企業のShareOnline環境で外部共有を管理する際、テナント全体で許可するのではなく、特定のサイトだけ外部ユーザーと共有したいケースがあります。すべてのサイトで外部共有を開放すると情報漏洩リスクが高まりますが、逆にまったく許可しないと取引先とのコラボレーションが停滞します。この記事では、SharePointで外部共有を許可するサイトを限定するための考え方や具体的な設定手順、注意点を詳しく解説します。
【要点】この記事で確認すること
- 最初に見る場所: SharePoint管理センターの「共有」設定と、対象サイトの「サイトの共有」設定の2階層を理解します。
- 切り分けの軸: テナントレベルの共有ポリシーとサイトレベルの共有設定の関係を把握し、どちらで制限すべきかを判断します。
- 注意点: 会社PCの管理者権限なしにテナント設定を変更できないため、作業前にIT管理者へ依頼する必要がある点を認識します。
ADVERTISEMENT
目次
サイトごとに外部共有を限定する必要性
SharePointで外部共有を許可する範囲を限定する理由は、機密情報の保護と業務効率のバランスにあります。テナント全体で外部共有を許可すると、すべてのサイトに外部ユーザーを招待できてしまうため、意図しない情報漏洩のリスクが高まります。一方で、外部との共同作業が必要なプロジェクトサイトや顧客ポータルなどでは、外部共有を有効にすることでスムーズなコラボレーションが実現します。
例えば、社内の人事関連サイトに外部の派遣会社を招待する必要はありません。しかし、製品開発のパートナー企業とファイルを共有するサイトでは、外部共有が必要です。つまり、サイトの用途やデータの機密性に応じて、外部共有の可否を個別に設定することが重要です。
また、外部共有を限定することで、管理者はどのサイトで外部ユーザーがアクセスしているかを把握しやすくなり、監査やコンプライアンスの要件にも対応できます。結果として、セキュリティポリシーを強化しながら、必要な外部連携だけを許可する運用が可能になります。
外部共有のレベルと管理者設定の全体像
SharePoint Onlineの外部共有設定は、テナントレベルとサイトレベルの2段階で構成されています。テナント管理者がSharePoint管理センターで設定する「共有」ポリシーが最上位の制限であり、各サイトの設定はこの範囲内でしか有効になりません。
テナントレベルでは、以下の4つのオプションから選択できます。
- 誰でも(ユーザー認証不要): リンクを知っていれば誰でもアクセス可能。最もリスクが高いため、通常は推奨されません。
- 新しい組織外ユーザーと既存の組織外ユーザー: Microsoftアカウントを持つ外部ユーザーを招待できます。ゲストユーザーとして管理されます。
- 既存の組織外ユーザー: すでにテナントにゲストとして登録されているユーザーとのみ共有可能。新規招待はできません。
- 組織内ユーザーのみ: 外部共有を完全に禁止します。
サイトレベルの設定では、テナントで許可されている範囲内で、さらに細かい制限をかけられます。例えば、テナントが「新しい組織外ユーザーと既存の組織外ユーザー」を許可していても、特定のサイトでは「組織内ユーザーのみ」に制限できます。逆に、テナントで「組織内ユーザーのみ」に設定していると、個別サイトで外部共有を許可することはできません。
つまり、外部共有をサイトごとに限定するには、まずテナントレベルで最低限必要な外部共有のレベル(通常は「新しい組織外ユーザーと既存の組織外ユーザー」)を設定し、その後、許可したいサイトだけサイト設定で外部共有を有効にします。デフォルトではすべてのサイトがテナント設定を継承するため、不要なサイトは明示的に制限する必要があります。
サイトレベルで外部共有を許可する方法
ここでは、特定のサイトコレクションに対して外部共有を許可する手順を、サイトコレクション管理者とテナント管理者の両方の立場で説明します。
サイトコレクション管理者が設定する場合
- 対象のSharePointサイトにアクセスし、右上の歯車アイコン(設定)をクリックして「サイトの権限」を選択します。
- 「共有」タブをクリックします。
- 「外部共有」セクションで、テナントポリシーで許可されている範囲内のオプションを選択します。通常は「新しい組織外ユーザーと既存の組織外ユーザー」または「既存の組織外ユーザー」を選びます。
- 「保存」をクリックして設定を反映します。
- 設定後、テストユーザーで外部共有リンクが正常に機能するか確認します。
注意点として、この設定はサイトコレクション管理者権限が必要です。また、テナントレベルで外部共有が許可されていない場合は、オプションがグレーアウトして選択できません。
テナント管理者が特定サイトのみ許可する場合
- SharePoint管理センター(https://admin.microsoft.com/SharePoint)にアクセスします。
- 左メニューから「ポリシー」→「共有」をクリックし、テナント全体の外部共有レベルを必要に応じて設定します。最低限「新しい組織外ユーザーと既存の組織外ユーザー」にしておきます。
- 「サイト コレクションの一覧」または「アクティブなサイト」から、外部共有を許可したいサイトをクリックします。
- サイトの詳細パネルで「設定」タブを開き、「外部共有」を展開します。
- テナントレベルと同じかそれ以下の共有レベルを選択します。例えば、テナントが「新しい組織外ユーザー」を許可している場合、このサイトでは「既存の組織外ユーザー」に制限することも可能です。
- 「保存」をクリックします。複数のサイトを一括で設定したい場合は、PowerShellを使用する方法もあります。
テナント管理者は、サイトごとに設定を上書きできるため、厳格な制御が可能です。ただし、変更が多くなると管理が煩雑になるため、事前にポリシーを明確にしておくことをおすすめします。
サイトごとに設定する際の判断基準と比較表
