SharePoint|ユーザーごとに権限を細かく付与する方法を分かりやすく説明
「この機密資料は、特定の担当者だけに見せたい」「あの共有フォルダーは、特定のメンバーだけが編集できるようにしたい」
SharePoint(シェアポイント)は、組織内でファイルを共有し、みんなで一緒に作業を進めるためのとても便利な場所です。しかし、会社の情報の中には、全員が見ていいもの、一部の人にしか見せてはいけないもの、編集できる人を限るべきものなど、さまざまな種類がありますよね。そこで大切になるのが、「誰がどの情報にアクセスできるか」というアクセス権限の管理です。SharePointには、サイト全体から個々のファイルまで、非常に細かくアクセス許可を設定する柔軟な機能が備わっています。
しかし、細かく設定しすぎると、後で管理がとても大変になったり、思わぬ問題が起きたりする可能性も出てきます。
SharePointの権限ってどんなもの?基本的な考え方
SharePointでアクセス許可を正しく管理するためには、いくつかの基本的な考え方を理解しておくことが重要です。これは、あなたが情報を整理し、誰にどんな権限を与えるかを決める上での土台となります。
サイトの権限は段階的に決まる
SharePointにおけるアクセス許可は、大きなまとまりから小さな単位へと段階的に設定できる階層構造を持っています。一番大きなまとまりを「サイトコレクション」と呼び、その中に個別のウェブサイトである「サイト」が存在します。さらにサイトの中には、ファイルを保管する「ドキュメントライブラリ」や、情報を一覧で管理する「リスト」といった場所があります。これらのドキュメントライブラリやリストの中には「フォルダー」があり、最終的には「個々のファイル」まで細かく権限を調整できるのです。まるで大きなビルの中に部屋があり、その部屋の中に棚や引き出しがある、というようなイメージで考えてみてください。
上の権限が下に自動で伝わる
この階層構造において、非常に大切な仕組みが「継承」です。これは、上の階層で設定されたアクセス許可が、原則として自動的に下の階層(例えば、サイトの権限がその中のドキュメントライブラリやファイルに)に引き継がれるという考え方です。たとえば、あるSharePointサイト全体にアクセス許可を与えれば、そのサイト内にある全てのドキュメントライブラリやファイルも、自動的にその許可の対象となるわけです。この「継承」のおかげで、一つずつ手動で設定する手間が省け、基本的な管理がシンプルになります。
誰が何ができるかの許可レベル
「誰が何ができるか」という具体的な操作の許可は、「アクセス許可レベル」という形で定義されています。主な許可レベルをいくつか知っておくと、スムーズに権限を設定できます。一つは、情報を見るだけが許される「閲覧」というレベルです。これを持つ人は、ファイルを開いて内容を読んだり、ダウンロードしたりできますが、内容を変更することはできません。次に、見ることと、内容を変更したり新しいファイルを追加したり削除したりできる「編集」というレベルがあります。これは、共同で作業を行うメンバーに与えることが多い権限です。そして、サイト全体の設定を変更したり、他の人のアクセス許可を管理したりできる最も強力な権限が「フルコントロール」です。これは通常、サイトの管理者だけが持つべき非常に重要な権限です。
ユーザーごとに権限を変える理由
ユーザーごとにアクセス許可を細かく設定するということは、基本的にこの「継承」という自動的に伝わる仕組みを、特定の場所(フォルダーやファイル)に対して一時的に「停止」させることになります。そして、その停止した場所に対して、特別に許可したいユーザーやグループにだけ、独自のアクセス許可を与える作業を行うのです。これは、機密情報を含む特定の場所のセキュリティを高めるために行われます。
特定のフォルダだけ見せる方法
それでは、特定のフォルダーを、選ばれたメンバーだけで共有したい場合を例に、具体的な手順をご説明していきましょう。例えば、チームサイトの「ドキュメント」ライブラリの中に「極秘プロジェクト資料」というフォルダーがあり、このフォルダーには、サイトのメンバー全員ではなく、選ばれた数名のメンバー(Aさん、Bさん)だけがアクセスできるようにしたい、というケースを想定します。
権限を変えたいフォルダーを選ぶ
まず、アクセス許可を変更したい対象を特定します。ウェブブラウザでSharePointサイトにアクセスし、目的のドキュメントライブラリを開いてください。そこで、アクセス許可を変更したいフォルダー(例えば「極秘プロジェクト資料」という名前のフォルダー)やファイルの左にあるチェックボックスをクリックして選択します。
アクセス管理の画面へ進む
