SharePointを安全かつ効率的に運用するには、適切なアクセス権限の設定が不可欠です。
誰がどのファイルを閲覧・編集できるのか、どのサイトにアクセスできるのかを適切に管理することで、情報漏洩を防ぎ、スムーズなコラボレーションを実現できます。
本記事では、SharePointのアクセス権限の基礎から、具体的な付与方法、ベストプラクティスまで、実務で役立つ情報を網羅的に解説します。
SharePoint管理者はもちろん、サイト所有者としてアクセス権限を管理する立場にある方にも役立つ内容です。
SharePointの権限モデルの基礎
権限管理の3つの基本要素
SharePointの権限管理は、以下の3つの要素で構成されています。
ユーザーまたはグループ
アクセス権限を付与する対象です。
個別のユーザー、SharePointグループ、Microsoft 365グループ、Active Directoryセキュリティグループなどが該当します。
権限レベル
ユーザーが実行できる操作の範囲を定義したものです。
「フルコントロール」「編集」「読み取り」などがあります。
セキュリティ保護可能なオブジェクト
権限を設定できる対象です。
サイト、リスト、ドキュメントライブラリ、フォルダ、個別のファイルやアイテムなどがあります。
権限の継承
SharePointでは、親から子への権限の継承という仕組みがあります。
サイトコレクション(ルートサイト)で設定された権限は、そのサブサイトに継承されます。
サイトの権限は、そのサイト内のリストやライブラリに継承されます。
リストやライブラリの権限は、その中のフォルダやアイテムに継承されます。
この継承により、一か所で権限を設定すれば、配下のすべてのオブジェクトに自動的に適用されるため、管理が容易になります。
ただし、必要に応じて継承を解除し、個別に権限を設定することも可能です。
セキュリティトリミング
SharePointは「セキュリティトリミング」という仕組みを採用しています。
ユーザーには、自分がアクセス権限を持つコンテンツしか表示されません。
権限のないサイト、ライブラリ、ファイルは、検索結果にも表示されず、存在自体が分かりません。
これにより、セキュリティが強化され、ユーザーは自分に関係のあるコンテンツだけに集中できます。
SharePointの権限レベル
SharePointには、標準で7つの権限レベルが用意されています。
フルコントロール(所有者)
サイト内のすべての操作を実行できる最高レベルの権限です。
できること
サイトの設定変更
新しいリスト、ライブラリ、サブサイトの作成
他のユーザーの権限の付与・変更・削除
すべてのコンテンツの閲覧、編集、削除
サイトのカスタマイズとデザイン変更
サイトコレクション管理者の指定(サイトコレクション所有者の場合)
推奨される付与対象
サイトの管理者や所有者のみに限定すべきです。
デザイン
サイトのレイアウトやデザインを変更できる権限です。
できること
ページの追加、編集、削除
Webパーツの追加と配置
サイトのテーマやマスターページの変更
リストとライブラリの作成と管理
コンテンツの閲覧、追加、更新、削除
推奨される付与対象
Webデザイナーやサイトカスタマイズ担当者に付与します。
編集(メンバー)
コンテンツの追加、編集、削除ができる標準的な権限です。
できること
リストアイテムの追加、編集、削除
ドキュメントのアップロード、編集、削除
リストやライブラリの表示とカスタマイズ
個人用ビューの作成
できないこと
サイトの構造やデザインの変更
他のユーザーの権限管理
推奨される付与対象
チームメンバーなど、日常的にコンテンツを編集する必要があるユーザーに付与します。
投稿
リストアイテムやドキュメントを追加できますが、編集は自分が作成したものだけに限定されます。
できること
新しいアイテムやドキュメントの追加
自分が作成したアイテムの編集と削除
すべてのアイテムの閲覧
できないこと
他のユーザーが作成したアイテムの編集・削除
推奨される付与対象
投稿のみを許可したいユーザーに付与します。
読み取り
コンテンツの閲覧とダウンロードのみができる権限です。
できること
ページ、リストアイテム、ドキュメントの表示
ドキュメントのダウンロード
アイテムのエクスポート
できないこと
コンテンツの追加、編集、削除
推奨される付与対象
閲覧のみを許可したいユーザーに付与します。
