サイト権限を計画する (SharePoint Foundation 2010)
適用先: SharePoint Foundation 2010
この記事では、サイト コレクション、サイト、サブサイト、およびサイト コンテンツ (リストまたはライブラリ、フォルダー、アイテム、またはドキュメント) レベルでのアクセス制御の計画について説明します。また、権限の継承と、詳細に設定された権限の概念についても説明します。
サーバー全体またはサーバー ファームのセキュリティの計画については説明しません。認証方法、認証モードなど、他のセキュリティの側面の計画の詳細については、「認証方法を計画する (SharePoint Foundation 2010)」を参照してください。
この記事の内容
サイトの権限について
権限の継承について
サイトの権限を計画する
権限の継承を計画する
はじめに
サイト コレクション内の次のレベルで、特定のサイトやサイト コンテンツに対する権限をユーザーやグループに割り当てることにより、サイトやサイト コンテンツへのアクセスを制御できます。
サイト
ライブラリまたはリスト
フォルダー
ドキュメントまたはアイテム
サイトおよびサイト コンテンツへのアクセスについて計画を立案するにあたっては、次の問題について考慮する必要があります。
サイトまたはサイト コンテンツへの権限をどの程度詳細に制御するか。たとえば、サイト レベルでアクセスを制御するか、または特定のリスト、フォルダー、あるいはアイテムに対してより厳格なセキュリティを設定することが考えられます。
ユーザーの分類および管理に SharePoint グループをどのように使用するか。特定のサイトまたは特定のサイト コンテンツに対するアクセス許可レベルが割り当てられない限り、グループには権限が付与されません。SharePoint グループにサイト コレクション レベルでアクセス許可レベルを割り当てると、既定で、そのアクセス許可レベルがすべてのサイトおよびサイト コンテンツに継承されます。
グループを使用して権限を管理する方法の詳細については、「セキュリティ グループを選択する (SharePoint Foundation 2010)」を参照してください。
サイトの権限について
権限の計画を立案するにあたり、次の概念を理解する必要があります。
権限 権限は、特定の操作の実行をユーザーに許可します。たとえば、アイテムの表示権限を適用すると、ユーザーはリスト内やフォルダー内のアイテムの閲覧はできますが、アイテムの追加または削除はできません。権限は、サイトまたはサイト コンテンツ レベルで個々のユーザーに付与できます。
使用できる権限の詳細については、「ユーザー権限とアクセス許可レベル (SharePoint Foundation 2010)」を参照してください。
詳細に設定された権限 詳細に設定された権限とは、サイト階層の低いレベルにあるセキュリティ保護可能なオブジェクトに対する一意の権限で、リストまたはライブラリ、フォルダー、アイテムまたはドキュメントに対する権限などがあります。詳細に設定された権限を使用すると、サイト コレクションでのユーザー権限をさらに詳細に設定したり、ユーザー権限をカスタマイズしたりできます。
アクセス許可レベル アクセス許可レベルとは、関連する一連のタスクの実行をユーザーに許可する権限群です。たとえば、読み取りのアクセス許可レベルには、アイテムの表示、アイテムを開く、ページの表示、バージョンの表示などの権限があり、SharePoint サイトのページ、ドキュメント、およびアイテムを表示するには、これらの権限がすべて必要です。さまざまな権限をさまざまなアクセス許可レベルに含めることができます。
アクセス許可レベルは、サイト コレクション レベルで定義されます。"権限の管理" 権限を含むアクセス許可レベルが割り当てられたユーザーまたはグループは、アクセス許可レベルをカスタマイズできます。アクセス許可レベルのカスタマイズの詳細については、「カスタム権限を構成する (SharePoint Foundation 2010)」を参照してください。
既定のアクセス許可レベルは、制限付きアクセス、読み取り、投稿、デザイン、およびフル コントロールです。既定のアクセス許可レベルと、各レベルに含まれる権限については、「ユーザー権限とアクセス許可レベル (SharePoint Foundation 2010)」を参照してください。
