アプリによる制限付きサイトの作成により、SharePoint 管理者はSharePoint Online 管理シェルを使用して、organizationで SharePoint サイトを作成できるサード パーティ製アプリを指定できます。
テナント内のアプリのサイト作成を管理する方法は、拒否モード (指定されたアプリはサイトを作成できません) と許可モード (指定したアプリのみがサイトの作成を許可) の 2 つの方法から選択できます。 テナント内のアプリに対して制限付きサイトの作成を有効にすると、既定のモードは 拒否になります。
これらのポリシーは、新しいサイトを作成できるアプリのみを制御します。ユーザーやアプリのサイト アクセス許可には影響しません。
注:
- アプリによる OneDrive および SharePoint サイトの作成の制限機能は現在プレビュー段階です。
- 管理者は、すべてのサイト (OneDrives を含む)、すべての SharePoint サイト (OneDrives を含まない)、OneDrives、チーム サイト (グループ接続とクラシック)、コミュニケーション サイトの各カテゴリに対して個別の構成を作成できます。
- アプリの制限付きサイト作成機能には、ポリシー構成の架空のシナリオをテストするためのシミュレーション モード パラメーターがあります。 -アプリの制限付きサイト作成機能は、サード パーティ製アプリにのみ影響します。 ファースト パーティ アプリは現在影響を受けません。
アプリによる OneDrive と SharePoint サイトの作成を制限するには、何が必要ですか?
ライセンス要件とは
この記事で説明する機能を使用するには、organizationが適切なライセンスを持ち、特定の管理アクセス許可またはロールを満たしている必要があります。
まず、organizationには次のいずれかの基本ライセンスが必要です。
- Office 365 E3、E5、または A5
- Microsoft 365 E1、E3、E5、または A5
さらに、次のライセンスのうち少なくとも 1 つが必要です。
- Microsoft 365 Copilot ライセンス: organization内の少なくとも 1 人のユーザーに Copilot ライセンスを割り当てる必要があります (このユーザーは SharePoint 管理者である必要はありません)。
- Microsoft SharePoint 高度な管理ライセンス: 単体で購入できます。
管理者の要件
SharePoint 管理者であるか、同等のアクセス許可を持っている必要があります。
追加情報
組織に Copilot ライセンスがあり、組織の少なくとも 1 人に Copilot ライセンスが割り当てられている場合、SharePoint 管理者は Copilot の展開に必要なSharePoint 高度な管理機能に自動的にアクセスできます。
Copilot ライセンスをお持ちでない組織は、スタンドアロンの SharePoint 高度な管理ライセンスを購入することで、SharePoint 高度な管理機能をご利用になれます。
さらに、アプリに制限付きサイト作成を使用するには、次の操作を行う必要があります。
最新バージョンの Microsoft Office SharePoint Online Management Shell をダウンロードしてインストールします。
SharePoint サイトの作成が許可されているアプリを構成できることを確認します。
SharePoint Online 管理シェルを使用してアプリの制限付きサイト作成を管理する
SharePoint Online 管理シェル管理者スクリプトを実行するには、SharePoint 管理者であるか、Microsoft 365 で同等のアクセス許可を持っている必要があります。
この記事のスクリプトを使用する前に、次の手順を実行する必要があります。
- まだダウンロードしていない場合は、最新のSharePoint Online 管理シェルをダウンロードします。
注:
以前のバージョンのSharePoint Online 管理シェルをインストールした場合は、「プログラムの追加または削除」に移動し、まず「SharePoint Online 管理シェル」をアンインストールします。 次に、最新バージョンをインストールします。
- SharePoint 管理者として、または Microsoft 365 の Microsoft 365 で同等のアクセス許可を持つ SharePoint に接続します。 方法については、「SharePoint Online 管理シェルの概要」を参照してください。
PowerShell コマンドの概要
| 機能 | command |
|---|---|
| サイトアクセス制限を有効にする | Set-SPORestrictedSiteCreationForApps –Enabled $true |
| モードを [許可] または [拒否] として指定する | Set-SPORestrictedSiteCreationForApps –Mode Allow Set-SPORestrictedSiteCreationForApps –Mode Deny |
| アプリ ID リストの追加/再構成 | Set-SPORestrictedSiteCreationForApps -SiteType <SiteType> -RestrictedSiteCreationApps <comma separated app IDs> |
| アプリ ID の一覧を表示する | Get-SPORestrictedSiteCreationForApps -SiteType <SiteType> |
アプリ ID を取得するには、次の手順に従います。
少なくともクラウド アプリケーション管理者としてMicrosoft Entra 管理センターにサインインします。
Entra ID>Enterprise アプリ>すべてのアプリケーションを参照します。
目的のアプリケーションを選択し、そのアプリケーション ID を表示します。
注:
この機能では、サード パーティ製アプリのみが制限されます。 ファースト パーティ アプリには影響しません。
アプリの制限付きサイト作成のサイトの種類
アプリ ID の一覧を更新して表示するときは、SiteType パラメーターを指定する必要があります。 SiteType パラメーターの一覧を次に示します。
| サイトの種類 | 適用対象 |
|---|---|
| すべて | OneDrive とすべての SharePoint サイト |
| SharePoint | すべての SharePoint サイト (OneDrive ではない) |
| OneDrive | OneDrive のみ |
| チーム | SharePoint チーム サイト (グループ接続とクラシック) のみ |
| コミュニケーション | SharePoint コミュニケーション サイトのみ |