プロジェクトの関係者や上層部などに適しています。
表示のみ
閲覧のみで、ダウンロードやエクスポートができない制限的な権限です。
できること
ページ、リストアイテム、ドキュメントの表示
できないこと
ドキュメントのダウンロード
アイテムのエクスポート
コンテンツの追加、編集、削除
推奨される付与対象
機密性の高い情報を閲覧させたいが、ダウンロードは防ぎたい場合に使用します。
制限付きアクセス
システムが自動的に付与する特殊な権限レベルです。
個別のアイテムやフォルダへのアクセス権を付与した際、そこに至るパス(親サイトやライブラリ)へのナビゲーションを可能にするために使用されます。
この権限レベルを直接編集することはできません。
SharePointグループとは
SharePointグループの概念
SharePointグループは、複数のユーザーをまとめて管理するための仕組みです。
個別のユーザーに一人ずつ権限を付与するのではなく、グループに権限を付与し、そのグループにユーザーを追加することで、効率的に権限を管理できます。
既定のSharePointグループ
SharePointサイトを作成すると、以下の3つの既定グループが自動的に作成されます。
[サイト名] 所有者
フルコントロール権限を持つグループです。
サイトの管理者が所属します。
[サイト名] メンバー
編集権限を持つグループです。
コンテンツを編集する一般的なチームメンバーが所属します。
[サイト名] 閲覧者
読み取り権限を持つグループです。
閲覧のみを許可したいユーザーが所属します。
カスタムSharePointグループの作成
既定のグループに加えて、独自のSharePointグループを作成できます。
例えば、「経理部門」「プロジェクトA」「外部協力者」など、組織の構造や業務に合わせたグループを作成することで、より細かい権限管理が可能になります。
サイトレベルでのアクセス権付与
方法1:サイトの共有機能を使用(簡単)
最も簡単な方法は、サイトの共有機能を使用することです。
手順
- SharePointサイトにアクセス
- 右上の「共有」ボタンをクリック
- 「サイトの共有」ウィンドウが表示される
- テキストボックスにユーザー名またはメールアドレスを入力
- 自動補完されたリストから該当ユーザーを選択
- 権限レベルを変更する場合は、ユーザー名の横の「▼」をクリック
- 「メンバー」「閲覧者」「所有者」から適切な権限を選択
- メール通知が不要な場合は「メールの送信」のチェックを外す
- 「共有」をクリック
この方法では、既定のSharePointグループ(所有者、メンバー、閲覧者)にユーザーが追加されます。
方法2:高度なアクセス許可の設定を使用(詳細)
より細かい権限設定が必要な場合は、高度なアクセス許可の設定を使用します。
手順
- SharePointサイトで右上の歯車アイコンをクリック
- 「サイトのアクセス許可」を選択
- 画面下部の「高度なアクセス許可の設定」をクリック
- リボンメニューの「アクセス許可の付与」をクリック
- ユーザー名またはメールアドレスを入力
- 「オプションの表示」をクリック
- 「アクセス許可レベルの選択」をクリックして展開
- 「フルコントロール」「デザイン」「編集」「投稿」「読み取り」「表示のみ」から選択
- メール招待状を送信しない場合はチェックを外す
- 「共有」をクリック
この方法では、SharePointグループに追加せず、直接ユーザーに権限を付与できます。
SharePointグループを作成して権限を付与
最も管理しやすい方法は、カスタムSharePointグループを作成することです。
SharePointグループの作成手順
- 「高度なアクセス許可の設定」ページにアクセス
- リボンメニューの「グループの作成」をクリック
- グループ名を入力(例:「経理部門」「プロジェクトA」)
- 説明欄にグループの目的を記入(任意)
- グループの所有者を指定
- 「このサイトのグループ権限の付与」で権限レベルを選択
- 「作成」をクリック
グループにユーザーを追加
- 作成されたグループのページで「新規」→「ユーザーの追加」をクリック
- ユーザー名またはメールアドレスを入力
- 「共有」をクリック
グループベースの権限管理により、後から権限を変更する際もグループ単位で操作できるため、大幅に管理が簡素化されます。
リストとライブラリでのアクセス権付与
