• 操作環境：
• OS：Windows 11
• Webブラウザー：Edge
• 使用プラン：Microsoft 365 Business Premium(試用版)

 

• SharePointドキュメントのアクセス制御方法
• ドキュメントフォルダー アクセス権設定(メンバー)
• ドキュメントフォルダー アクセス確認(メンバー)
• ドキュメントフォルダー アクセス権設定(外部ユーザー)
• ドキュメントフォルダー アクセス確認(外部ユーザー)
• IRM有効化、ドキュメントライブラリーへのIRM設定
• IRM設定済ドキュメントライブラリーへのアクセス確認
• おわりに

 

SharePointドキュメントのアクセス制御方法

SharePoint Online上のドキュメントに対するアクセス制御の方法は、以下の三種類あり、この記事では比較的導入が容易な一番目と二番目を紹介します。

 

ドキュメントフォルダー アクセス権設定(メンバー)

まずは一番目のアクセス制御方法(通常の設定)を紹介します。
SharePointのドキュメントフォルダーは、前の記事で作成したTeamsのチーム「Project_A」の標準ライブラリー内に用意します。

 

システム管理者でSharePointの対象ドキュメントフォルダーにアクセスし、[新規>フォルダー]を選択します。
フォルダー名を入力し、[作成]を選択します。

 

作成したサブフォルダーの[…]を選択し、[共有]を選択します。

 

[グループ]タブを選択し、メンバーの行を選択します。
アクセス権選択より[ダウンロードできません]を選択します。
[適用]を選択します。

 

メンバーと同様に、閲覧者もアクセス権を[ダウンロードできません]に変更します。

 

ドキュメントフォルダー アクセス確認(メンバー)

アクセス権を設定したサブフォルダー内のファイルに、所有者権限を持つユーザー(この例ではシステム管理者)でアクセスしてみます。
設定通り、編集できる状態です。

 

同じファイルに、メンバー権限を持つユーザー(この例ではUser Aaaさん)でアクセスしてみます。
印刷・ダウンロードできない旨のメッセージが表示され、確かにそうなっています。

 

ドキュメントフォルダー アクセス権設定(外部ユーザー)

前の記事では外部ユーザーをチームメンバーとして招待する方法を紹介しましたが、今回は特定のフォルダー以下に外部ユーザーのアクセス権を付与する方法を紹介します。
Teamsでの投稿やグループメールによるコミュニケーションが不要で、ドキュメント共有だけ必要な場合は、今回の方法が適していると思います。また、今回の方法は、前の記事と違って、Microsoft Entraにゲストユーザーとして招待していなくても使用できます。

 

システム管理者で工程2で作成したサブフォルダーの[…]を選択し、[共有]を選択します。
外部ユーザーのメールアドレスと招待メッセージを入力し、メールアドレス右のアクセス権選択から[ダウンロードできません]を選択し、[送信]を選択します。

 

招待した旨のメッセージが表示されれば、外部ユーザーに招待メールが送信されています。
参考まで、[リンク]タブを選択すると、外部ユーザー用のリンクと外部ユーザー名が表示されます。外部ユーザーが招待メールを見つけられない場合や誤ってメールを削除した場合は、このリンクを案内すればフォルダーにアクセスできます。また、外部ユーザー名の右の[×]印を選択すると、アクセス権を削除できます。

 

こちらは参考情報です。
画面はMicrosoft Entra管理センターのユーザー一覧で、外部ユーザーの見え方を比較したものです。一行目が前の記事でこの画面から招待したゲストユーザー、二行目が今回ドキュメントフォルダーにアクセス許可の設定をした外部ユーザーです。

 

ドキュメントフォルダー アクセス確認(外部ユーザー)

外部ユーザー(YYYさん)のメールボックスに招待メールが届いています。フォルダー名または[開く]を選択します。
外部ユーザーが今使用しているメールアドレスを入力し、[次へ]を選択します。

 

Microsoftのサインイン画面が表示されたら、再び外部ユーザーが今使用しているメールアドレスを入力し、[次へ]を選択します。
外部ユーザーのメールボックスに確認コードが届きますので、これをコピーします。

 

図表5-2でコピーした確認コードをペーストし、[サインイン]を選択します。
[承諾]を選択します。

 

