SharePoint セキュリティを重視した初期設定まとめ – 外部共有や接続制限など

Microsoft365契約後、すぐに使えるようになるSharePoint Onlineですが、運用開始後に「あれ？このサイトのセキュリティ大丈夫？」という問題に必ずぶち当たります。

サービス名が表す通り、情報共有を行うための多くの機能が備わっており、今やテレワーク環境において必須のツールであるTeams、動画コンテンツの配信に欠かさないStreamなど、SharePoint Onlineの技術をコアとしたサービス展開が行われており、運用する側としては守るべき重要なサービスと心得る必要があると考えます。

今回は運用を開始する前に確認しておくべき設定項目について、まとめていきたいと思います。

外部共有をどうするか
接続元IPアドレスやデバイスで接続制限を行う
多くのサイトを統括管理するための初期設定
アイテム保持ポリシーで有事に備える
まとめ

外部共有をどうするか

まず一番に考えなければならないのが情報を共有する範囲です。

SharePoint Onlineは前述の通り情報共有を目的としたサービスですが、企業風土や用途によっては、あまり共有可能な範囲を広げないほうが良いこともあります。

SharePoint Onlineの外部共有の設定は[SharePoint 管理センター]-[ポリシー]-[共有]にあります。

SharePoint Onlineの技術と統合されたOneDriveの設定と共通となっており、デフォルトではすべて開放という設定となっています。

説明欄に記載されている「サインインが必要ないリンク」とは発行した共有リンクのURLさえ知っていれば誰でも認証なしにアクセスできてしまうというリンクです。

オンラインストレージなどで良く利用されるこの「サインインが必要ないリンク」は、社内ポータルサイトなどの用途に多く利用されるSharePoint Onlineで設定しておくのは少し危険な気がします。

ここで問題となるのが前述のOne Driveです。
One Driveは外部とのデータ授受に有用な機能です。
しかしSharePoint Onlineに取り込まれたOne DriveはSharePoint Onlineの公開範囲を超えることはできないのです。

SharePoint Onlineの利用範囲を狭めると、一緒にOneDriveの利用範囲も狭まります。

ここで決断に迫られます。
SharePoint Onlineのセキュリティを強めようとするとOneDriveの利便性を損ないます。
どっちを取るかです。

わたしはSharePoint Onlineは社内ポータルサイトとして活用したいため、「自分の組織内のユーザーのみ」という設定を採用しました。

外部との情報共有はMicrosoft365以外のサービスを使うことで棲み分けができ、セキュリティレベルが増すと考えました。

接続元IPアドレスやデバイスで接続制限を行う

SharePoint Onlineにおいては独自の接続制限設定があります。
設定個所は[SharePoint 管理センター]-[ポリシー]-[アクセスの制御]です。

これらアクセス制御の設定を行うことでVPN経由のアクセスや準拠デバイスだけを許可するというセキュアな構成が可能となります。

なお、ここで設定できる項目はAzure AD Premium P1の機能である「制限付きアクセスポリシー」と被ります。Azure AD Premium P1はMicrosoft 365 Business Premium、E3、E5 や EMS E3 および E5に含まれます。

ライセンスを保有しており制限付きアクセスポリシーを使えるのであれば、高機能な制限付きアクセスポリシーで制御を行うことをお勧めします。その際、このアクセス制御の設定は空にしておきましょう。後々、どちらのポリシーが効いているのか混乱してしまいます。

制限付きアクセスポリシーについては重要な機能であるため、このサイトでも別途ご紹介したいと考えています。

多くのサイトを統括管理するための初期設定

続いてSharePoint Onlineの機能に関する設定です。
この辺りは運用を開始した後で変更すると利用者への周知やマニュアルの修正など面倒なことになりますので、運用開始前に決定してしまいましょう。

設定は[SharePoint 管理センター]-[設定]で行えます。

サイトのストレージ上限

作成するサイトに割り当てられるストレージの上限に関する設定です。
ここは「手動」設定に変更しておくことをお勧めします。

デフォルトの「自動」ではサイトの上限値＝テナントの上限値が設定され、すべてのサイトの利用容量の合計がテナントに割り当てられたストレージ容量の上限値に到達するまで利用可能という設定になります。

「手動」に設定することでサイト毎の設定画面にストレージ上限という項目が表示されるようになり、ここで個別にストレージの上限値を設定することができるようになります。

運用途中から制限をかけ始めるとクレームも出ますのであらかじめ設定しておきましょう。

サイトの作成

次にサイトの作成に関する設定です。
特に重要なのはチームサイトを作成するフォルダの選択とタイムゾーン、新しいサイトの既定のストレージ上限です。

Teamsで山のように作られるチームサイトとポータルサイト構築に使われるコミュニティサイトはフォルダで分けておいた方が識別しやすいため、チームサイトの作成先は「/teams/」に設定します。

タイムゾーンはデフォルト値が「(UTC-08:00)太平洋標準時(米国およびカナダ)」となっていたため「(UTC+09:00)大阪、札幌、東京」に変更しました。

新しいサイトの既定のストレージ上限は前項の「サイトのストレージ上限」を「手動」に設定することで現れる項目です。
ここで設定する値はTeamsで作成されるチームサイトにも適用されるため、しっかりとサイジングを行い適度な容量を設定しておきましょう。

参考

SharePoint Onlineで作成できるサイトは「チームサイト」と「コミュニティサイト」の2種類があり、それぞれ用途が異なってきます。
ファイルの共同編集などチームや組織内でのプロジェクト管理に向いているのが「チームサイト」でTeamsでチームを作成した際にもバックグラウンドで「チームサイト」が作成されます。
一方、「コミュニティサイト」はニュースの発行など大人数での情報共有に向いており、ポータルサイトの構築などは「コミュニティサイト」の方が良く使われます。

ページ

続いて作成するページの設定です。
SharePoint Onlineの用途により適切に設定を行いましょう。
モダンサイトの運用を行うならコメント機能は可能な限り活用していきたいところです。
これも後から外すとなると面倒な機能ですね。

ホームサイト

ホームサイトとは組織内で唯一の特別なサイトで、全社ポータルサイトなどがこれに当たると思います。
ここでホームサイトを設定しておくとSharePoint アプリバーから誘導が行えるようになるなど様々なメリットがあります。

ホームサイトの詳細についてはこちらに詳しく説明が書かれています。

organizationのホームサイトを計画、構築、起動する

organizationのメインランディングサイトを計画、構築、起動する方法について説明します。

その他の設定

この他、「既定の管理センター」や「モバイルアプリの通知設定」などの設定がありますが、必要に応じて設定しておきましょう。

アイテム保持ポリシーで有事に備える

アイテム保持ポリシーとはSharePointで扱われたページやファイルなどのアイテムをいつまで保持しておくかという設定となります。
例えば情報漏洩や改ざんなどのインシデントが発生した場合、既にそのデータがSharePoint Onlineから削除されていたとしても後から捜索を行うことが可能となりますので、是非有事に備え設定しておきたいところです。

保持ポリシーはMicrosoft 365 管理センターより「コンプライアンス」をクリックし、遷移した先のMicrosoft Purviewで設定を行います。

今回は作成済みのポータルサイトの保持ポリシーを作成してみます。

[データライフサイクル管理]-[Microsoft 365]-[アイテム保持ポリシータブ]を開き、「＋新しいアイテム保持ポリシー」をクリックします。