SharePoint オンライン サイトへのゲスト アクセスを制御する新しい期限切れアクセス ポリシー

SharePoint 共有にのみ関連 – マイクロソフト 365 グループではない

Microsoft は、メッセージ センターの通知で、ぶっきらぼうで誤解を招くようなテキストを公開することがあります。MC220791が2020年8月21日に公開された場合、2021年5月7日に更新(マイクロソフト 365 ロードマップ項目 43797).この変更が長い間バブリングしてきた日付からわかります。Office 365 テナントで使用できるようになったため、組織はテナント外のユーザーが SharePoint Online サイトのコンテンツにアクセスできる期間と、そのアクセス後にビジネス アカウントの OneDrive がアクセスできる時間を制御できるため、変更は適しています。言い換えれば、あなたは永遠のアクセスを遮断することができます。

ゲスト有効期限ポリシーの説明

マイクロソフトが変更を説明する方法は次のとおりです。

@Inの順序 共有をより適切に管理するを使用すると、テナント管理者は、一定期間後に SPO サイトおよび個々の OneDrives へのゲスト アクセスを取り消すポリシーを作成できます。このポリシーを使用すると、ゲスト ユーザーアクセスを制限できます。したがって、アクティブなパートナーでないゲストは、ドキュメントやファイルへの無期限のアクセスを保持しません。

• このポリシーは遡及的ではありません。サイト、ドキュメント、およびファイルにアクセスできるゲストには適用されません。
• ポリシーは、特定の SPO サイトまたは個々の OneDrive へのユーザーのアクセスに適用されます。アクセス期間がポリシーのしきい値 (10 日など) に達すると、ゲストはそのサイト内のすべてのコンテンツにアクセスできなくなります。ゲスト アクセスは、ゲストが各サイトへのアクセスを許可された日時 (SPO サイトか個々の OneDrive か) によって決まるサイト単位で期限切れになります。
• ゲストがサイトにアクセスできなくなって、外部でコンテンツを共有できるユーザーは、必要に応じて各ドキュメントまたはアイテムにゲストを再招待できます。

MC220791 を読んだ後に最初に頭に浮かんだのは、「Microsoft 365 のグループとチームのメンバーシップを通じて得られた SharePoint Online ファイルへのゲスト アクセスはどうでしょうか?」

ザ ドキュメントのみ 私は言って見つけることができます:

“ゲスト メンバーシップは、Microsoft 365 グループ レベルで適用されます。 したがって、SharePoint サイトを表示する権限を持つゲストや共有リンクを使用しているゲストは、Microsoft Teams チームまたはセキュリティ グループにもアクセスできます。 したがって、SharePoint サイトまたは共有リンクへのアクセスが期限切れになった場合でも、一部のゲスト ユーザーは、他の場所でチームまたはセキュリティ グループにアクセスできる可能性があります。

ゲスト有効期限ポリシーは、共有リンクを使用するゲスト、またはゲスト ポリシーが有効になった後に SharePoint サイトに直接アクセス許可を持つゲストにのみ適用されます。ゲスト ポリシーは、ゲスト有効期限ポリシーが適用される前に、既存のアクセス許可を持つゲスト ユーザーや共有リンクを介したアクセス権を持つゲスト ユーザーには適用されません。

ゲストユーザーの有効期限ポリシーはゲストユーザにのみ適用されます。標準ユーザーの有効期限はサイト コレクション内の任意のユーザーに手動で設定でき、有効期限が経過すると有効期限値を持つユーザーはサイト管理者でない限り削除されます。

テキストはあまり明確ではありませんが、グループが有効な SharePoint Online サイトのゲスト メンバーがゲストの有効期限ポリシーの影響を受けることを意味するように読むことができます。ありがたいことに、ポリシーは遡及的ではありませんが、グループやチームのゲストメンバーがスコープ内にある場合、テナントのゲスト有効期限ポリシーの実装は予期しない副作用を引き起こします。

マイクロソフト 365 グループとチームに影響を与え

マイクロソフトに確認したところ、ゲストの有効期限ポリシーが Microsoft 365 のグループおよびチームに属するゲストに影響を与えがないことを確認しました。ポリシーは、次の対象のみに向けられています。