招待されたフォルダーにアクセスできました。
フォルダーにあるファイルを選択して開いてみると、印刷・ダウンロードできない旨のメッセージが表示され、確かにその通りでした。

一番目のアクセス制御方法(通常の設定)の紹介は以上となります。

 

 

IRM有効化、ドキュメントライブラリーへのIRM設定

ここから二番目のアクセス制御方法(IRM)を紹介します。

 

システム管理者でMicrosoft 365管理センターにアクセスし、左メニューの[すべて表示]を選択します。
展開された左メニューの[SharePoint]を選択します。

 

左メニューの[設定]を選択し、画面下部の[クラシック設定ページ]を選択します。

 

画面中央部の[Information Rights Management(IRM)]について、[構成でステイしたIRMサービス]を使うを選択します。
[IRM設定の更新]を選択します。
[設定が正常に更新されました]と表記されたら、画面下部の[OK]を選択します。
これでテナント全体でIRMが使用できる状態になりました。

 

左メニューの[サイト>アクティブなサイト]を選択し、対象のドキュメントライブラリーのあるサイト(この例では[Project_A])を選択します。
[サイトの表示]を選択します。

 

この例では、一番目の方法で使用した既存のドキュメントフォルダーとは別に、保護付きドキュメントというライブラリーを新設し、IRMの設定(印刷禁止・ダウンロードしたファイルのアクセス期限1日以内)を行います。

 

[新規>ドキュメントライブラリ]を選択します。
[空のライブラリ]を選択します。
ライブラリ名を適宜入力し、[作成]を選択します。

 

左メニューの作成したライブラリを選択し、右上の歯車アイコンを選択し、[ライブラリの設定]を選択します。
[その他のライブラリ設定]を選択します。

 

[権限と管理]の[Information Rights Management]を選択します。

 

この例では以下のように設定し、[OK]を選択します。

• ダウンロード時にこのライブラリの権限を制限する：オン
• タイトル・説明：(設定内容が分かる文言を入力)
• ダウンロード後、ドキュメントのアクセス権はこの日数後に失効する：1

 

IRM設定済ドキュメントライブラリーへのアクセス確認

IRMを設定したドキュメントライブラリーにファイルをアップロードし、このサイトの所有者やメンバー(ゲストユーザー含む)でアクセスしてみます。

IRMの件名とタイトルがメッセージ表示されます。サインイン情報で隠れてしまっていますが、右上の[デスクトップで開く]を選択します。

 

確認メッセージが表示されたら、[とにかく開く]を選択します。
デスクトップアプリでファイルが開かれ、編集できるようになっています。

 

この例ではIRMで印刷を許可していません。印刷メニューは選択できないようになっており、エクスポートメニューは選択はできますが、実行しても機能しません(エクスポートできません)。

 

この例ではIRMでダウンロードしたファイルのアクセス期限を1日に設定しています。ダウンロードは可能ですが、期限が切れると、このファイルにはアクセスできなくなります。
エクスプローラ上でコピーファイルを作成しても、同じ制約を受けます。

 

最後に一点補足します。
IRMのライセンスを保有していない(*)ユーザーがIRMドキュメントにアクセスした場合の挙動についてです。

 

ドキュメントライブラリーからファイルを開き、[デスクトップで開く]を選択します。

 

[ここから続行します]⇒[とにかく開く]を選択すると、サインイン画面に遷移します。
その後、確認コードの入力を要求されて対応しても、アクセス期限が切れたときと同じメッセージが表示され、以降繰り返しとなり、ファイルを編集できません。

 

IRMのライセンスがないユーザーがファイルを編集する場合は、一度ファイルをダウンロードし、ローカルで編集してからこれをアップロードします。

 

二番目のアクセス制御方法(IRM)の紹介は以上となります。

 

おわりに

機密性の高いドキュメントを特にゲストユーザーを含んだチーム内で共有する場合、IRMは便利です。しかし、設定画面がアクセスしづらい箇所にあり分かりにくかったり(使用する意思を持っていないと、この機能に気付かない気がします)、IRMのライセンスがないと一度ファイルをローカルにダウンロードしないといけないので操作が煩雑だったりします。ユーザー向けに簡単なマニュアルを用意すると運用しやすいです。

 

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com

elmgrn.hatenablog.com