継承を解除して独自の権限を設定
リストやライブラリに、サイトとは異なる権限を設定したい場合があります。
手順
- 権限を設定したいリストまたはライブラリにアクセス
- 右上の歯車アイコンをクリック
- 「リストの設定」または「ライブラリの設定」を選択
- 「権限と管理」セクションの「このドキュメントライブラリの権限」をクリック
- リボンメニューの「権限の継承を中止」をクリック
- 確認メッセージで「OK」をクリック
継承が解除されると、親サイトの権限がコピーされた状態になります。
ユーザーまたはグループに権限を付与
- 「権限の継承を中止」後の権限ページで「アクセス許可の付与」をクリック
- ユーザー名またはメールアドレスを入力
- 「オプションの表示」をクリック
- 権限レベルを選択
- 「共有」をクリック
既存のユーザーの権限を変更
- 権限ページで権限を変更したいユーザーにチェックを入れる
- リボンメニューの「ユーザー権限の編集」をクリック
- 新しい権限レベルを選択
- 「OK」をクリック
ユーザーの権限を削除
- 権限ページで削除したいユーザーにチェックを入れる
- リボンメニューの「ユーザー権限の削除」をクリック
- 確認メッセージで「OK」をクリック
フォルダレベルでのアクセス権付与
特定のフォルダだけに権限を設定したい場合があります。
手順
- ライブラリ内で権限を設定したいフォルダを見つける
- フォルダを右クリックして「アクセスの管理」を選択
- 「詳細設定」をクリック
- 「権限の継承を中止」をクリック
- 確認メッセージで「OK」をクリック
- 不要なユーザーやグループを選択して「ユーザー権限の削除」をクリック
- 「アクセス許可の付与」をクリックして必要なユーザーを追加
- 権限レベルを選択して「共有」をクリック
フォルダレベルの権限は便利ですが、管理が複雑になりやすいため、本当に必要な場合にのみ使用してください。
個別ファイルでのアクセス権付与
個別のファイルに固有の権限を設定することもできます。
手順
- 権限を設定したいファイルを見つける
- ファイル名の横の「…」(3つの点)をクリック
- 「アクセスの管理」を選択
- 「詳細設定」をクリック
- 「権限の継承を中止」をクリック
- 既存の権限を削除または変更
- 「アクセス許可の付与」で新しいユーザーを追加
- 権限レベルを選択して「共有」をクリック
ファイルレベルの権限は、機密性の高い契約書や予算資料など、限られたユーザーだけがアクセスすべきファイルに使用します。
ただし、多用すると権限の全体像が把握しにくくなるため、慎重に使用してください。
外部ユーザーへのアクセス権付与
組織外のユーザー(外部ユーザー、ゲスト)とコラボレーションする場合の権限付与方法です。
外部共有の前提条件
SharePoint管理センターで外部共有が有効になっている必要があります。
SharePoint管理センターでの確認
- Microsoft 365管理センターにアクセス
- 管理センター→SharePointを選択
- 左側メニューの「ポリシー」→「共有」をクリック
- 「外部共有」セクションで設定を確認
- 「新規および既存のゲスト」または「すべてのユーザー」が選択されていることを確認
組織のポリシーで外部共有が「組織内のユーザーのみ」に設定されている場合は、外部ユーザーへの共有ができません。
外部ユーザーに権限を付与する手順
- SharePointサイトで右上の「設定」をクリック
- 「サイトのアクセス許可」を選択
- 「サイトの共有」をクリック
- 外部ユーザーのメールアドレスを入力
- 権限レベルを選択(通常は「閲覧者」または「メンバー」)
- メッセージを追加(任意)
- 「追加」または「共有」をクリック
外部ユーザーには招待メールが送信されます。
メール内のリンクをクリックして認証すると、サイトにアクセスできるようになります。
外部共有のセキュリティ考慮事項
外部ユーザーへの共有は、情報漏洩のリスクを伴います。
ベストプラクティス
最小権限の原則:必要最小限の権限(可能であれば「閲覧者」)を付与
有効期限の設定:共有リンクに有効期限を設定
定期的な監査:外部ユーザーのアクセス権限を定期的に見直す
機密情報の隔離:本当に機密性の高い情報は外部共有を完全に無効にしたサイトに保管
権限の確認方法
特定のユーザーがどのような権限を持っているかを確認する方法です。
