SPO上にあるファイルをローカルPCにダウンロードさせない方法

セキュリティ的な観点から、「SPO上にあるファイルをローカルPCにダウンロードさせたくない」という要望を最近よく耳にします。

方法を整理してみました。

方法①”制限付きビュー”の権限を利用する

サイトごとに権限を変更し、ダウンロードを制限する方法になります。

★本権限設定は、Teams においても制限が適応される動作となります。

1) サイトの所有者にて、該当のライブラリにアクセスします。

2) 右上 [歯車] – [ライブラリの設定] – [その他のライブラリの設定] の順にクリックします。

3) [このドキュメント ライブラリに対する権限] をクリックします。

4) 左上の [権限の継承を中止] – [OK] をクリックします。

5) [<サイト名> Members] 左横のチェックボックスにチェックをつけ、 [ユーザー権限の編集] をクリックします。

6) [編集] のチェックをはずし、 [制限付きビュー] にチェックをつけ、 [OK] をクリックします。

上記は既定で権限が付与されているサイトのメンバーに対しての権限変更方法となります。

他にもすでに権限が付与されているユーザーが存在する場合、5) 6) の手順にて、権限を変更します。

補足1

================

権限を付与する際に “制限付きビュー" が表示されない場合、以下の手順にてファイルまたはフォルダー単位で固有の権限を設定することで “制限付きビュー" の利用が可能となります。

※ 一度固有の権限を設定した後、該当のファイルは削除しても問題ありません。

<手順>

1) 任意のドキュメント ライブラリにアクセスします。

2) [+ 新規] から Office ファイルを作成します。

3) 再度ドキュメント ライブラリにアクセスし、手順 2) で作成したファイルを右クリックし、[アクセス許可の管理] をクリックします。

4) 右上の […] – [詳細設定] をクリックします。

5) 画面左上の [権限の継承を中止] をクリックします。

補足2

手順5の[ユーザー権限の編集] において、以下の画面が表示されるのですが、「制限付きビュー(ダウンロード権限なし)」に加えて「閲覧(ダウンロード権限あり)」も、以下のように選択したら、結果としては「ダウンロード可能」となりますので、ご注意ください。

 方法②"制限された Web のみのアクセスを許可する"を設定する

こちらは、Sharepoint管理センターから設定をする方法です。

本設定は、SharePoint 管理センターの機能となり、Microsoft 365 E3 ライセンスで利用可能です。

ダウンロードを制限する設定

 <手順>

1) 管理者アカウントにて SharePoint Online 管理センターにアクセスします。

2) 画面左側にて [ポリシー] – [アクセスの制御] をクリックし、[管理されていないデバイス] をクリックします。

3) “管理されていないデバイス" にて “制限された Web のみのアクセスを許可する" を選択し[保存] をクリックします。

◆"制限された Web のみのアクセスを許可する" について

“管理されていないデバイス" の既定の設定は、"デスクトップ アプリ、モバイル アプリ、Webからのフル アクセスを許可する" になります。


本設定を “制限された Web のみのアクセスを許可する" に設定することで、条件付きアクセスポリシー “[SharePoint admin center]Block access from apps on unmanaged devices" が自動生成され、テナントのすべてのユーザーに対しファイルのダウロードが制限される動作となります。

条件付きアクセスは様々な設定が可能ですが、こちらの SharePoint 管理センターからの設定であれば、既定値の設定を変更するのみで制御が可能となります。

<参考情報>
タイトル : IT 管理者 – SharePoint と OneDrive アンマネージド デバイスのアクセス制御 -アクセスを制限する
アドレス : https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fsharepoint%2Fcontrol-access-from-unmanaged-devices%23limit-access&data=05%7C02%7Csupportmail3%40microsoft.com%7Cfb60aed7455d4afb827308dc44c11bea%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638460843398246921%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=UX6lbqh7hqDRewLWINmkSH1Plnq9osh%2FYDVd5gE0lcw%3D&reserved=0
*** 以下抜粋 ***
SharePoint の非管理対象デバイスのアクセス制御が [Web のみの限定的なアクセスを許可する] に設定されている場合、SharePoint ファイルはダウンロードできませんが、プレビューすることができます。
*** 抜粋以上 ***

どのようにダウンロード制限されるのか

<SharePoint での動作>
サイト画面上部に “このデバイスを使用してダウンロード、印刷、または同期することは組織によって許可されていません。" と表示され、 [ダウンロード] の項目自体が非表示となります。

<OneDrive for Business での動作>
“組織では、このデバイスを使用したダウンロード、印刷、同期が許可されていません。" と表示され、 [ダウンロード] の項目自体が非表示となります。

<Microsoft Teams での動作> ★ Teamsの裏側では、SPO/OneDriveが使われている
[ダウンロード] をクリックすると、"ダウンロード中…" と右下に表示されるも実際にはダウンロードされない動作となります。

補足1

この設定をすることで、SharePoint Online だけでなく、OneDrive for Business もダウンロード制限の対象になります。

補足2

Intune登録済みの端末、Hybrid Entra参加済みの端末 については、アクセスが許可されダウンロードも可能となってしまいます。

方法③ Defender for Cloud Apps(と条件付きアクセスの組み合わせ)

条件付きアクセスと、以下の公開情報にて説明のある Microsoft Defender for Cloud Apps の機能を組み合わせてダウンロードを制御する機能があります。

本設定は、Microsoft 365 E5 ライセンスで利用可能です。
 
Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御を使用してアプリを保護する
URL:https://docs.microsoft.com/ja-jp/defender-cloud-apps/proxy-intro-aad
 
本機能では、アクセス制御を適用する範囲の指定を条件付きアクセスの機能にて、実際のダウンロード制御を Microsoft Defender for Cloud Apps の機能にて実現します。


以下のような条件付きアクセス ポリシーを設定することで「ブラウザーからの Office 365 SharePoint Online、OneDrive へのアクセスではダウンロードを禁止する」という制御が可能です。

—–
■ 割り当て
· ユーザーとグループ
 対象 : 任意のユーザー・グループを選択
· ターゲット リソース
 対象 : Office 365 SharePoint Online
· 条件
 o クライアント アプリ
 “ブラウザー"

■ アクセス制御
・セッション
 “アプリの条件付きアクセス制御を使う" – “ダウンロードをブロックする (プレビュー)"
—–

補足1

本ダウンロード制御はブラウザー上でのみ対応しており、クライアント アプリ、モバイル アプリからのアクセスには対応していなません。
そのため、SharePoint Online モバイル アプリなどをご利用される場合には、ダウンロード制御は機能しない動作となります。