どのサイトで外部共有を許可すべきかは、サイトの目的とデータの機密性によって異なります。以下の表を参考に、適切な設定を選んでください。
| サイトの種類 | 推奨外部共有設定 | 理由 |
|---|---|---|
| プロジェクトサイト(パートナー共同作業) | 新しい組織外ユーザーと既存の組織外ユーザー | 頻繁に新しい外部メンバーを追加する必要があるため |
| 顧客ポータル(サポート案件共有) | 既存の組織外ユーザーのみ | 顧客はすでにゲストとして登録済みの場合が多いため |
| 社内マニュアルサイト | 組織内ユーザーのみ | 外部に公開する必要がないため |
| 人事関連サイト | 組織内ユーザーのみ | 給与情報など機密性が高いため |
| 部門間共有サイト(プロジェクト横断) | 組織内ユーザーのみ | 社内メンバーだけで完結するため |
この表はあくまで目安です。実際のポリシーは組織のセキュリティ要件に応じて調整してください。また、一度設定したら終わりではなく、サイトの用途変更に合わせて定期的に見直すことが重要です。
よくある失敗パターンと対策
外部共有の限定設定でよく発生する失敗パターンを3つ紹介します。
失敗1: テナント設定を変更せずにサイト設定だけ変更しようとする
サイトコレクション管理者が外部共有を有効にしようとしても、テナントレベルで「組織内ユーザーのみ」に設定されていると、サイト設定で変更できません。対策として、まずテナント管理者に依頼してテナントの共有ポリシーを緩和してもらう必要があります。
失敗2: 外部共有を許可したサイトで、意図しない外部ユーザーがアクセスできる
外部共有を許可すると、サイトメンバーが自由に外部ユーザーを招待できるようになります。その結果、招待された外部ユーザーが他のサイトにアクセスできないよう、ゲストユーザーのアクセス範囲を制限する設定(Azure ADの外部コラボレーション設定)も併せて確認する必要があります。
失敗3: 外部共有の設定を変更した後、既存の外部ユーザーに影響が出ないことを確認していない
既存の外部ユーザーがすでにアクセスしているサイトで、外部共有を「組織内ユーザーのみ」に変更すると、その外部ユーザーはアクセスできなくなります。変更前に、影響を受けるユーザーをリストアップし、必要に応じて事前に通知しましょう。
管理者に確認すべきことと再発防止
外部共有をサイトごとに限定する運用を始める前に、IT管理者に以下の点を確認しておくとスムーズです。
- 現在のテナントレベルの外部共有ポリシー(誰でも、新規ゲスト許可、既存のみ、禁止)
- ゲストユーザーのアクセス制限(Azure ADの外部コラボレーション設定で、ゲストが他のサイトを見られないようにしているか)
- 外部共有の監査ログやレポートの有無(誰がいつ外部共有したかを追跡できるか)
- サイトごとの設定変更を誰が行えるか(サイトコレクション管理者権限の委任範囲)
再発防止のためには、外部共有の設定ルールをドキュメント化し、定期的なレビューを実施することが効果的です。また、SharePointのグループ化機能を利用して、特定の用途のサイトごとに設定を統一することも検討してください。
よくある質問(FAQ)
Q1: テナントレベルで外部共有を禁止しているのに、特定のサイトだけ許可したい場合はどうすればいいですか?
テナントレベルで「組織内ユーザーのみ」に設定していると、サイトレベルの設定で外部共有を有効にできません。そのため、サイト限定で外部共有を行うには、テナントレベルをいったん「新しい組織外ユーザーと既存の組織外ユーザー」に変更し、許可しないサイトを個別に「組織内ユーザーのみ」に設定する方法を取ります。ただし、テナント全体を緩めることに抵抗がある場合は、条件付きアクセスポリシー(Azure AD Premiumが必要)で特定のサイトだけ外部アクセスを許可する方法もあります。
Q2: 外部ユーザーが共有リンクを使ってファイルにアクセスできるのは、自分が招待されたサイトだけですか?
はい、外部ユーザー(ゲスト)は、自分が招待されたサイトまたはフォルダにのみアクセスできます。ただし、ゲストが組織のディレクトリに追加されている場合、テナントの設定によっては他のリソースにアクセスできる可能性があります。そのため、Azure ADの「外部コラボレーション設定」でゲストユーザーのアクセスを制限することをおすすめします。
Q3: サイトごとの外部共有設定を変更した際、既存の共有リンクはどうなりますか?
外部共有を「組織内ユーザーのみ」に変更すると、それまで発行された外部向けの共有リンクは無効になります。つまり、リンクを知っている外部ユーザーはアクセスできなくなります。逆に、外部共有を有効にした場合は、新たに外部ユーザーを招待できるようになりますが、既存のリンクはそのまま有効です。
まとめ
SharePointで外部共有を許可するサイトを限定するには、テナントレベルとサイトレベルの2階層の設定を理解し、まずテナントで必要な共有レベルを許可した上で、個別サイトで制御するのが基本です。サイトの用途に応じて適切な設定を選び、不要なサイトでは外部共有を無効にすることで、セキュリティと利便性を両立できます。設定変更の際は、既存の外部ユーザーへの影響を事前に確認し、管理者と連携しながら進めてください。定期的な見直しと監査を行うことで、より安全な外部共有環境を維持できます。
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Excel】文字が入っているセルの「個数」を数える!COUNTA関数の簡単な使い方
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Outlook】予定表の「祝日」が表示されない!最新カレンダーの追加と二重表示の修正手順
- 【Teams】画面共有時に「音声」も共有する方法!音が流れない時の設定手順
