OneDrive for Businessの利用制限する方法
Office 365(エクセルなど)は使わせたいが、OneDrive(クラウド)上にデータを保存させてくないという要望がたまに出ます。
目次
OneDrive for Business の新規作成を制限する方法について
事前準備 : OneDrive for Business を作成可能とするメンバーを追加するセキュリティ グループを作成する
--------------------------------------------------------------------------------------------------
以下のリンク先ページの "管理センターでセキュリティ グループを管理する" セクションより、セキュリティ グループの作成方法を確認ください。
※ セキュリティ グループに登録するユーザーは 0 でも問題ありあません。
タイトル : Microsoft 365 管理センターでセキュリティ グループを作成、編集、削除する
アドレス : https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fmicrosoft-365%2Fadmin%2Femail%2Fcreate-edit-or-delete-a-security-group&data=05%7C02%7Csupportmail1%40microsoft.com%7Cc22f24577452449d5c1408dcd6ee9b8a%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638621567539085947%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=22cJHkdgW7UFxm39VnJAFgs85zBXnOyW4xLrYfXeGPA%3D&reserved=0
手順 : OneDrive for Business の新規作成をさせず、特定のグループのみに作成を許可する
-----------------------------------------------------------------------------------
1) テナントの全体管理者または SharePoint 管理者権限アカウントにて、Microsoft 365 ポータル (https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fportal.office.com%2F&data=05%7C02%7Csupportmail1%40microsoft.com%7Cc22f24577452449d5c1408dcd6ee9b8a%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638621567539104084%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=o88%2FS%2B6uKp%2FYLnjZ4B78MuqxWKsiY3qqnAloWtr8TXo%3D&reserved=0) にサインインします。
2) 画面左上のアプリ起動ツールから [管理] をクリックし、Microsoft 365 管理センターにアクセスします。
3) 画面左側メニューの [管理センター] から [SharePoint] をクリックし、SharePoint 管理センターにアクセスします。
※ [管理センター] が表示されていない場合は、[すべて表示] をクリックすると表示されます。
4) 画面左側メニューの [その他の機能] をクリックし、"ユーザー プロファイル" セクションの [開く] をクリックします。
5) "ひと" セクションの [ユーザー権限の管理] をクリックします。
6) 上述の事前準備で作成したセキュリティ グループ名を入力し、ひとアイコンをクリックし、セキュリティ グループを認識させた状態で、[追加] をクリックします。
7) 一番下のボックスのタイトルが "<セキュリティ グループ名> に対する権限" と表示されていることを確認し、下記の 3 箇所にチェックを入れます。
- 個人用サイトを作成する (個人用データ ファイル、ニュース フィード、フォロー対象のコンテンツのために必要)
- ユーザーのフォローとプロファイルの編集 (本項目は表示のみで、機能はしておりません。)
- タグとメモを使用する (本項目は表示のみで、機能はしておりません。)
8) 中央のボックスに戻り、[外部ユーザー以外のすべてのユーザー] を選択します。
9) 一番下のボックスのタイトルが "外部ユーザー以外のすべてのユーザーに対する権限" と表示されていることを確認し、下記の 3 箇所のチェックを外します。
- 個人用サイトを作成する (個人用データ ファイル、ニュース フィード、フォロー対象のコンテンツのために必要)
- ユーザーのフォローとプロファイルの編集 (本項目は表示のみで、機能はしておりません。)
- タグとメモを使用する (本項目は表示のみで、機能はしておりません。)
10) [OK] をクリックします。
※ 以上の設定後、反映までに最大 48 時間かかる場合があります
※ 設定反映後、新規ユーザーが OneDrive for Business にアクセスしても、Delve というプロファイル画面が表示され、OneDrive for Business にはアクセスできない動作となります
<参考情報>
タイトル : SharePoint 管理センターから SharePoint Online ユーザー プロファイルを管理する
アドレス : https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fsharepoint%2Fmanage-user-profiles&data=05%7C02%7Csupportmail1%40microsoft.com%7Cc22f24577452449d5c1408dcd6ee9b8a%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638621567539115215%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=n0CRGVeMd2msk52%2BXUbZ1ohcCEnNeMYyarj7BTRwuC0%3D&reserved=0
※ "一部のユーザーの OneDrive の作成を無効にする" セクションをご確認ください。
既に利用を開始している OneDrive for Business を禁止制限する方法について
※ 本手順にてロックすると OneDrive for Business の内容はそのまま残りますが、既に Microsoft Teams のチャットにアップロード済みのファイルなど、保存先が OneDrive for Business になっているファイルに関しましてもアクセスができなくなります。
※ 必要なファイルはアクセスロックを実施する前にダウンロードしてください。
事前準備 SharePoint Online Management Shell でSharePoint Online に接続する。
手順 1 : OneDrive for Business の一覧を取得する
手順 2 : OneDrive for Business のアクセスをロックする
