SharePoint 管理センターにおけるセキュリティ関連の設定項目
管理センターには設定項目が膨大にありますが、その中でセキュリティ関連の設定項目を抜粋して紹介させていただきます(とりあえず、セキュリティ確保して、M365をユーザに使わせたいと考えられている管理者の方向けの記事となります)
何をもって、セキュリティ関連としているかは、個人の主観となっております(セキュリティ自体の定義/範囲が愛網ですので)
(セキュリティ関連度:★★★)外部共有関連
外部共有設定(設定箇所:ポリシー > 共有)
組織外のユーザーとの共有可否や、ドメインごとの制御などが可能
<公開情報>
タイトル : Microsoft 365 で SharePoint と OneDrive の共有設定を管理する
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/turn-external-sharing-on-or-off
(セキュリティ関連度:★★★)アクセス制御関連
アクセスの制御(設定箇所:ポリシー > 共有)
テナント内のユーザーを含むアクセスの制御が可能
管理されていないデバイス
非準拠またはドメイン未参加のデバイスからのアクセスを制限
<公開情報>
タイトル : IT 管理者 – SharePoint と OneDrive アンマネージド デバイスのアクセス制御
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/control-access-from-unmanaged-devices
—– 以下抜粋 —–
Microsoft 365 の SharePoint 管理者のアクセス許可を少なくとも使用すると、非管理対象デバイス (ハイブリッド AD 参加またはIntuneに準拠していないデバイス) から SharePoint および OneDrive コンテンツへのアクセスをブロックまたは制限できます。
—– 抜粋以上 —–
アイドル セッションのサインアウト
非アクティブなブラウザー セッションからユーザーを自動的にサインアウトします。
<公開情報>
タイトル : アクティブでないユーザーをサインアウトする
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/sign-out-inactive-users?WT.mc_id=365AdminCSH_spo
—– 以下抜粋 —–
アイドル セッションサインアウトを使用すると、SharePoint と OneDrive でブラウザーが一定の時間非アクティブになった後に、ユーザーに警告が表示され、後で Microsoft 365 からサインアウトされる時刻を指定できます。
—– 抜粋以上 —–
ネットワーク上の場所
特定の IP アドレスからのアクセスのみを許可します。
<公開情報>
タイトル : ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御する
—– 以下抜粋 —–
許可される IP アドレス範囲を 1 つ以上指定することにより、信頼されたネットワークの境界を定義します。 このネットワーク境界の外側から (任意のデバイスの Web ブラウザー、デスクトップ アプリ、またはモバイル アプリを使用して) SharePoint および OneDrive にアクセスしようとするユーザーはすべてブロックされます。
—– 抜粋以上 —–
先進認証を使用していないアプリ
すべての先進認証を使用していないアプリ(サード パーティー製のアプリを含む)からのアクセスを制御する
■ 先進認証とは
先進認証 は、より安全なユーザー認証と承認を提供する ID 管理の方法です。
一方、先進認証を使用していないアプリ(レガシー認証)は、基本認証(Basic Auth)を使っており、ユーザー名とパスワードだけで認証されるため、セキュリティリスクが高くなります。
<公開情報>
タイトル : ハイブリッド先進認証の概要とオンプレミスの Skype for Business および Exchange サーバーで使用する前提条件
アドレス : https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/hybrid-modern-auth-overview?view=o365-worldwide
—–以下抜粋—–
先進認証とは何ですか?