注:
すべてのサイト には、次の表に示すテンプレートを除くすべてのサイトが含まれています。 すべてのサイト SiteType は、他のすべてのサイトをオーバーライドします。
| 型 | テンプレート名 | テンプレート ID | 理由 |
|---|---|---|---|
| SharePoint Embedded | CSPCONTAINER | 70 | SharePoint Embedded エクスペリエンスは個別に管理されます |
| リダイレクト サイト | REDIRECTSITE | 301 | 重要な SharePoint 機能 |
| 個人用サイトのホスト | MYSITEHOST | 54 | コア サイト |
| テナント 管理 | TENANTADMIN | 16 | コア サイト |
アプリの制限付きサイト作成の拒否モードと許可モードのしくみ
アプリ モードの制限付きサイト作成は、すべてのサイトの種類のポリシーで共有されます。 1 つのサイトタイプに拒否モードを使用し、別のサイトタイプに対して許可モードを使用することはできません。
アプリの制限付きサイトの作成が 拒否 モードの場合、アプリ ID が任意のサイトの種類で構成されたリストに含まれている場合、アプリはサイトの作成をブロックされます。これは、作成しようとしているサイトに適用されます。 たとえば、アプリ ID が All、SharePoint、または Communication サイトの種類で構成されている任意のリストにある場合、アプリは SharePoint 通信サイトの作成をブロックされます。
アプリの制限付きサイト作成が 許可 モードの場合、アプリ ID がサイトの種類で構成されたリストに含まれている場合にのみ、アプリはサイトの作成が許可されます。これは、作成しようとしているサイトに適用されます。 たとえば、アプリ ID が All サイトまたは OneDrive サイトの種類で構成されたリストに含まれている場合、アプリは OneDrive を作成できます。
アプリの制限付きサイト作成を有効にする
SharePoint Online 管理シェルの Set-SPORestrictedSiteCreationForApps –Enabled $true コマンドレットを使用すると、管理者はテナントの制限付きサイト作成機能とポリシーを有効にすることができます。
例: Set-SPORestrictedSiteCreationForApps –Enabled $true
モードを [許可] または [拒否] として指定する
許可されるアプリ (パラメーター Allowを使用) または許可されていないアプリ (パラメーター Denyを使用) を指定して、特定の種類のサイトを作成できます。
例: アプリの制限付きサイト作成のモードを [許可] に設定する
Set-SPORestrictedSiteCreationForApps –Enabled:$true –Mode Allow
注:
拒否モードから許可モードに反転すると、「拒否から許可に切り替えてよろしいですか?」 というメッセージが表示されます。 切り替えると、制限のすべての現在の構成が削除されます。 許可モードから拒否モードに切り替えると、同様のメッセージが表示されます。
アプリ一覧でアプリ ID を設定する
制限付きサイト アプリの一覧でアプリ ID を設定すると、現在のリストが指定したアプリ ID に置き換えられます。 個々のアプリ ID を追加または削除することはできません。コマンドを実行するたびに、前のリストがそのサイトの種類の新しいリストに置き換えられます。 他のアプリのアクセス権を削除しないようにするには、コマンドに許可するすべてのアプリ ID を常に含めます。
例 1: ID 281e395b-7316-4cb2-b5bb-8881426ee411を持つアプリのみがすべてのサイトを作成できるようにするには、SharePoint Online 管理シェルで次のコマンドを実行します。
Set-SPORestrictedSiteCreationForApps –SiteType "All" -RestrictedSiteCreationApps "281e395b-7316-4cb2-b5bb-8881426ee411"
このコマンドは、既存のリストを指定されたアプリ ID のみに置き換えます。 "すべて" の種類のサイトを作成できるのは、このアプリだけです。
例 2: チーム サイトの作成が許可されているアプリ ID の一覧を更新するには、SharePoint Online 管理シェルで次のコマンドを使用します。
Set-SPORestrictedSiteCreationForApps –SiteType "Team" -RestrictedSiteCreationApps "78159241-04a9-41d2-8dd4-ac568e9766a3,1f95829b-e1c8-4406-b2be-508c36f4bca5"
このコマンドは、Team サイトで許可されているアプリの現在の一覧を、指定されたアプリ ID のみに置き換えます。
例 3: コミュニケーション サイトを作成できるアプリを制御するには、Set-SPORestrictedSiteCreationForApps コマンドで空のアプリ ID リスト ("") を使用します。
Set-SPORestrictedSiteCreationForApps –SiteType "Communication" -RestrictedSiteCreationApps ""
- 許可モード: コミュニケーション サイトを作成できるアプリはありません。
- 拒否モード: すべてのアプリでコミュニケーション サイトを作成できます。
このコマンドは、現在のモード (許可または拒否) に基づいてポリシーを設定し、それを通信サイトに適用します。 コミュニケーション サイトの作成が許可されているアプリの一覧にアプリ ID "" を追加します。これは、次のことを意味します。
アプリ ID の一覧を表示する
制限付きアプリまたは許可されているアプリは、[制限付きサイト] アプリの一覧で Get コマンドを実行して表示できます。 既定では、このコマンドにはすべての構成が含まれます。
パラメーターを指定せずに Get-SPORestrictedSiteCreationForApps を実行すると、Enabled、 Mode、および各サイトの種類に一致するディクショナリの値を構成済みのアプリ ID に返すことができます。
-SiteTypeでフィルター処理されたこのコマンドを実行して、特定のサイトの種類のアプリ ID を返すこともできます。
Get-SPORestrictedSiteCreationForApps -SiteType <SiteType>
例: すべてのサイトを作成できるすべてのアプリ ID を表示します。
Get-SPORestrictedSiteCreationForApps –SiteType All