フォルダーを選んだら、画面上部のメニューバーに表示される「アクセス管理」というボタンをクリックしてください。もし、このボタンがすぐに見当たらなければ、選択したフォルダーを右クリックすると出てくるメニューの中に「アクセス管理」という項目があることもありますので、そちらを選んでみてください。この操作で、そのフォルダーの現在のアクセス許可状況を確認・変更できる画面が開きます。
権限の「自動伝達」を止める
「アクセス管理」の画面が開くと、そのフォルダーが親からどんなアクセス許可を引き継いでいるかが表示されます。このままでは、親のアクセス許可がそのまま適用されてしまうため、特定の人だけに見せるという目的は達成できません。そこで、この自動的に伝わる仕組みを一時的に止めます。
画面の下部、または右側に表示されるパネルの中にある「詳細設定」というリンクをクリックしてください。すると、さらに詳しい「権限」の画面が表示されます。そこで、「権限の継承を停止」というボタンをクリックします。確認メッセージが出たら「OK」または「停止」を選んでください。この操作によって、このフォルダー(またはファイル)は、親(この場合はドキュメントライブラリやサイト)からアクセス許可を引き継がなくなります。これで、このフォルダーは独立した権限を持つことができるようになります。
いらないアクセス許可を消す
アクセス許可の継承を停止しても、その時点での親からのアクセス許可設定はそのまま残っています。この中に、このフォルダーにアクセスさせたくないユーザーやグループが含まれている可能性がありますので、それらのアクセス許可を削除する必要があります。
「権限」の画面で、アクセスさせたくないユーザーやグループ(例えば、サイトの「メンバー」グループや「閲覧者」グループなど、サイト全体のアクセス許可を持っているグループ)の左にあるチェックボックスをクリックして選びます。そして、画面上部のメニューバーにある「ユーザーのアクセス許可を削除」ボタンをクリックしてください。確認メッセージが出たら「OK」をクリックします。この操作によって、選んだユーザーやグループは、このフォルダーにアクセスできなくなります。
特定のユーザーにだけ許可を与える
これで、いよいよアクセスを許可したい特定のユーザー(Aさん、Bさん)やグループを追加し、適切なアクセス許可レベルを設定できます。
「権限」の画面で、「アクセス許可を付与」ボタンをクリックします。「アイテムへのアクセス許可の付与」というダイアログが表示されるので、「ユーザー/グループを入力」という欄に、アクセスを許可したいユーザーの名前やメールアドレス(例えば、Aさんの名前、Bさんの名前など)を入力します。複数の人を同時に追加することも可能です。
次に、その人たちに付与したいアクセス許可レベルを選びます。例えば、「編集」を選べばファイルの閲覧だけでなく、内容の変更や追加、削除などもできるようになります。「閲覧」を選べば、ファイルを見ることはできますが、内容を変更することはできません。
必要であれば、「招待メールを送信する」にチェックを入れて、簡単なメッセージを添えることもできます。最後に「共有」ボタンをクリックします。この操作によって、指定したAさん、Bさんだけがこの「極秘プロジェクト資料」フォルダーにアクセスできるようになります。
細かい権限設定の注意点とおすすめの方法
上記の手順でユーザーごとに権限を付与することは可能ですが、特に以下の点に注意し、できる限り「ベストプラクティス」に従うことを強くお勧めします。これは、SharePointを長期的に安定して管理していく上で、非常に大切な考え方です。
気をつけるべきこと
- 管理が複雑になりすぎる問題: これが最も大きな落とし穴です。ユーザー一人ひとり、またはファイル一つひとつにアクセス許可を設定していくと、誰が何にアクセスできるのかを管理者が正確に把握するのが非常に難しくなります。これは、セキュリティ上の穴を生んだり、誤って必要以上のアクセス許可を与えてしまったりする原因になります。例えば、人事異動や退職者が出た際に、何十、何百という個別設定を一つずつ確認して修正する必要が生じ、管理担当者の負担が跳ね上がります。
- システムが遅くなる可能性: アクセス許可の継承を停止したアイテムがSharePointサイト内に非常に多くなると、SharePointのシステムがユーザーがアクセスするたびに、より複雑な権限チェックを行う必要が出てきます。これにより、サイトの表示やファイルの読み込み速度が低下する可能性があります。
- 思わぬアクセス許可や拒否: 個別の権限設定が複雑になると、管理者の設定ミスや、設定意図とは異なる権限の重複や欠落が発生しやすくなります。「なぜかこの人は見えてしまう」「この人はアクセスできるはずなのに、なぜか拒否される」といった、トラブルシューティングが非常に困難な問題の原因にもなります。