◇ 事前準備 SharePoint Online Management Shell でSharePoint Online に接続する。
------------------------------------------------------------
OneDrive for Business の利用を制限するには、PowerShell のコマンドレットにて設定を実施していただく必要あります。
本項目では、PowerShell で SharePoint Online を操作する際に必要な SharePoint Online Management Shell のインストールならびに、PowerShell でSharePoint Online に接続する手順について記載します。
▼ SharePoint Online Management Shell をインストールする
--------------------------------------------------------
※ 既に SharePoint Online Management Shell が端末にインストールされている場合、本手順は不要です。
タイトル : SharePoint Online Management Shell
アドレス : https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.microsoft.com%2Fen-us%2Fdownload%2Fdetails.aspx%3Fid%3D35588&data=05%7C02%7Csupportmail1%40microsoft.com%7Cc22f24577452449d5c1408dcd6ee9b8a%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638621567539126200%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=vraV2Y%2FUJ655VlYbPnzr1cbkIZfkBXQ%2BpsdBejp21Ms%3D&reserved=0
▼ PowerShell で SharePoint Online へ接続する
---------------------------------------------
1) PowerShell を起動します。
2) SharePoint 管理センターに接続をするため、以下のコマンドを入力し、[Enter] キーを押下します。
構文 : Connect-SPOService -Url https://<テナント名>-admin.sharepoint.com
コマンド例 : テナント名が "contoso" の場合は以下になります。
Connect-SPOService -Url https://contoso-admin.sharepoint.com/?xsdata=MDV8MDJ8c3VwcG9ydG1haWwxQG1pY3Jvc29mdC5jb218YzIyZjI0NTc3NDUyNDQ5ZDVjMTQwOGRjZDZlZTliOGF8NzJmOTg4YmY4NmYxNDFhZjkxYWIyZDdjZDAxMWRiNDd8MXwwfDYzODYyMTU2NzUzOTEzNzA0M3xVbmtub3dufFRXRnBiR1pzYjNkOGV5SldJam9pTUM0d0xqQXdNREFpTENKUUlqb2lWMmx1TXpJaUxDSkJUaUk2SWsxaGFXd2lMQ0pYVkNJNk1uMD18MHx8fA%3d%3d&sdata=QW1NWFlRWUUzZWZyVjlQSzVNdmlKKzlUY05TU3FxZG9WQ0xsMHplc2ZpMD0%3d
3) "アカウントにサインイン" のダイアログが表示されますので、全体管理者アカウントにてサインインします。
◇ 手順 1 : OneDrive for Business の一覧を取得する
--------------------------------------------------
SharePoint Online Management Shell にて以下のコマンドを実行し、既に利用されている OneDrive for Business の一覧を CSV で出力します。
※ 書式は改行せずに利用してください。
書式 :
Get-SPOSite -IncludePersonalSite $true -Limit All -Filter "Url -like '*-my.sharepoint.com/personal/*'" | Select URL | Convertto-CSV | Out-file <ファイルの保存先のパス\ファイル名.csv> -Encoding UTF8
* C ドライブ>ユーザー>ユーザー名 (user1) のデスクトップに、OneDriveforBusiness.csv というファイルを出力する場合の例となります。
例 : Get-SPOSite -IncludePersonalSite $true -Limit All -Filter "Url -like '*-my.sharepoint.com/personal/*'" | Select URL | Convertto-CSV | Out-file C:\Users\user1\Desktop\OneDriveforBusiness.csv -Encoding UTF8
<出力結果例>
#TYPE Selected.Microsoft.Online.SharePoint.PowerShell.SPOSite
Url
[OneDrive for Business の URL 1]
[OneDrive for Business の URL 2]
[OneDrive for Business の URL 3]
* CSV ファイル内にロック不要な OneDrive for Business がある場合は一覧から削除します。
*表示されている "#TYPE Selected.Microsoft.Online.SharePoint.PowerShell.SPOSite" を削除し、"Url" を 一番上に表示させ、保存します。
◇ 手順 2 : OneDrive for Business のアクセスをロックする
--------------------------------------------------------
以下の PowerShell コマンドレットを実行することで、複数ユーザーの OneDrive for Business のアクセスを一括でロックすることが可能です。
ロック不要な OneDrive for Business がある場合は、必ず一覧から削除してください。
書式 :
Import-Csv "作成した CSV ファイルの格納パス\ファイル名.csv" | %{Set-SPOSite -Identity $_."CSV ファイルの列名" -Lockstate Noaccess}
* C ドライブ>ユーザー>ユーザー名 (user1) のデスクトップにある OneDriveforBusiness.csv というファイルの Url 列にある OneDrive for Business に対してロックをかける場合の例となります。
例 :
Import-Csv "C:\Users\user1\Desktop\OneDriveforBusiness.csv" | %{Set-SPOSite -Identity $_."Url" -Lockstate Noaccess}