方法1:権限の確認機能を使用
- SharePointサイトにアクセス
- サイトURLの末尾に「/_layouts/15/user.aspx」を追加してアクセス
例:https://contoso.sharepoint.com/sites/marketing/_layouts/15/user.aspx - ページ上部の「アクセス許可の確認」をクリック
- ユーザー名またはメールアドレスを入力
- 「今すぐ確認」をクリック
該当ユーザーの権限レベルと、どのグループに所属しているかが表示されます。
方法2:サイトの権限ページから確認
- 「高度なアクセス許可の設定」ページにアクセス
- 確認したいユーザーやグループを探す
- ユーザー名の横に権限レベルが表示される
- グループの場合は、グループ名をクリックしてメンバーを確認
PowerShellでのアクセス権管理
大規模な権限管理や一括操作には、PowerShellが便利です。
準備:SharePoint Online Management Shellへの接続
# SharePoint Online Management Shellモジュールのインストール(初回のみ)
Install-Module -Name Microsoft.Online.SharePoint.PowerShell
# SharePoint Onlineに接続
Connect-SPOService -Url "https://contoso-admin.sharepoint.com"ユーザーをサイトに追加
# サイトURL、ユーザー、権限レベルを指定
$SiteURL = "https://contoso.sharepoint.com/sites/marketing"
$UserEmail = "user@contoso.com"
$PermissionLevel = "Edit"
# サイトに接続
Connect-PnPOnline -Url $SiteURL -Interactive
# ユーザーに権限を付与
Set-PnPWebPermission -User $UserEmail -AddRole $PermissionLevelグループに複数ユーザーを一括追加
# SharePointグループ名とユーザーリスト
$GroupName = "Marketing Members"
$Users = @("user1@contoso.com", "user2@contoso.com", "user3@contoso.com")
# 各ユーザーをグループに追加
foreach ($User in $Users) {
Add-PnPGroupMember -LoginName $User -Identity $GroupName
Write-Host "Added $User to $GroupName"
}サイトコレクション管理者の追加
# サイトコレクション管理者を追加
Set-SPOUser -Site "https://contoso.sharepoint.com/sites/marketing" `
-LoginName "admin@contoso.com" `
-IsSiteCollectionAdmin $true権限レポートの取得
# サイトのすべての権限を取得
$SiteURL = "https://contoso.sharepoint.com/sites/marketing"
Connect-PnPOnline -Url $SiteURL -Interactive
# サイトの権限を取得
$Permissions = Get-PnPWebPermission
# 結果を表示
$Permissions | Select-Object Member, Roles | Format-Table -AutoSize
# CSVにエクスポート
$Permissions | Select-Object Member, Roles | Export-Csv -Path "C:\Temp\SitePermissions.csv" -NoTypeInformationアクセス権管理のベストプラクティス
1. 最小権限の原則
ユーザーには、業務遂行に必要な最小限の権限のみを付与してください。
「とりあえずフルコントロール」という安易な権限付与は避けましょう。
2. グループベースの権限管理