• ドキュメント、フォルダ、およびリストへのゲスト アクセスを許可するために作成されたリンクを共有します。
• サイトの SharePoint グループ メンバーシップに加えられた変更 (Microsoft 365 グループ メンバーシップではない)。
• ゲスト ユーザーのコンテンツへのアクセスを許可するために、直接のアクセス許可の変更。

SharePoint Online の使用が主に Microsoft 365 のグループおよびチームのドキュメント管理用である場合、サイトの SharePoint グループ メンバーシップを更新したり、ゲストに直接アクセス権を追加したりすることはない可能性があるため、テナントがゲストの有効期限ポリシーを実装している場合は、リンクの共有だけが影響を受ける可能性があります。

SharePoint オンライン サイトのゲスト有効期限の実装

SharePoint Online の設定では通常どおり、ゲストの有効期限ポリシーは、サイトごとに上書きできる一般的なテナント設定で提供されます。テナント全体のポリシーを作成するには、次のポリシーセクションに移動します。SharePoint オンライン管理センターを選択し、[共有]を選択して開きます。 その他の外部共有設定。 ポリシーを有効にするオプションが表示されます。 サイトへのゲスト アクセスまたは OneDrive は、この数日間の後に自動的に有効期限が切れます。.ポリシーを有効にするには、チェックボックスを設定し、30 日から 730 日の有効期限を選択します。

新しいポリシーは、新しい共有リンク、グループの変更、または後で行われた直接のアクセス許可に適用されます。PowerShell を使用してポリシーを制御することもできます。このコマンドは、ポリシーを 60 日間に設定します。

ダウンロードして使用していることを確認してください。 最新バージョンの SharePoint オンライン管理モジュール をクリックします。執筆時点では、最新バージョンは16.0.21411.12000で、これは私がテストに使用したものです。

サイト固有の有効期限設定

グローバル管理者と SharePoint 管理者は、SharePoint Online 管理センターを通じて個々のサイトのポリシーを変更できます (図 2 に示すように、サイトを選択してポリシー設定を更新します)。ゲストの有効期限設定は、サイトの共有設定で外部共有が許可されている場合にのみ表示されます。

または、PowerShell を使用して、サイト固有のゲスト有効期限設定を適用することもできます。次のコマンドは、サイトを更新して、最大有効期限を設定します。

テスト中に、PowerShell で変更を加えた後、SharePoint 管理センターと個々のサイト設定が同期しない場合があることを確認しました。これは、キャッシュされたデータが原因である可能性があります。物事は最終的に落ち着き、すべてのコンポーネントが有効期限について合意します。

テナントまたはサイト レベルでゲストの有効期限を適用するために行われた変更は、ポリシーが有効になった後の新しい共有にのみ適用されます。共有有効期限はテナント アカウントには適用しません。

サイト管理者が行うこと

サイト管理者はテナント全体のゲスト有効期限設定を変更できず、 ゲストのアクセスの拡張または削除を管理する、サイト権限を通じてアクセスし、ゲストの有効期限を過ぎる。以前のテナント全体のポリシーが適用され、ゲスト アクセスに影響を与えた可能性がある場合は、その影響を警告する警告が表示されます (図 3)。サイト管理者は、有効期限が切れる時点までゲスト アクセスをいつでも拡張できます。有効期限が切れると、その有効期限が切れ、ゲストは共有するコンテンツにアクセスするための新しいアクセス許可が必要になります。

価値はあなたの視点に依存します

従来の SharePoint に慣れ、Microsoft 365 を超えるグループやチームのサイトを運営している場合は、ゲストの有効期限ポリシーに価値があります。確かに、データガバナンス戦略では考慮する価値があります。ただし、テナント内の SharePoint Online アクティビティが Microsoft 365 のグループとチームによって実行される場合、情報へのゲスト アクセスはこのポリシーの影響を受けないままであり、このポリシーを無視するか、またはテナントの有効期限 (730 日など) を設定できます。それは私がやって終わったものです。