SharePointを効果的に活用するには、適切なアクセス権限の設定が不可欠です。
権限を正しく管理することで、情報漏洩を防ぎ、安全かつ効率的な情報共有を実現できます。
この記事では、SharePointのアクセス権限の基本から、具体的な設定方法、管理のベストプラクティスまでを詳しく解説します。
SharePointのアクセス権限とは
SharePointのアクセス権限とは、ユーザーやグループがサイト、リスト、ライブラリ、フォルダ、ファイルなどに対して実行できる操作を制御する仕組みです。
具体的には、以下のような操作の可否を定義します。
- ファイルやページの閲覧
- コンテンツの編集
- アイテムの追加・削除
- サイト設定の変更
- 他のユーザーへの権限付与
適切な権限設定により、必要な人だけが必要な情報にアクセスできるようになり、セキュリティと利便性の両立が可能になります。
アクセス権限の重要性
SharePointのアクセス権限設定は、企業のセキュリティを守る上で極めて重要です。
セキュリティリスクの例
権限設定が不適切な場合、以下のようなセキュリティ事故が発生する可能性があります。
- 本来アクセスできないユーザーに誤って権限が付与され、機密情報が閲覧・改ざんされる
- 外部ユーザーへの共有設定ミスにより、社外に情報が漏洩する
- 権限のないユーザーが重要なファイルを削除してしまう
実際に、設定ミスによる情報漏洩事故は数多く報告されています。
クラウドサービスに起因する情報漏洩事件の多くは、管理者側の設定不備が原因とされています。
適切な権限管理のメリット
一方、適切な権限管理を実施すると、以下のメリットがあります。
- 機密情報の保護
- コンプライアンスの遵守
- 業務効率の向上
- 社会的信頼の維持
SharePointグループとは
SharePointグループは、複数のユーザーをまとめて管理するための仕組みです。
個別のユーザーごとに権限を設定するのではなく、グループ単位で権限を管理することで、効率的な運用が可能になります。
デフォルトのSharePointグループ
SharePointサイトを作成すると、自動的に以下の3つのグループが作成されます。
1. サイト所有者(Owners)
サイトの全ての操作が可能な最上位の権限グループです。
主な権限:
- サイトのすべての設定変更
- ユーザーやグループの権限管理
- リストやライブラリの作成・削除
- サイトの削除
2. サイトメンバー(Members)
サイトのコンテンツを編集できる権限グループです。
主な権限:
- ファイルやページの作成・編集・削除
- リストアイテムの追加・更新
- ドキュメントのアップロード
3. サイト閲覧者(Visitors)
読み取り専用の権限グループです。
主な権限:
- ファイルやページの閲覧
- ドキュメントのダウンロード
- リストアイテムの表示
カスタムグループの作成
デフォルトのグループに加えて、独自のSharePointグループを作成することもできます。
例えば、「経理部」「開発チーム」「プロジェクトA」など、業務に合わせたグループを作成し、それぞれに適切な権限を付与できます。
アクセス許可レベルの種類
アクセス許可レベルは、具体的な操作権限の組み合わせです。
SharePointには、以下のデフォルトのアクセス許可レベルが用意されています。
1. フルコントロール(Full Control)
サイトに対するすべての操作が可能な最上位の権限レベルです。
できること:
- サイトのすべての設定変更
- ユーザーの追加・削除
- 権限の管理
- リスト・ライブラリの作成・削除
- コンテンツの作成・編集・削除
- サイトの削除
対象者: サイト管理者、プロジェクトオーナー
2. デザイン(Design)
サイトの外観やレイアウトを変更できる権限レベルです。
できること:
- サイトのレイアウト変更
- Webパーツの追加・配置
- 新しいリスト・ライブラリの作成
- 列やビューの作成
- コンテンツの作成・編集・削除
対象者: サイトデザイナー、上級管理者
3. 編集(Edit)
リストやライブラリを管理し、ページを編集できる権限レベルです。
できること:
- リストやライブラリの管理
- ページの編集
- コンテンツの作成・編集・削除
- 列やビューの作成
対象者: サイトメンバー(デフォルト)
4. 投稿(Contribute)
コンテンツの追加・編集・削除はできますが、新しいリストやライブラリは作成できない権限レベルです。
できること:
- アイテムやドキュメントの表示・追加・更新・削除
- バージョン履歴の表示
- ファイルのチェックイン・チェックアウト
