SharePoint Server のセキュリティ グループの概要
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
個々のユーザーにではなくグループにアクセス許可レベルを割り当てると、SharePoint サイトのユーザー管理が簡単になります。 SharePoint グループは個々のユーザーのセットで、Active Directory ドメイン サービス (AD DS) グループも含めることができます。
Microsoft 365 のグループについて説明します。
概要
AD DS では、通常、次のグループを使用してユーザーを整理します。
配布グループ 電子メールの配布にのみ使用される、セキュリティ保護されていないグループです。 配布グループは、リソースとオブジェクトのアクセス許可の定義に使用される随意アクセス制御リスト (DACL) に入れることはできません。
セキュリティ グループ 随意アクセス制御リスト (DACL) に入れることができるグループです。 セキュリティ グループは電子メール エンティティとしても使用できます。
セキュリティ グループを使用すると、セキュリティ グループを SharePoint グループに追加し、SharePoint グループにアクセス許可を付与することで、サイトのアクセス許可を制御できます。 配布グループを SharePoint グループに追加することはできませんが、配布グループを拡張し、個々のメンバーを SharePoint グループに追加することはできます。 この方法を使用する場合、SharePoint グループと配布グループとの同期を手動で維持する必要があります。 セキュリティ グループを使用する場合、SharePoint アプリケーションで個々のユーザーを管理する必要はありません。 グループの個々のメンバーの代わりにセキュリティ グループを指定しているため、ユーザーは AD DS によって管理されます。
注:
セキュリティ管理上の利便性から、AD DS グループの管理の際に以下を実行しないことをお勧めします。 > AD DS グループにアクセス許可レベルを直接割り当てます。 > 入れ子になったセキュリティ グループ、連絡先、または配布リストを含むセキュリティ グループを追加する。
セキュリティ グループを追加するかどうかを決定する
セキュリティ グループを SharePoint グループに追加すると、グループおよびセキュリティを集中的に管理できます。 セキュリティ グループは、個々のユーザーを管理できる唯一の場所です。 セキュリティ グループを SharePoint グループに追加すると、その SharePoint グループのセキュリティ グループ メンバーを管理する必要がなくなります。 セキュリティ グループからユーザーを削除した場合、そのユーザーは SharePoint グループから自動的に削除されます。
ただし、SharePoint サイトでセキュリティ グループを使用すると、状況を十分に把握できなくなります。 たとえば、特定のサイトの SharePoint グループにセキュリティ グループを追加すると、そのサイトがユーザーの個人用サイトに表示されなくなります。 個々のユーザーは、サイトに投稿するまで、ユーザー情報リストに表示されません。 さらに、セキュリティ グループの入れ子構造が深い場合は、SharePoint サイトが機能しなくなる可能性があります。
上記の長所と短所を考慮したうえでの推奨事項を次に示します。
ユーザーが広範にアクセスするイントラネット サイトの場合は、イントラネット サイトのホーム ページにアクセスした個々のユーザーに注意を払うことがないため、セキュリティ グループを使用します。
少数のユーザーがアクセスするグループ作業サイトの場合は、SharePoint グループにユーザーを直接追加します。 この場合は、グループ メンバーが互いの電子メール アドレスと相互に連絡を取る方法を把握できるように、誰がメンバーであるかを知っておく必要性が高いからです。
サイトへのアクセスの許可に使用するセキュリティ グループを決定する
各組織では、セキュリティ グループの設定が異なります。 権限管理を簡単にするため、次のようなセキュリティ グループを選択します。
大規模で安定しているため、SharePoint サイトにセキュリティ グループを継続的に追加することはできません。
適切なアクセス許可の割り当てができる程度に小さい。
