SharePoint Server のサイト権限の概要
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
この記事は、サイト コレクション、サイト、サブサイト、およびサイト コンテンツ (リストまたはライブラリ、フォルダー、アイテムまたはドキュメント) のレベルのアクセス制御の概念を理解するのに役立ちます。
概要
特定のサイトまたはサイト コレクション内の以下のレベルのサイト コンテンツに対する権限をユーザーまたはグループに割り当てることで、サイトとサイト コンテンツへのアクセスを制御できます。
サイト
ライブラリまたはリスト
フォルダー
ドキュメントまたはアイテム
サイトおよびサイト コンテンツへのアクセスについて計画を立案する前に、次の問題について考慮する必要があります。
サイトまたはサイト コンテンツへの権限をどの程度詳細に制御するか。 たとえば、サイト レベルでアクセスを制御するか、または特定のリスト、フォルダー、あるいはアイテムに対してより厳格なセキュリティを設定することが考えられます。
SharePoint グループを使用してユーザーをどのように分類して管理するか。 特定のサイトまたは特定のサイト コンテンツに対するアクセス許可レベルが割り当てられない限り、グループには権限が付与されません。 SharePoint グループにサイト コレクション レベルでアクセス許可レベルを割り当てると、既定で、そのアクセス許可レベルがすべてのサイトおよびサイト コンテンツに継承されます。
グループを使用してアクセス許可を管理する方法の詳細については、「 SharePoint Server のセキュリティ グループの概要」を参照してください。
サイトの権限について
権限の計画を設計する前に、次の概念を理解する必要があります。
権限 権限は、特定の操作の実行をユーザーに許可します。 たとえば、アイテムの表示権限を適用すると、ユーザーはリスト内やフォルダー内のアイテムの閲覧はできますが、アイテムの追加または削除はできません。 権限は、サイトまたはサイト コンテンツのレベルで個別のユーザーに許可できます。
使用できる権限の詳細については、「User permissions and permission levels (SharePoint Server 2010)」を参照してください。
詳細に設定された権限 詳細に設定された権限は、リストやライブラリ、フォルダー、アイテムやドキュメントに対する権限など、サイト階層の下位レベルにあるセキュリティ保護可能なオブジェクトに対する固有の権限です。 詳細に設定された権限を使用すると、サイト コレクションでのユーザー権限を詳細に指定し、カスタマイズできます。
アクセス許可レベル アクセス許可レベルは、一連の関連するタスクの実行をユーザーに許可する権限のコレクションです。 たとえば、読み取りアクセス許可レベルにはアイテムの表示、アイテムを開く、ページの表示、およびバージョンの表示などの権限が含まれ (他にもあります)、これらはすべて SharePoint サイトでページ、ドキュメント、アイテムを表示するために必要な権限です。 1 つの権限を複数のアクセス許可レベルに含めることができます。
アクセス許可レベルはサイト コレクションのレベルで定義され、権限の管理権限を含むアクセス許可レベルを持っているユーザーまたはグループであればカスタマイズできます。 アクセス許可レベルをカスタマイズする方法の詳細については、「 SharePoint Server でカスタム アクセス許可を構成する」を参照してください。
既定のアクセス許可レベルには、制限付きアクセス、読み取り、投稿、デザイン、およびフル コントロールがあります。 既定のアクセス許可レベル、および各レベルに含まれている権限の詳細については、「User permissions and permission levels (SharePoint Server 2010)」を参照してください。
SharePoint グループ SharePoint グループは、権限を簡単に管理できるようにサイト コレクション レベルで定義されているユーザーのグループです。 各 SharePoint グループには既定のアクセス許可レベルが割り当てられています。 たとえば、既定の SharePoint グループは所有者、閲覧者、メンバーであり、それぞれに既定のアクセス許可レベルとしてフル コントロール、読み取り、投稿が割り当てられています。 フル コントロールの権限を持つユーザーはカスタム グループを作成できます。
ユーザー ユーザーとは、Web アプリケーションがサポートする任意の認証プロバイダーからのユーザー アカウントを持つ人です。 サイトや特定のコンテンツに対する権限を個別のユーザーに直接許可することもできますが、ユーザーではなくグループに権限を割り当てることをお勧めします。 権限に関してユーザー アカウント単位で管理することは効率的ではないため、ユーザー単位での権限の割り当ては例外としてのみ行うようにしてください。
セキュリティ保護可能なオブジェクト セキュリティ保護可能なオブジェクトは、ユーザーまたはグループにアクセス許可レベルを割り当てることができるサイト、リスト、ライブラリ、フォルダー、ドキュメント、またはアイテムです。 既定では、サイト内のすべてのリストとライブラリは、サイトからアクセス許可を継承します。 リスト レベル、フォルダー レベル、アイテム レベルのアクセス許可を使用して、ユーザーがサイト コンテンツを表示または操作できる追加の制御を行うことができます。 そのセキュリティ保護可能なオブジェクトのアクセス許可を変更または割り当てる前に、まずアクセス許可の継承を解除する必要があります。 親リストまたはサイトからいつでもアクセス許可の継承を再開できます。
ユーザーまたはグループに、特定のセキュリティ保護可能なオブジェクトに対する権限を割り当てることができます。 ユーザー単位またはグループ単位で、セキュリティ保護可能なオブジェクトごとに異なる権限を設定できます。 次の図では、権限、ユーザーとグループ、セキュリティ保護可能なオブジェクトの間の関係を示します。
権限、ユーザーとグループ、セキュリティ保護可能なオブジェクトの間の関係
権限の継承について
サイト内のセキュリティ保護可能なオブジェクトの権限は、既定では親オブジェクトから継承します。 継承を解除し、詳細に設定された権限 (リストやライブラリ、フォルダー、アイテムやドキュメントのレベルで設定された一意な権限) を使用して、サイト上でユーザーが実行可能な操作を厳密に制御できます。
権限の継承を停止すると、グループ、ユーザー、およびアクセス許可レベルが親オブジェクトから子オブジェクトにコピーされ、継承が解除されます。 ユーザーの権限を削除すると、その変更は子オブジェクトに影響します。 削除は、継承の状態にかかわらず反映されます。 継承された権限を復元すると、子オブジェクトはそのユーザー、グループ、およびアクセス許可レベルを親から再び継承し、子オブジェクトに固有のユーザー、グループ、またはアクセス許可レベルは失われます。
管理を容易にするため、可能な場合は常に権限の継承を使用してください。
ヒント
継承を解除して詳細に設定された権限を使用する場合は、個別のユーザーを追跡しなくても済むように、グループを使用してください。 チーム内の人の出入りが激しく、責任範囲が頻繁に変わる場合、そうした変更を追跡し、セキュリティ設定が可能なオブジェクトごとに権限を更新するのは、時間がかかるだけでなくエラーが発生しやすくなります。