「グループ」活用のすすめ
管理の複雑化や将来的なトラブルを防ぐためには、個々のユーザーに直接権限を付与するのではなく、「グループ」を活用することが最も強く推奨される方法です。
- Microsoft 365グループを一番に活用する(特にTeamsを利用している場合):もしあなたの組織でMicrosoft Teamsを利用しているなら、その裏側にある「Microsoft 365グループ」がSharePointサイトと密接に連携しています。例えば、Teamsのチームにメンバーを追加すれば、自動的にそのSharePointサイトのメンバー(編集権限など)にもなるんです。これの何が便利かというと、TeamsやOutlookのグループ管理とSharePointの権限管理が連動するため、管理が非常に楽になるという点です。ユーザーをグループに追加・削除するだけで、SharePointの権限も自動で同期されます。具体的なやり方としては、SharePointサイトの「メンバーを追加」機能を使う際に、個々のユーザー名を入力する代わりに、既存のMicrosoft 365グループ名(例えば「営業部全員」や「〇〇プロジェクトチーム」)を入力して追加します。
- SharePointグループも効果的に使う:各SharePointサイトには、標準で「サイト所有者」「サイトメンバー」「サイト閲覧者」といったSharePointグループが用意されています。これらのグループにユーザーを追加することで、まとめて権限を付与できます。良い点としては、SharePoint内で直接グループメンバーを管理できるため、シンプルで分かりやすいということです。具体的なやり方としては、SharePointの「歯車アイコン(設定)」から「サイトのアクセス許可」へ進み、「高度なアクセス許可の設定」を選びます。そこで既存のグループにメンバーを追加したり、必要であれば新しいSharePointグループを作成して、それに対して権限を付与したりできます。
- セキュリティグループ(Azure ADグループ)も検討する:もしあなたの組織のIT部門が、Active Directory(またはAzure AD)でユーザーグループを一元的に管理しているなら、その「セキュリティグループ」をSharePointの権限に利用するのも非常に強力です。良い点としては、組織全体のユーザー管理体制をそのままSharePointの権限管理に適用できるため、一貫性があり、大規模な環境で特に有効です。具体的なやり方としては、上記の手順5の「ユーザー/グループを入力」欄に、IT部門が管理しているセキュリティグループの名前を入力して追加します。
権限管理の理想的な進め方
- 基本的な権限は「サイト」単位で設定する: ほとんどのユーザーは、所属する部署やプロジェクトのサイト単位で「メンバー(編集)」または「閲覧者」の権限を持つように設定します。これが一番シンプルで、管理の基本になります。
- 特別な機密情報は「別のサイト」で管理する: サイトのメンバー全員には見せたくないような、特に機密性の高い情報(例えば、人事部の社員評価資料、役員会議の極秘議事録、特定の顧客との機密保持契約書など)は、別の独立したSharePointサイト(サイトコレクション)を新たに作成し、そのサイトのメンバーを厳選して権限を付与する方法を検討しましょう。これにより、権限管理がシンプルになり、誤って情報が漏れるリスクも格段に低くなります。
- どうしてもフォルダー単位で細かくしたい場合(最小限に、そしてグループで): やむを得ず、今回解説したようにフォルダー単位で権限を細かく設定する必要がある場合は、その数を最小限に留めるようにしてください。そして、個々のユーザーに直接権限を付与するのではなく、必ず特定の「グループ」(Microsoft 365グループ、SharePointグループ、セキュリティグループ)を作成し、そのグループに対して権限を付与するようにしましょう。変更内容とその理由を必ず記録に残し、定期的に権限を見直す(棚卸しする)運用ルールを設けることも非常に大切ですし、これが長期的な安定運用には欠かせません。
まとめ
SharePointでユーザーごとに権限を細かく付与する方法は存在し、特定の目的には非常に有効です。しかし、その最大の落とし穴は「管理の複雑化」であるということを、常に心に留めておく必要があります。
「最小権限の原則」を守り、「ユーザーに直接ではなく、グループに対して権限を付与する」というベストプラクティスを徹底すること。そして、「権限の継承中止」は必要最小限に留め、可能であれば別のサイトで情報を分離するという考え方が、安全かつ効率的なSharePoint運用には不可欠です。