できないこと:
- 新しいリストやライブラリの作成
- 権限の管理
対象者: プロジェクトメンバー、協力者
5. 読み取り(Read)
コンテンツの閲覧のみが可能な権限レベルです。
できること:
- ページ、ドキュメント、リストアイテムの閲覧
- ドキュメントのダウンロード
- バージョン履歴の表示
できないこと:
- コンテンツの作成・編集・削除
- サイト設定の変更
対象者: サイト閲覧者(デフォルト)、社内の一般ユーザー
6. 表示のみ(View Only)
ドキュメントを閲覧できますが、ダウンロードはできない権限レベルです。
できること:
- ページ、ドキュメント、リストアイテムの表示
できないこと:
- ドキュメントのダウンロード
- コンテンツの作成・編集・削除
対象者: 外部の関係者、一時的な閲覧者
7. 制限付きアクセス(Limited Access)
特定のリスト、ライブラリ、フォルダ、ドキュメント、アイテムにアクセスするために自動的に付与される特別な権限レベルです。
この権限レベルは、SharePointが自動的に管理し、ユーザーが直接割り当てることはできません。
サイト全体へのアクセス権はないが、特定のアイテムにアクセス権がある場合に自動的に付与されます。
8. 承認(Approve)※発行サイトのみ
発行サイトテンプレートで利用可能な追加の権限レベルです。
できること:
- ページ、リストアイテム、ドキュメントの編集と承認
9. 階層の管理(Manage Hierarchy)※発行サイトのみ
できること:
- サイトの作成と編集
- ページ、リストアイテム、ドキュメントの編集
10. 制限付き読み取り(Restricted Read)※発行サイトのみ
できること:
- ページとドキュメントの表示
できないこと:
- バージョン履歴の表示
- 権限情報の表示
SharePointグループとアクセス許可レベルの関係
SharePointグループとアクセス許可レベルは、セットで機能します。
仕組み:
- アクセス許可レベルで「できること」を定義
- SharePointグループにアクセス許可レベルを割り当てる
- ユーザーをSharePointグループに追加
例えば、「サイトメンバー」というSharePointグループには、デフォルトで「編集」というアクセス許可レベルが割り当てられています。
このグループにユーザーを追加すると、そのユーザーは自動的に「編集」権限を持つことになります。
権限の継承
SharePointの権限は、階層構造で継承されます。
継承の仕組み
サイトコレクション
└─ サイト
└─ リスト・ライブラリ
└─ フォルダ
└─ アイテム・ドキュメントデフォルトでは、下位のオブジェクトは上位のオブジェクトから権限を継承します。
継承の流れ:
- サイトはサイトコレクションから権限を継承
- リストやライブラリはサイトから権限を継承
- フォルダはリストやライブラリから権限を継承
- アイテムやドキュメントはフォルダから権限を継承
継承のメリット
- 管理の簡素化
- 権限設定の一貫性
- 変更が自動的に反映される
継承の解除(固有の権限の設定)
特定のリスト、ライブラリ、フォルダ、アイテムに対して、親とは異なる権限を設定したい場合は、継承を解除して固有の権限を設定できます。
注意点:
- 継承を解除すると、管理が複雑になる
- 固有の権限が多すぎると、誰が何にアクセスできるか把握しづらくなる
- パフォーマンスに影響する可能性がある
アクセス権限の設定方法
SharePointのアクセス権限は、複数の方法で設定できます。
方法1: サイトにユーザーを招待する
最も簡単な方法は、サイトの共有機能を使用することです。
手順
- SharePointサイトを開く
- 画面右上の「共有」ボタンをクリック
- ユーザーのメールアドレスまたは名前を入力
- ドロップダウンから権限レベルを選択
- 所有者
- メンバー
- 閲覧者
- 必要に応じてメッセージを追加
- 「送信」または「共有」をクリック
方法2: サイトの権限設定から追加する
より詳細な権限設定を行う場合は、サイトの権限設定画面を使用します。
手順
- SharePointサイトを開く
- 設定アイコン(歯車マーク)をクリック
- 「サイトの設定」を選択
- 「ユーザーと権限」セクションの「サイトの権限」をクリック
- 「アクセス許可の付与」をクリック
- ユーザー名またはメールアドレスを入力
- アクセス許可レベルを選択
- 「共有」をクリック
方法3: SharePointグループを作成してユーザーを追加する
組織的に権限を管理する場合は、SharePointグループを作成します。