個別ユーザーに直接権限を付与するのではなく、SharePointグループを介して権限を管理します。
これにより、以下のメリットがあります。
権限変更が容易(グループの権限を変更するだけで全メンバーに反映)
権限の全体像が把握しやすい
新しいメンバーの追加が簡単
3. 既定グループの活用
独自のグループを作成する前に、既定の「所有者」「メンバー」「閲覧者」グループで要件を満たせないか検討してください。
グループの数が増えすぎると、管理が複雑になります。
4. 権限の継承を活用
可能な限り、権限の継承を使用してください。
個別のリスト、ライブラリ、フォルダ、ファイルで継承を解除すると、権限の全体像が把握しにくくなります。
継承の解除は、本当に必要な場合にのみ行いましょう。
5. 定期的な権限監査
3〜6ヶ月ごとに、以下の点を確認してください。
不要になった権限が残っていないか
退職者や異動者の権限が適切に削除されているか
外部ユーザーへの共有が適切か
過度に細かい権限設定になっていないか
6. ドキュメント化
権限設定のポリシーとルールを文書化してください。
どの部門にどの権限レベルを付与するか
継承を解除する基準
外部共有のガイドライン
権限申請と承認のプロセス
これにより、一貫性のある権限管理が可能になります。
7. ユーザー教育
ユーザーに対して、以下の点を教育してください。
共有機能の使い方
適切な権限レベルの選択
外部共有のリスク
機密情報の取り扱い
8. Microsoft 365グループとの統合
チームサイトの場合、SharePointグループではなく、Microsoft 365グループを通じて権限を管理することを推奨します。
Microsoft 365グループに追加されると、SharePoint、Teams、Outlook、Plannerなど、関連するすべてのサービスに自動的にアクセスできるようになります。
権限管理でよくある問題と解決策
問題1:「アクセスが拒否されました」エラー
ユーザーがファイルやサイトにアクセスできないと報告されました。
確認すべきポイント
ユーザーに適切な権限が付与されているか
権限のレプリケーションが完了しているか(権限変更後30分待つ)
サイトやライブラリが継承を解除していないか
ユーザーのアカウントが有効か
解決策
権限の確認機能を使用して、ユーザーの権限を確認
必要に応じて適切な権限レベルを付与
継承を解除している場合は、直接そのレベルで権限を付与
問題2:権限が複雑すぎて管理できない
継承の解除を多用した結果、誰がどのファイルにアクセスできるのか分からなくなりました。
解決策
可能な限り継承に戻す
グループベースの権限管理に移行
権限監査ツールを使用して現状を把握
シンプルな権限構造を再設計
問題3:外部ユーザーがアクセスできない
外部ユーザーに共有したのに、アクセスできないと言われました。
確認すべきポイント
SharePoint管理センターで外部共有が有効になっているか
サイトレベルでも外部共有が許可されているか
招待メールが届いているか(迷惑メールフォルダも確認)
外部ユーザーが正しいMicrosoftアカウントでサインインしているか
解決策
SharePoint管理センターで外部共有設定を確認
招待を再送信
ユーザーに認証方法を確認してもらう
問題4:権限変更が反映されない
権限を変更したのに、ユーザーがまだ以前の権限でアクセスできてしまいます。
原因
ブラウザのキャッシュ
SharePointのレプリケーション遅延
複数の権限レベルが重複している(強い権限が優先される)
解決策
ブラウザのキャッシュをクリア
30分程度待ってから再確認
権限の確認機能を使用して、実際の権限を確認
重複する権限がある場合は、不要な方を削除
よくある質問と回答
Q1: SharePointグループとMicrosoft 365グループの違いは何ですか?
SharePointグループはSharePoint固有のグループで、SharePointサイトの権限管理にのみ使用されます。
Microsoft 365グループは、SharePoint、Teams、Outlook、Plannerなど、複数のMicrosoft 365サービスで共有されるグループです。
チームサイトの場合、Microsoft 365グループを使用することで、すべての関連サービスへのアクセスを一元管理できます。
Q2: フルコントロールと編集の違いは何ですか?