最新の認証は、クライアント (ノート PC やスマートフォンなど) とサーバー間の認証と承認方法の組み合わせと、既に使い慣れている可能性のあるアクセス ポリシーに依存するセキュリティ対策の総称です。 内容は以下のとおりです。
認証方法: 多要素認証 (MFA);スマート カード認証。クライアント証明書ベースの認証
承認方法: Microsoft が提供する Open Authorization (OAuth) の実装
条件付きアクセス ポリシー: モバイル アプリケーション管理 (MAM) と Microsoft Entra 条件付きアクセス
—–抜粋以上—–
タイトル : Microsoft 365 の ID インフラストラクチャをデプロイする
アドレス : https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/deploy-identity-solution-overview?view=o365-worldwide
タイトル : IT 管理者 – SharePoint と OneDrive アンマネージド デバイスのアクセス制御
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/control-access-from-unmanaged-devices
—–以下抜粋—–
非管理対象デバイスからのアクセスをブロックまたは制限する場合は、先進認証を使用していないアプリからのアクセスをブロックすることもお勧めします。 一部のサード パーティ製のアプリや Office 2013 より前の Office のバージョンでは、先進認証を使用しないため、デバイス ベースの制限を適用することができません。
—–抜粋以上—–
■ 対象となるアプリの例
============
・ Office 2013以前のバージョン
・ Outlook 2010、Outlook for Mac 2011
・ POP/IMAPを使ったメールクライアント
・ PowerShellスクリプトでCredentialパラメータを使った接続
・ 一部の旧式なサードパーティ製ファイル同期ツールやモバイルアプリ
サイト レベルのアクセス制限
SharePoint と全体管理者がサイトへのアクセスを制限できるようにします。
<公開情報>
タイトル : Microsoft 365 グループとMicrosoft Entra セキュリティ グループを使用して SharePoint サイトへのアクセスを制限する
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/restricted-access-control?WT.mc_id=365AdminCSH_spo
—– 以下抜粋 —–
この記事の一部の機能では、Microsoft SharePoint Premium – SharePoint 高度な管理が必要です
制限付きサイト アクセス制御を使用すると、SharePoint サイトとそのコンテンツへのアクセスを特定のグループ内のユーザーに指定することで、過剰共有を防ぐことができます。
—– 抜粋以上 —–
※ 利用プランにより、本項目が表示されていない場合があります
OneDrive のアクセス制限
セキュリティ グループによって OneDrive コンテンツへのアクセスを制限します。
<公開情報>
タイトル : セキュリティ グループによる OneDrive アクセスの制限
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/limit-access?WT.mc_id=365AdminCSH_spo
—– 以下抜粋 —–
この記事の一部の機能では、Microsoft SharePoint Premium – SharePoint 高度な管理が必要です
OneDrive コンテンツのアクセスと共有を、指定されたMicrosoft Entra IDセキュリティ グループ内のユーザーに制限できます。
—– 抜粋以上 —–
※ 利用プランにより、本項目が表示されていない場合があります
APIアクセスの制御(設定箇所:詳細 > APIアクセス)
タイトル : Microsoft Entra IDセキュリティで保護された API へのアクセスを管理する
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/api-access?WT.mc_id=365AdminCSH_spo
<公開情報>
—– 以下抜粋 —–
開発者は、SharePoint Framework ソリューションを構築するときに、Microsoft Entra IDによってセキュリティ保護された API に接続する必要がある場合があります。
—– 抜粋以上 —–
※ 利用プランにより、本項目が表示されていない場合があります
(セキュリティ関連度:★★)サイト作成の制御
サイト作成の制御(設定箇所:設定 > サイトの作成)
ユーザーによる新規サイトの作成を制限することが可能
※ ユーザーが自由にサイトを作成することで管理者が想定していないデータが共有される可能性があることから、セキュリティに関連する項目と判断
<公開情報>
タイトル : SharePoint のサイト作成を管理する
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/manage-site-creation?WT.mc_id=365AdminCSH_spo
—– 以下抜粋 —–
ユーザーが独自の SharePoint サイトを作成および管理したり、作成できるサイトの種類を決定したり、サイトの場所を指定したりできます。 既定では、ユーザーはコミュニケーション サイトと Microsoft 365 グループ接続チーム サイトを作成できます。
—– 抜粋以上 —–
スクリプトの管理(設定箇所:詳細 > スクリプトソース)
※ SharePoint サイトにスクリプトを挿入することでセキュリティに影響する可能性があるため、セキュリティに関連する項目と判断
<公開情報>
タイトル : カスタム スクリプトを許可または禁止する
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/allow-or-prevent-custom-script
—– 以下抜粋 —–
スクリプトを挿入して SharePoint 内のサイトとページをカスタマイズできるようにすると、組織内のさまざまなニーズに柔軟に対応できます。 ただし、カスタム スクリプトのセキュリティへの影響に注意する必要があります。
—– 抜粋以上 —–
タイトル : カスタム スクリプトを許可する場合のセキュリティに関する考慮事項
アドレス : https://learn.microsoft.com/ja-jp/sharepoint/security-considerations-of-allowing-custom-script