SharePoint グループ SharePoint グループとは、権限の管理を容易にするために、サイト コレクション レベルで定義されるユーザーのグループです。各 SharePoint グループには既定のアクセス許可レベルが割り当てられます。たとえば、既定の SharePoint グループの所有者にはフル コントロール、閲覧者には読み取り、メンバーには投稿がそれぞれ既定のアクセス許可レベルとして割り当てられます。フル コントロールのアクセス許可レベルが割り当てられたユーザーはカスタム グループを作成できます。
ユーザー ユーザーとは、Web アプリケーションがサポートする認証プロバイダーからのユーザー アカウントを持つ人のことです。権限は、ユーザー単位ではなく、グループ単位で割り当てることをお勧めしますが、サイトや特定のコンテンツに対する権限はユーザー単位で直接付与することもできます。ユーザー アカウントを個別に保守するのは非効率なので、権限をユーザー単位で割り当てるのは例外的な処置としてください。
セキュリティ保護可能なオブジェクト セキュリティ保護可能なオブジェクトには、サイト、リスト、ライブラリ、フォルダー、ドキュメント、またはアイテムがあります。これらのオブジェクトに対するアクセス許可レベルをユーザーまたはグループに割り当てることができます。既定では、サイトに含まれるすべてのリストおよびライブラリは、サイトに付与された権限を継承します。リストレベル、フォルダーレベル、およびアイテムレベルの権限を使用して、サイト コンテンツを表示または操作できるユーザーをさらに詳細に制御できます。セキュリティ保護可能なオブジェクトに対する権限を変更または割り当てる場合は、まず、権限の継承を解除する必要があります。権限を親リストまたは親サイトから継承するように戻すことはいつでもできます。
ユーザーまたはグループに、特定のセキュリティ保護可能なオブジェクトに対する権限を割り当てることができます。ユーザー単位またはグループ単位で、セキュリティ保護可能なオブジェクトごとに異なる権限を設定できます。次の図は、権限、ユーザーとグループ、およびセキュリティ保護可能なオブジェクトとの関係を示しています。
権限の継承について
サイト内のセキュリティ保護可能なオブジェクトに対する権限は、既定で、親オブジェクトから継承されます。権限の継承を解除し、詳細に設定された権限 (リストやライブラリ、フォルダー、アイテム、ドキュメントのレベルで設定された一意の権限) を使用して、サイト上でユーザーが実行可能な操作を厳密に制御できます。詳細に設定された権限の使用に関するベスト プラクティスの詳細については、「詳細に設定されたアクセス許可の使用に関するベスト プラクティス (SharePoint 製品とテクノロジ)」を参照してください。
権限の継承を停止すると、グループ、ユーザー、およびアクセス許可レベルが親オブジェクトから子オブジェクトにコピーされ、その後、継承が解除されます。権限の継承を解除すると、権限はすべて明示的になり、親オブジェクトを変更しても子オブジェクトは影響を受けません。権限の継承を復元すると、子オブジェクトは再度、親オブジェクトからユーザー、グループ、およびアクセス許可レベルを継承し、子オブジェクトで一意に定義したユーザー、グループ、またはアクセス許可レベルはすべて失われます。
できるだけ権限の継承を使用して、管理を簡単にしてください。
ヒント
権限の継承を解除し、詳細に設定された権限を使用する場合は、個々のユーザーを追跡しなくても済むように、グループを使用してください。たとえば、チーム内の人の出入りが激しく、責任範囲が頻繁に変わる場合、そうした変更を追跡し、セキュリティ保護可能なオブジェクトごとに権限を更新するのは、時間がかかるだけでなくエラーが発生しやすくなります。
サイトの権限を計画する
権限を作成する際は、管理のしやすさやパフォーマンスと、個々のアイテムへのアクセスを制御する必要性との間でバランスを取る必要があります。詳細に設定された権限を広範囲に使用する場合は、権限の管理のためにより多くの時間がかかるので、ユーザーはサイト コンテンツにアクセスしようとしたときにパフォーマンスの低下を感じる可能性があります。
サイトの権限を計画するときは、次のガイドラインに従います。