グループ作成の手順
- サイトの権限設定画面を開く
- 「高度なアクセス許可の設定」をクリック
- リボンの「グループの作成」をクリック
- グループ名と説明を入力
- グループの所有者を指定
- メンバーシップ要求の設定を選択
- アクセス許可レベルを選択
- 「作成」をクリック
グループへのユーザー追加
- 作成したグループ名をクリック
- 「新規」→「ユーザーの追加」をクリック
- ユーザー名またはメールアドレスを入力
- 「共有」をクリック
方法4: リスト・ライブラリの権限を設定する
特定のリストやライブラリに固有の権限を設定できます。
手順
- リストまたはライブラリを開く
- 設定アイコンをクリック
- 「リストの設定」または「ライブラリの設定」を選択
- 「権限と管理」セクションの「このリストの権限」をクリック
- 「権限の継承を解除」をクリック(継承されている場合)
- 確認メッセージで「OK」をクリック
- 「アクセス許可の付与」からユーザーを追加
方法5: フォルダやアイテムの権限を設定する
個別のフォルダやファイルにも権限を設定できます。
手順
- フォルダまたはファイルを選択
- 「…」(その他のアクション)をクリック
- 「アクセスの管理」または「共有」を選択
- 「高度な設定」をクリック
- 「権限の継承を解除」をクリック(継承されている場合)
- ユーザーを追加または削除
アクセス権限の変更方法
既存のユーザーの権限を変更する手順です。
手順
- サイトの権限設定画面を開く
- 権限を変更したいユーザーにチェックを入れる
- 「ユーザー権限の編集」をクリック
- 新しいアクセス許可レベルにチェックを入れる
- 以前のアクセス許可レベルのチェックを外す
- 「OK」をクリック
注意: チェックの外し忘れに注意してください。
複数の権限レベルが設定されている場合、最も強い権限が優先されます。
アクセス権限の削除方法
ユーザーのアクセス権限を削除する手順です。
手順
- サイトの権限設定画面を開く
- 権限を削除したいユーザーにチェックを入れる
- 「ユーザー権限の削除」をクリック
- 確認メッセージで「OK」をクリック
外部ユーザーとの共有
SharePointでは、組織外のユーザー(ゲストユーザー)とも安全にファイルを共有できます。
外部共有の設定
外部共有を行うには、テナント管理者またはSharePoint管理者が外部共有を有効にしている必要があります。
外部ユーザーへの共有手順
- 共有したいファイルまたはフォルダを選択
- 「共有」をクリック
- 外部ユーザーのメールアドレスを入力
- 権限レベルを選択
- 必要に応じて有効期限を設定
- 「送信」をクリック
外部ユーザーには、招待メールが送信されます。
メール内のリンクをクリックすると、認証後にファイルにアクセスできます。
カスタム権限レベルの作成
デフォルトの権限レベルで要件を満たせない場合、カスタム権限レベルを作成できます。
作成手順
- サイトの権限設定画面を開く
- 「高度なアクセス許可の設定」をクリック
- リボンの「アクセス許可レベル」をクリック
- 既存の権限レベル(例: 投稿)をクリック
- 画面下部の「アクセス許可レベルのコピー」をクリック
- 新しい権限レベルの名前と説明を入力
- 必要な権限にチェックを入れる
- 「作成」をクリック
カスタム権限レベルの例
例: 削除権限のない投稿者
- 名前: 投稿(削除不可)
- 投稿権限から「アイテムの削除」権限を除外
例: 人事部専用権限
- 名前: 人事部レビュアー
- 特定のフォルダのみ編集可能な権限
アクセス権限管理のベストプラクティス
効果的で安全な権限管理を実現するためのポイントを紹介します。
1. 最小権限の原則を適用する
ユーザーには、業務に必要な最小限の権限のみを付与します。
理由:
- セキュリティリスクの最小化
- 誤操作の防止
- コンプライアンスの遵守
実践方法:
- デフォルトは「読み取り」権限
- 必要に応じて段階的に権限を付与
- 定期的に権限の見直しを実施
2. グループ単位で権限を管理する
個別のユーザーではなく、グループ単位で権限を管理します。
メリット:
- 管理の効率化
- 権限の一貫性
- 変更の容易さ
推奨グループ:
- Microsoft 365グループ
- セキュリティグループ
- SharePointグループ
3. 固有の権限を最小限にする
権限の継承をできるだけ維持し、固有の権限の数を抑えます。
目標:
- サイト全体で固有の権限は最小限
- 必要な場合のみ継承を解除
理由:
- 管理の複雑化を防ぐ
- パフォーマンスの維持
- 権限の把握が容易
