SharePoint Online の新しいダウンロードブロック ポリシーを使用する方法

SharePoint Online の新しいダウンロードブロック ポリシーを使用する方法

SharePoint ブロック ダウンロード ポリシーは、Syntex Advanced Management によってライセンスされ、PowerShell で管理されます。

新しい Syntex Advanced Management ライセンスの対象となる機能の 1 つは、ユーザーが SharePoint Online サイトまたは OneDrive for Business アカウントからファイルをダウンロードできないようにします。アイデアは、ブラウザを使用してサイトに保存されているファイルをユーザーに強制的に操作させることにより、非常に機密性の高い資料を保存するサイトを保護することです。Office デスクトップ アプリはファイルの一時コピーをダウンロードしてローカルで作業するため、ユーザーは Office デスクトップ アプリを使用することさえできません。

ダウンロード機能からファイルをブロックする は現在プレビュー段階です。サイトのダウンロードブロックポリシーを有効にするには、 Set-SPOSite 最新バージョンの SharePoint Online 管理 PowerShell モジュールからのコマンドレット。

ダウンロードアクセスの制限

Project Aurora という新しいチームを作成してこの機能をテストしました。次に、これらのコマンドを実行してすべてのサイトを検索し、Project Aurora サイトの URL を選択して、サイト所有者を除外するダウンロードブロック ポリシーを構成することで、チームに属する SharePoint Online サイトを構成しました。つまり、サイト メンバーはドキュメント ライブラリからファイルをダウンロードできませんが、サイト所有者はダウンロードできます。

[array]$Sites = Get-SPOSite -Limit All
$Site = ($Sites | Where-Object {$_.Title -eq "Project Aurora"}) | Select-Object -ExpandProperty Url
Set-SPOSite -Identity $Site -BlockDownloadPolicy $True -ExcludeBlockDownloadPolicySiteOwners $True

プレビュー ドキュメントによると、サイト所有者は、 除外ブロックダウンロードグループID パラメーター。マイクロソフトは長い間、SharePoint Online を介してグループに接続されたサイトのメンバーシップを更新しないようにお客様に指導してきたため、ここにいくつかの問題が発生します。さらに、Microsoft 365 グループをサイト メンバーシップに追加すると、入れ子になった Microsoft 365 グループのサポートされていない条件が作成されます。今のところ、グループベースの除外の使用を避け、サイト所有者の除外のみに集中します。

既定のドキュメント ライブラリにいくつかのドキュメントを入力した後、メンバー アカウントでサイトにサインインしました。サイトは、制限にフラグを立て、ファイルをダウンロードするためのオプションを削除しました(図1)。

SharePoint ブロックのダウンロード ポリシーの効果
図 1: SharePoint ブロックのダウンロード ポリシーの効果

Teams ファイル チャネル タブもダウンロード オプションを削除しますが、制限についてユーザーに通知するバナーは表示されません。[ファイル]チャネル タブでは、Office デスクトップ アプリを使用してドキュメントを開くオプションが削除されます。ポリシーによってダウンロードを制限する前に、ブロックが Power Apps や Power Automate などの他のアプリケーションに与える可能性のある影響を確認することをお勧めします。

ファイルのダウンロード制限は、条件付きアクセス ポリシーを使用して次の場合にアクセスを制限する場合と同じです。 ユーザーが管理されていないデバイスから SharePoint コンテンツにアクセスしようとする.この機能のポイントは、同等の保護を得るために条件付きアクセス ポリシーを展開する必要がないことです。条件付きアクセス ポリシーは、Microsoft 365 テナントに接続した後にユーザーが実行できる操作を制御するための優れた方法ですが、組織が管理するさまざまなポリシーになってしまう可能性があることは間違いありません。条件付きアクセス ポリシーを、サイト レベルで適用される比較的単純なダウンロード ブロックに置き換えることは、特にファイルのダウンロードをブロックするサイトをより細かく制御する場合に適しています。

SharePoint ブロックのダウンロード ポリシーを複数のサイトに適用する

ダウンロードのブロック ポリシーを展開する方法の実際的な例として、最も厳しい秘密度ラベルが割り当てられているすべてのサイトのダウンロードを停止するとします。私のテナントでは、それは「機密アクセス」と呼ばれるラベルです。重要なことは、Microsoft 365 ワークロードが秘密度ラベルに接続する方法であるため、ラベル識別子 (GUID) を知ることです。この場合、GUID は C99E52C6-F5FF-4050-9313-CA6A3A35710F.

このスクリプトは、機密アクセスの秘密度ラベルが割り当てられているすべてのサイトに SharePoint ブロック ダウンロード ポリシーを適用します。まず、Microsoft 365 グループに関連付けられているサイトのセットを見つけます。Get-SPOSite コマンドレットは、複数のサイトを処理するときにすべてのサイト プロパティを返すわけではないため、サイトのサイトをループして各サイトの秘密度ラベルを確認し、一致するラベルを検出した後にポリシーを適用する必要があります。

# Process sites and set the SharePoint block download policy
[array]$Sites = Get-SPOSite -Template "GROUP#0" -IncludePersonalSite:$False -Limit All
Write-Host ("Scanning {0} sites to find those with the Confidential Access label" -f $Sites.count)
[int]$i = 0
ForEach ($Site in $Sites) {
   $SiteData = Get-SPOSite -Identity $Site.Url
   If ($SiteData.SensitivityLabel -eq "c99e52c6-f5ff-4050-9313-ca6a3a35710f" -and $SiteData.BlockdownloadPolicy -eq $False ) {
      Write-Host ("Applying site download block policy to {0}" -f $SiteData.Title)
      Set-SPOSite -Identity $Site.Url -BlockDownloadPolicy $True -ExcludeBlockDownloadPolicySiteOwners $True; $i++
   }
}
Write-Host ("Finished processing. {0} sites updated with a block download policy" -f $i)

シンテックスライセンスを記憶する

覚えておいてくださいt ダウンロードのブロック ポリシーを使用してダウンロードをサイトの所有者またはグループに制限するサイトのすべてのメンバーには、Syntex 高度な管理ライセンスが必要です。この種の制限はおそらく限られた数のサイトにのみ適用されることを考えると、それは大きな問題にはなりません。

Office 365 for IT プロフェッショナル チームの作業をサポートするには、 IT プロフェッショナル向け Office 365 電子書籍。お客様のサポートは、Microsoft 365 と Office 365 の変化する世界を追跡、分析、文書化するために必要な時間に対して支払われます。

Office

Posted by admin