* 設定反映後、ユーザーが OneDrive for Business にアクセスしても、サインインできませんでしたという表示となり、OneDrive for Business へのアクセスができなくなります。
また、Office 365 ポータル の Word アイコンからファイルを新規作成しようとすると 403 エラーとなります。
※補足※
ロックをかけた OneDrive for Business へ再びアクセスをできるようにするには、Lockstate の値を Noaccess から Unlock に置き換えることで可能となります。
例)
・ 1 ユーザーずつ実施する場合
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/user_contoso_com?xsdata=MDV8MDJ8c3VwcG9ydG1haWwxQG1pY3Jvc29mdC5jb218YzIyZjI0NTc3NDUyNDQ5ZDVjMTQwOGRjZDZlZTliOGF8NzJmOTg4YmY4NmYxNDFhZjkxYWIyZDdjZDAxMWRiNDd8MXwwfDYzODYyMTU2NzUzOTE0NDUxMXxVbmtub3dufFRXRnBiR1pzYjNkOGV5SldJam9pTUM0d0xqQXdNREFpTENKUUlqb2lWMmx1TXpJaUxDSkJUaUk2SWsxaGFXd2lMQ0pYVkNJNk1uMD18MHx8fA%3d%3d&sdata=OGJMbm9ZL0hLQmNQcU83NkdWKzV4a0t6VGVQbjRJUkxEWUdnOVZtbDZGMD0%3d -Lockstate Unlock
・ 複数のユーザーに実施する場合
Import-Csv "C:\Users\user1\Desktop\OneDriveforBusiness.csv" | %{Set-SPOSite -Identity $_."Url" -Lockstate Unlock}
■ テナント内に存在する全ユーザーの OneDrive for Business のアクセスをロックする方法
--------------------------------------------------------
以下のコマンドレットを実行し、全てのユーザーの OneDrive for Business へのアクセスを制限します。
<注意事項>
全体管理者を含め、テナント上全てのユーザーに対しての影響が出る操作となり、後述いたします他のサービスへの影響も発生いたします。
そのため、コマンド実行前に各種影響についてご確認のうえ、以下コマンドレットの実行をご検討くださいますよう何卒お願い申し上げます。
構文 :
$personalSites = Get-SPOSite -IncludePersonalSite $true -Limit All | where Template -like 'SPSPERS#*'
$personalSites | Set-SPOSite -LockState NoAccess
※ 反映するまでに時間がかかることを弊社検証環境で確認しておりますのでご留意ください。
※ ロックを解除する場合は、上記コマンドレットの "-LockState NoAccess" を "-LockState Unlock" に変更してコマンドレットを実行してください。
<参考情報>
タイトル : Set-SPOSite
アドレス : https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fpowershell%2Fmodule%2Fsharepoint-online%2Fset-sposite&data=05%7C02%7Csupportmail1%40microsoft.com%7Cc22f24577452449d5c1408dcd6ee9b8a%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638621567539152011%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=6Uqxiyet%2FcGZa8mhk9VC%2FImFsoCgtdJRQZY0CnDCfNE%3D&reserved=0
---- 以下抜粋 ----
-LockState
サイトのロック状態を設定します。 有効な値は、NoAccess、ReadOnly、Unlock です。 サイトのロック状態が ReadOnly の場合、サイトがメンテナンス中で読み取り専用であることを示すメッセージがサイトに表示されます。 サイトのロック状態が NoAccess の場合、そのサイトへのすべてのトラフィックがブロックされます。
---- 抜粋以上 ----
注意点:個人用サイト (OneDrive for Business) の利用を制限した場合の影響について
OneDrive for Business を制限した場合、既定で OneDrive for Business が保存先にされているサービスに影響が生じます。
例としては以下のものがありますが、今後サービスの追加や変更などがあった際に既定の保存先がユーザー個人の OneDrive for Business であった場合には同様にアクセス不可やエラーとなると考えられます。
①Office for the webから新規作成できなくなる
Microsoft 365 Portal (https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fportal.office.com%2F&data=05%7C02%7Csupportmail1%40microsoft.com%7Cc22f24577452449d5c1408dcd6ee9b8a%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638621567539163175%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=UXxGpge%2Fk%2BZSr%2Fo1D%2B5aMkFQkrr7EyyZz40IDmIMb%2BE%3D&reserved=0) の [Excel] や [Word] 等の Office for the web からの新規作成ができなくなる動作を確認しております。
なお、作成済みの既存アイテムへのアクセスは可能でございます。
※ Office クライアント アプリからの新規作成には、影響ありません。
②サイトのフォロー機能は個人用サイトの機能が利用されています。
そのため SharePoint Online サイトのフォロー機能のご利用ができなくなります。 ③OneDrive for Business を無効にすることで、個別チャットでのファイルの添付 (共有) 機能のご利用が制限されます。
プライベート チャットにファイルを添付すると、OneDrive for Business 上にファイルが保存され、共有を実施する動作となります。
そのため、OneDrive for Business を無効にした際、プライベート チャットでのファイルの添付 (共有) 機能が利用できなくなります。
※ "チーム" 内のチャットにおけるファイルの添付 (共有) 機能については、SharePoint Online 上に保存され共有する動作となりますため、影響ありません。