編集権限では、コンテンツの追加・編集・削除はできますが、サイトの設定変更や他のユーザーの権限管理はできません。
フルコントロール権限では、それらすべてが可能です。
一般的なチームメンバーには編集権限、サイト管理者にはフルコントロール権限を付与します。
Q3: 継承を解除すると何が起こりますか?
継承を解除すると、親の権限設定が独立したコピーとして引き継がれ、その後は親の権限変更の影響を受けなくなります。
継承を解除したオブジェクトの権限は、個別に管理する必要があります。
再度継承に戻すことも可能ですが、独自に設定した権限はすべて失われます。
Q4: 個別のファイルに権限を設定すべきですか?
個別ファイルへの権限設定は、本当に必要な場合(機密性の高い契約書など)にのみ使用してください。
多用すると、権限の全体像が把握しにくくなり、管理が煩雑になります。
可能であれば、機密ファイルは専用のライブラリやフォルダにまとめ、そのレベルで権限を管理することをおすすめします。
Q5: 外部ユーザーにはどの権限レベルを付与すべきですか?
原則として、最小限の権限から始めてください。
まずは「閲覧者」権限を付与し、必要に応じて「メンバー」権限に引き上げます。
外部ユーザーに「フルコントロール」権限を付与することは、セキュリティリスクが高いため避けるべきです。
Q6: 退職者の権限はどのように処理すべきですか?
退職者のMicrosoft 365アカウントが無効化されると、SharePointへのアクセスも自動的に拒否されます。
ただし、SharePointグループのメンバーリストには名前が残ります。
定期的な権限監査の際に、退職者をグループから削除して、権限の全体像を明確に保ちましょう。
Q7: 権限の変更はすぐに反映されますか?
通常は数分以内に反映されますが、SharePoint Online環境では最大30分程度かかる場合があります。
権限を変更した直後にアクセスできない場合は、30分程度待ってから再度試してもらいましょう。
また、ブラウザのキャッシュをクリアすることで解決することもあります。
Q8: SharePointの権限とファイルシステムの権限は連携しますか?
SharePointの権限は独立しており、Windowsファイルシステムの権限とは直接連携しません。
オンプレミスのSharePoint Serverを使用している場合、Active Directoryのセキュリティグループを活用できますが、権限の管理自体はSharePoint内で行います。
まとめ
SharePointのアクセス権付与について、重要なポイントをまとめます。
権限の基本構造
ユーザー/グループ + 権限レベル + オブジェクトの組み合わせで構成されます。
権限は親から子へ継承されます。
セキュリティトリミングにより、権限のないコンテンツは表示されません。
7つの標準権限レベル
フルコントロール:すべての操作が可能(所有者向け)
デザイン:サイトのカスタマイズが可能
編集:コンテンツの追加・編集・削除が可能(一般メンバー向け)
投稿:自分が作成したコンテンツのみ編集可能
読み取り:閲覧とダウンロードが可能(閲覧者向け)
表示のみ:閲覧のみ、ダウンロード不可
制限付きアクセス:システムが自動付与
効率的な権限管理
SharePointグループを活用して、個別ユーザーへの直接付与を避ける
既定グループ(所有者、メンバー、閲覧者)をまず活用
権限の継承を最大限活用し、継承の解除は最小限に
最小権限の原則を守る
権限付与の方法
サイトの共有:簡単な方法、既定グループに追加
高度なアクセス許可の設定:詳細な権限設定が可能
SharePointグループの作成:最も管理しやすい方法
PowerShell:大規模な一括操作に適している
外部共有
SharePoint管理センターで外部共有を有効化
最小権限(閲覧者)から開始
定期的な監査と不要な権限の削除
機密情報は外部共有を無効にしたサイトに保管
ベストプラクティス
最小権限の原則
グループベースの管理
権限の継承の活用
定期的な権限監査(3〜6ヶ月ごと)
権限ポリシーのドキュメント化
ユーザー教育
適切なアクセス権限の管理により、情報セキュリティを維持しながら、効率的なコラボレーション環境を実現できます。
権限は一度設定して終わりではなく、継続的な見直しと最適化が重要です。
コメント