Microsoft 365 グループと Entra セキュリティ グループを使用して SharePoint サイトへのアクセスを制限する

この記事の一部の機能では、Microsoft Syntexが必要です - SharePoint Advanced Management

サイト アクセス制限ポリシーを使用して、SharePoint サイトへのアクセスとコンテンツを特定のグループ内のユーザーに制限できます。 指定したグループに含まれていないユーザーは、以前のアクセス許可や共有リンクがあった場合でも、サイトまたはそのコンテンツにアクセスできません。 このポリシーは、Microsoft 365 グループ接続サイト、Teams 接続サイト、グループ以外の接続済みサイトで使用できます。

サイトアクセス制限ポリシーは、ユーザーがサイトを開いたりファイルにアクセスしようとしたりするときに適用されます。 ファイルへの直接アクセス許可を持つユーザーは、検索結果でファイルを引き続き表示できます。 ただし、指定したグループに属していないファイルにはアクセスできません。

グループ メンバーシップを使用してサイト アクセスを制限すると、コンテンツの共有超過のリスクを最小限に抑えることができます。 データ共有に関する分析情報については、「 データ アクセス ガバナンス レポート」を参照してください。

前提条件

サイト アクセス制限ポリシーには、Microsoft Syntex - SharePoint Advanced Management が必要です。

organizationのサイト レベルのアクセス制限を有効にする

個々のサイトに対して構成する前に、organizationのサイト レベルのアクセス制限を有効にする必要があります。

SharePoint 管理センターでorganizationのサイト レベルのアクセス制限を有効にするには:

1. [ ポリシー] を 展開し、[ アクセス制御] を選択します。

2. [ サイト レベルのアクセス制限] を選択します。

3. [ アクセス制限を許可する] を選択し、[保存] を選択 します。

   

PowerShell を使用してorganizationのサイト レベルのアクセス制限を有効にするには、次のコマンドを実行します。

Set-SPOTenant -EnableRestrictedAccessControl $true

コマンドが有効になるまでに最大 1 時間かかる場合があります

注:

Microsoft 365 Multi-Geo ユーザーの場合は、目的の地域の場所ごとに個別にこのコマンドを実行します。

グループに接続されたサイト (Microsoft 365 グループと Teams) へのアクセスを制限する

グループに接続されたサイトのサイト アクセス制限ポリシーは、SharePoint サイトへのアクセスを、サイトに関連付けられている Microsoft 365 グループまたはチームのメンバーに制限します。

SharePoint 管理センターでグループ接続サイトのサイト アクセス制限を管理するには

1. SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
2. 管理するサイトを選択し、サイトの詳細パネルが表示されます。
3. [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。
4. [ このサイトへのアクセスを制限する ] ボックスを選択し、[保存] を選択 します。

グループ接続サイトのサイト アクセス制限を有効にするには、次のコマンドを実行します。

Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true

グループ接続サイトのサイト アクセス制限を表示するには、次のコマンドを実行します。

Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl

グループ接続サイトのサイト アクセス制限を無効にするには、次のコマンドを実行します。

Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false

グループに接続されていないサイトへのサイト アクセスを制限する

グループに接続されていないサイトへのアクセスを制限するには、サイトへのアクセスを許可する必要があるユーザーを含む Entra セキュリティ グループ または Microsoft 365 グループを指定します。 最大 10 個の Entra セキュリティ グループまたは Microsoft 365 グループを構成できます。 ポリシーが適用されると、サイトへのアクセス許可を持つ指定されたグループ内のユーザーに、サイトとそのコンテンツへのアクセス権が付与されます。 動的セキュリティ グループは、ユーザー プロパティに基づくグループ メンバーシップを使用する場合に使用できます。

グループ以外の接続済みサイトへのサイト アクセスを管理するには:

1. SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
2. 管理するサイトを選択し、サイトの詳細パネルが表示されます。
3. [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。
4. [指定したグループ内のユーザーのみに SharePoint サイト アクセスを制限する] チェックボックスを選択します。
5. セキュリティ グループまたは Microsoft 365 グループを追加または削除し、[保存] を選択 します。

サイトへのアクセス制限をサイトに適用するには、サイトアクセス制限ポリシーに少なくとも 1 つのグループを追加する必要があります。

PowerShell を使用してグループに接続されていないサイトのサイト アクセス制限を管理するには、次のコマンドを使用します。

アクション	PowerShell コマンド
サイトアクセス制限を有効にする	Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
グループの追加	Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
グループの編集	Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
グループの表示	Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
グループを削除する	Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
サイトのアクセス制限をリセットする	Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

共有チャネル サイトとプライベート チャネル サイト

共有チャネル サイトとプライベート チャネル サイト は、標準チャネルで使用される Microsoft 365 グループ接続サイトとは別です。 共有チャネル サイトとプライベート チャネル サイトは Microsoft 365 グループに接続されていないため、チームに適用されるサイト アクセス制限ポリシーは影響を受けません。 共有チャネル サイトまたはプライベート チャネル サイトごとに、グループ以外の接続済みサイトとして個別にサイト アクセス制限を有効にする必要があります。

共有チャネル サイトの場合、リソース テナント内の内部ユーザーのみがサイト アクセス制限の対象となります。 外部チャネルの参加者はサイト アクセス制限ポリシーから除外され、サイトの既存のサイトのアクセス許可に従ってのみ評価されます。

重要

セキュリティ グループまたは Microsoft 365 グループにユーザーを追加しても、ユーザーは Teams のチャネルにアクセスできなくなります。 Teams およびセキュリティ グループまたは Microsoft 365 グループ内の Teams チャネルの同じユーザーを追加または削除して、ユーザーが Teams と SharePoint の両方にアクセスできるようにすることをお勧めします。

監査

監査イベント は、サイト アクセス制限アクティビティの監視に役立つ Purview コンプライアンス ポータルで使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。

• サイトへのサイト アクセス制限の適用
• サイトのサイト アクセス制限の削除
• サイトのサイト アクセス制限グループの変更

関連記事

SharePoint サイトと OneDrive の条件付きアクセス ポリシー

データ アクセス ガバナンス レポート