最小限の特権を与えるという原則に従います。ユーザーには、割り当てられたタスクを実行するために必要最小限のアクセス許可レベルまたは個別の権限を付与します。
標準のグループ (メンバー、閲覧者、所有者など) を使用し、サイト レベルで権限を制御します。
大部分のユーザーをメンバー グループまたは閲覧者グループのメンバーにします。既定では、メンバー グループのユーザーは、サイトに投稿でき、アイテムやドキュメントの追加、削除を行うことができますが、サイトの構造を変更したり、サイトの設定や外観を変更したりすることはできません。閲覧者グループは、読み取り専用でサイトにアクセスできます。ページやアイテムを表示したり、アイテムやドキュメントを開くことはできますが、ページやアイテム、ドキュメントの追加や削除はできません。
所有者グループのメンバーを限定します。サイトの構造、設定、外観の変更を信頼して任せられるユーザーのみを所有者グループのメンバーにします。
個々の権限を割り当てるのではなく、アクセス許可レベルを使用します。
注意
-
ユーザーが実行する操作に対してより詳細に制御する必要のある場合は、SharePoint グループやアクセス許可レベルを新たに作成できます。たとえば、特定のサブサイトにおける読み取りアクセス許可レベルに通知の作成権限が含まれないようにするには、そのサブサイトの継承を解除し、読み取りアクセス許可レベルをカスタマイズします。
-
Microsoft SharePoint Foundation 2010 と SharePoint Server 2010 では、[権限の確認] を使用して、サイト コレクション内のすべてのリソースに対するユーザーやグループの権限を調べることができます。特定のサイトやサイト コンテンツに対する権限を確認することで、ユーザーに直接割り当てられている権限と、ユーザーがメンバーとして属しているグループに割り当てられている権限を把握できます。
権限の継承を計画する
権限および継承される権限の階層を明確にしておくと、簡単に権限を管理できます。サイト内の一部のリストに詳細な権限が適用されていて、一部のサイトに一意の権限を持つサブサイトと継承した権限を持つサブサイトが含まれる場合、管理は複雑になります。
たとえば、以下の表に示すように権限を継承しているサイトはより簡単に管理できます。
セキュリティ保護可能なオブジェクト | 説明 | 一意な権限または継承された権限 |
---|---|---|
SiteA |
グループのホーム ページ |
一意 |
SiteA/SubsiteA |
機密性の高いグループ |
一意 |
SiteA/SubsiteA/ListA |
機密性の高いデータ |
一意 |
SiteA/SubsiteA/LibraryA |
機密性の高いドキュメント |
一意 |
SiteA/SubsiteB |
グループで共有されるプロジェクト情報 |
継承 |
SiteA/SubsiteB/ListB |
機密性の低いデータ |
継承 |
SiteA/SubsiteB/LibraryB |
機密性の低いドキュメント |
継承 |
しかし、以下の表に示すように権限を継承しているサイトを管理するのは簡単ではありません。
セキュリティ保護可能なオブジェクト | 説明 | 一意な権限または継承された権限 |
---|---|---|
SiteA |
グループのホーム ページ |
一意 |
SiteA/SubsiteA |
機密性の高いグループ |
一意 |
SiteA/SubsiteA/ListA |
機密性の低いデータ |
一意。ただし SiteA と同じ権限 |
SiteA/SubsiteA/LibraryA |
機密性の低いドキュメント (ただし、1 つまたは 2 つの機密性の高いドキュメントを含む) |
継承 (ドキュメント レベルで一意な権限あり) |
SiteA/SubsiteB |
グループで共有されるプロジェクト情報 |
継承 |
SiteA/SubsiteB/ListB |
機密性の低いデータ (ただし、1 つまたは 2 つの機密性の高いアイテムを含む) |
継承 (アイテム レベルで一意な権限あり) |
SiteA/SubsiteB/LibraryB |
機密性の低いドキュメント (ただし、機密性の高いドキュメントを格納する専用フォルダーあり) |
継承 (フォルダーとドキュメントのレベルで一意な権限あり) |