセキュリティ グループのいずれかに含める必要があります。または、OneDrive とその内容にアクセスできなくなります。
OneDrive のアクセス制限を管理するには、次のコマンドを使用します。
| アクション | PowerShell コマンド |
|---|---|
| 特定の OneDrive のアクセス制限を有効にします。 (セキュリティ グループを追加する前に、このコマンドを実行します)。 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| セキュリティ グループを追加する | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| セキュリティ グループを編集する | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| セキュリティ グループを表示する | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| セキュリティ グループを削除する | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| サイトのアクセス制限をリセットする | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
監査
監査イベントは、サイト アクセス制限アクティビティを監視するのに役立つ Microsoft Purview コンプライアンス ポータルで使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。
- サイトへのサイト アクセス制限の適用
- サイトのサイト アクセス制限の削除
- サイトのサイト アクセス制限グループの変更