SharePointには、リストやライブラリごとに最大50,000の固有の権限を設定できますが、推奨される上限は5,000です。
4. 定期的な権限の見直しを実施する
少なくとも四半期ごとに、アクセス権限の見直しを行います。
確認項目:
- 不要になった権限の削除
- 退職者や異動者の権限削除
- 過剰な権限の是正
- 外部共有の確認
5. 監査ログを確認する
SharePointの監査ログを定期的に確認します。
確認内容:
- 誰がいつアクセスしたか
- どのファイルが閲覧・編集されたか
- 権限変更の履歴
- 外部共有の状況
6. 外部共有のポリシーを明確にする
外部ユーザーとの共有に関するルールを策定します。
ポリシー例:
- 外部共有は承認制
- 共有には有効期限を設定
- 機密情報は外部共有禁止
- 共有時は必ず読み取り専用
7. 命名規則を統一する
グループやサイトには、分かりやすい命名規則を適用します。
例:
[部署名]_[プロジェクト名]_所有者営業部_案件A_メンバー人事部_閲覧者
8. ドキュメント化する
権限設定の方針と現状をドキュメント化します。
ドキュメント内容:
- 権限設定の基準
- グループの役割と権限レベル
- 外部共有のルール
- 問い合わせ先
9. ユーザー教育を実施する
チームメンバーに権限管理の重要性を周知します。
教育内容:
- 適切な共有方法
- セキュリティリスク
- 外部共有の注意点
- 権限変更の申請方法
10. 権限要求機能を活用する
アクセス権限のない場合、ユーザーがアクセスを要求できる機能を有効にします。
メリット:
- 必要な人だけに権限付与
- 権限付与の記録が残る
- 管理者の負担軽減
権限設定の確認方法
現在の権限設定を確認する方法を紹介します。
サイトの権限を確認
- 設定アイコンをクリック
- 「サイトの設定」を選択
- 「サイトの権限」をクリック
- ユーザーやグループと、割り当てられている権限レベルが表示される
特定のユーザーの権限を確認
- サイトの権限設定画面を開く
- 「権限の確認」をクリック
- ユーザー名を入力
- そのユーザーがどのグループに属し、どの権限を持っているか表示される
アイテムレベルの権限を確認
- ファイルまたはフォルダを選択
- 「…」→「アクセスの管理」をクリック
- 「高度な設定」をクリック
- そのアイテムに設定されている権限が表示される
外部共有の状況を確認
- サイトの設定を開く
- 「サイトの利用状況」をクリック
- 「外部ユーザーと共有」セクションで「レポートを実行」をクリック
- 外部ユーザーと共有されているファイルやフォルダの一覧が表示される
よくある問題とトラブルシューティング
Q1. 権限を変更したのに反映されない
原因:
- ブラウザのキャッシュ
- 複数の権限が競合している
- 継承設定の問題
解決策:
- ブラウザのキャッシュをクリア
- サインアウトして再度サインイン
- 権限の継承状況を確認
- 競合する権限設定がないか確認
Q2. 「アクセスが拒否されました」と表示される
原因:
- 権限が付与されていない
- 継承が解除されている
- サイトが削除された
解決策:
- サイト所有者に権限をリクエスト
- アクセス要求機能を使用
- 別のURLから試してみる
Q3. 誰がファイルにアクセスできるか分からない
原因:
- 固有の権限が多すぎる
- 権限の継承が複雑
解決策:
- 「権限の確認」機能を使用
- 権限レポートを実行
- 固有の権限を整理
Q4. 外部ユーザーが招待を受け取れない
原因:
- メールアドレスの入力ミス
- 外部共有が無効
- スパムフォルダに振り分けられている
解決策:
- メールアドレスを確認
- SharePoint管理者に外部共有の設定を確認
- 招待メールを再送信
まとめ
SharePointのアクセス権限は、情報セキュリティの要です。
重要なポイント:
- 基本を理解する
- SharePointグループとアクセス許可レベルの関係
- 権限の継承の仕組み
- 適切に設定する
- 最小権限の原則
- グループ単位での管理
- 固有の権限は最小限に
- 継続的に管理する
- 定期的な見直し
- 監査ログの確認
- ドキュメント化
- チームで運用する
- ポリシーの明確化
- ユーザー教育
- 問い合わせ体制の整備
SharePointの権限設定は複雑に見えますが、基本を押さえれば誰でも適切に管理できます。
まずはデフォルトのSharePointグループと権限レベルを使用し、必要に応じて段階的にカスタマイズしていくことをお勧めします。
定期的な見直しと監査を行い、常にセキュリティと利便性のバランスを保ちながら運用していきましょう。
コメント