たとえば、"建物 2 のすべてのユーザー" という名前のセキュリティ グループは、2 の建物のすべてのユーザーが売掛金勘定書記などの同じジョブ機能を持たない限り、アクセス許可を割り当てるのに十分な小さくない可能性があります。 このシナリオはほとんど発生しません。 したがって、"売掛金勘定" など、より小さく、より具体的なユーザー セットを探す必要があります。
すべての認証されたユーザーにアクセスを許可するかどうかを決定する
ドメイン内のすべてのユーザーがサイト上のコンテンツを表示できるようにする場合は、認証されたすべてのユーザー (ドメイン ユーザー Windows セキュリティ グループ) へのアクセス権を付与することを検討してください。 この特別なグループを使用すると、ドメインのすべてのメンバーが、匿名アクセスを有効にする必要なく、(選択したアクセス許可レベルで) Web サイトにアクセスできます。
匿名ユーザーにアクセスを許可するかどうかを決定する
匿名アクセスを有効にすると、ユーザーはページを匿名で閲覧できます。 ほとんどのインターネット Web サイトではサイトを匿名で閲覧できますが、サイトを編集したり、ショッピング サイトで商品を購入する場合は、認証が求められます。 匿名アクセスは、既定で無効になっており、Web アプリケーションの作成時に Web アプリケーション レベルで許可する必要があります。
Web アプリケーションへの匿名アクセスを許可する場合、サイト管理者は、サイトまたはそのサイトのコンテンツのどちらに匿名アクセスを許可するかを指定できます。
匿名アクセスは、Web サーバー上の匿名ユーザー アカウントに依存します。 このアカウントの作成と管理は、SharePoint サイトではなく、インターネット インフォメーション サービス (IIS) によって行われます。 IIS の既定の匿名ユーザー アカウントは IUSR です。 匿名アクセスを有効にすると、このアカウントは実際に SharePoint サイトにアクセスできるようになります。 サイトへのアクセス、またはリストとライブラリへのアクセスを許可すると、匿名ユーザー アカウントにアイテムの表示権限が付与されます。 ただし、アイテムの表示権限があっても、匿名ユーザーには制限があります。 匿名ユーザーは以下の操作を行うことができません。
Office SharePoint Designer でサイトを開いて編集すること。
[マイ ネットワーク] にサイトを表示すること。
wiki ライブラリなどのドキュメント ライブラリのドキュメントのアップロードまたは編集。
重要
サイト、リスト、またはライブラリのセキュリティを強化するには、匿名アクセスを有効にしないでください。 匿名アクセスにより、ユーザーがリスト、ディスカッション、アンケートに投稿し、サーバーのディスク容量やその他のリソースが使い果たされる可能性があります。 さらに、匿名アクセスにより、匿名ユーザーがユーザーの電子メール アドレスやリスト、ライブラリ、ディスカッションに投稿した内容など、サイトの情報を検出することが可能になります。
アクセス許可ポリシーは、Web アプリケーションの一部のユーザーやグループだけに適用される一連の権限を構成および管理するための一元的な手段となります。 匿名ユーザーのアクセス許可ポリシーは、Web アプリケーションへの匿名アクセスを有効または無効にすることで管理できます。 Web アプリケーションへの匿名アクセスを有効にした場合は、サイト管理者がサイト コレクション、サイト、またはアイテム レベルで匿名アクセスを許可または拒否できます。 Web アプリケーションへの匿名アクセスを無効にした場合は、匿名ユーザーはその Web アプリケーション内のどのサイトにもアクセスできなくなります。
なし ポリシーはありません。 このオプションは既定のオプションです。 サイトの匿名ユーザーには、追加のアクセス許可の制限や追加は適用されません。
書き込み拒否 サイト管理者が匿名ユーザー アカウントに書き込み権限を特別に付与しようとしても、匿名ユーザーはコンテンツを書き込むことができません。
すべて拒否 サイト管理者が匿名ユーザー アカウントにサイトへのアクセスを特別に許可しようとしても、匿名ユーザーはアクセスできません。 アクセス許可ポリシーの詳細については、「 SharePoint Server で Web アプリケーションのアクセス許可ポリシーを管理する」を参照してください。