「いつの間にか共有されていた」を防ぐ！SharePointとOneDriveの外部共有制限

Microsoft 365を導入する企業が増える中、SharePoint OnlineとOneDrive for Businessは社内外とのファイル共有に欠かせないツールとなっています。

しかし、その手軽さゆえに、意図しない情報漏洩のリスクも高まっています。

本記事では、SharePoint管理センターの「共有」設定を活用して、安全なファイル共有環境を構築する方法を解説します。

なぜ外部共有の制限が必要なのか

Microsoft 365の初期設定では、組織内の全ユーザーが組織外の不特定の相手に対してファイル共有が、設定によっては可能となる状態になっています。
組織外の不特定の相手に対してファイル共有が可能となると、以下のようなリスクが発生します。

主なリスク

• 認証なしでアクセス可能な共有リンクが作成され、リンクさえ知っていれば誰でもファイルにアクセスできる状態になる
• 共有リンクが一度流出すると、取り消す前にダウンロードされたファイルは追跡や制御ができない
• ユーザーが「よくわからないまま操作してしまった」結果、機密情報が外部に漏洩する可能性がある
• 役目を終えた共有リンクが放置され、「リンクのゾンビ化」によるセキュリティリスクが継続する

SharePoint管理センターでの共有設定

SharePoint管理センターの「共有」設定では、組織全体の外部共有ポリシーを一元管理できます。
設定には管理者権限（グローバル管理者またはSharePoint管理者）が必要です。

設定方法

1. Microsoft 365 管理センター（https://admin.cloud.microsoft/）にアクセス
2. 左側メニューから「管理センター」＞「SharePoint」を選択
3. SharePoint管理センターで「ポリシー」＞「共有」に移動

外部共有の4つのレベル

SharePointとOneDriveでは、それぞれ4段階の外部共有レベルを設定できます。
重要なのは、OneDriveの設定レベルはSharePointの設定レベル以下にする必要があるという点です（SharePointよりOneDriveの制限を緩くすることはできません）。

1. すべてのユーザー

サインイン不要の共有が可能。
最も緩い設定で、情報漏洩リスクが最も高い。

2. 新規および既存のゲスト

• 外部ユーザーをメールアドレスで指定して共有
• 外部ユーザーはサインインまたは確認コード認証が必要
• 新しいゲスト招待が可能

メール認証で招待するので、相手の身元を確認でき、ログも残ります。

3. 既存のゲスト

• すでに登録済みのゲストユーザーのみ共有可能
• 新規ゲストの招待は不可

登録済みユーザーのみ外部共有は可能です。
勝手な外部拡張を防げます。

4. 組織内のユーザーのみ

• 外部共有を完全に無効化
• 社内ユーザーのみアクセス可能

外部とのファイル共有はできません。

推奨設定： 多くの組織では「新規および既存のゲスト」レベルが適切です。外部とのコラボレーションを維持しながら、認証なしのアクセスを防ぐことができます。

参考：Microsoft 365 で SharePoint と OneDrive の共有設定を管理する

参考：Microsoft 365 の SharePoint と OneDrive での外部共有の概要

共有リンクの有効期限設定

共有リンクの有効期限設定は、「リンクのゾンビ化」を防ぐための重要な機能です。
役目を終えた共有リンクがインターネット上に放置されている状態は、継続的なセキュリティリスクとなります。

有効期限の設定方法

SharePoint 管理センターの [ポリシー] ＞ [共有] を開き、
「ファイルとフォルダーのリンクの表示オプションを選択する」 セクションで設定します。

【重要】有効期限の正しい挙動

共有リンクの有効期限について、挙動を理解しておく必要があります。

・リンクの失効:
設定した有効期限が過ぎると、過去にそのリンクからアクセスしたことがあるかどうかに関わらず、そのリンクは即座に無効化されます。
それ以降、そのリンクをクリックしてもファイルにはアクセスできません。

・アクセス権の独立性:
有効期限はあくまで「リンク」に対するものです。
もしユーザーに対して個別に直接権限（ダイレクトアクセス）を付与している場合は、リンクが切れてもアクセス権は残り続けます。

推奨期間について

一般的な目安：

用途	目安
単発資料共有	7～30日
プロジェクト共有	30～60日
長期協業	個別管理

ドメイン別の共有制限

特定の会社（ドメイン）とのやり取りだけを「許可」したり、逆に特定のドメインを「拒否」したりすることで、より安全な運用が可能になります。

1. 設定の全体像：2つの制限モード

「ドメイン制限」には、以下の2つの考え方があります。
どちらか一方を選択して運用します。

• 許可リスト方式（ホワイトリスト）
  • 内容： 指定したドメイン（例：partner-company.com）以外への共有をすべて禁止します。
  • 用途： 特定の提携先やグループ会社とだけデータをやり取りしたい場合に最適。最も安全です。
    
• 拒否リスト方式（ブラックリスト）
  • 内容： 指定したドメイン（例：フリーメールの gmail.com など）への共有だけを禁止します。
  • 用途： 基本は自由だが、競合他社や個人メールへの流出を防ぎたい場合に利用します。

2. 設定手順

1. SharePoint 管理センターにアクセスし、[ポリシー] ＞ [共有] を開きます。
2. 下部にある [外部共有の詳細設定] を展開します。
3. [ドメインごとに外部共有を制限する] にチェックを入れます。
4. [ドメインの追加] をクリックし、以下のいずれかを選択してドメイン名を入力します。
   • 特定のドメインのみを許可する
   • 特定のドメインをブロックする

重要： Microsoft Entra IDで設定されたドメイン制限も適用されます。SharePointの設定と合わせて確認が必要です。

参考：ドメイン別の SharePoint および OneDrive コンテンツの共有を制限する

その他の重要な設定

ゲストアクセスの有効期限

外部ユーザー（ゲスト）がサイトや OneDrive にアクセスできる期間を制限できます。

SharePoint Online の既定（デフォルト）では、この機能は「オフ（無期限）」になっています。
管理者がオンに設定することで、初めて期限が適用されます。

設定の挙動:
指定した日数（例：90日）が経過すると、ゲストのアクセス権が自動的に取り消されます。

継続する場合:
期限が切れる前に、サイト所有者が「アクセスの延長」を行うことで、引き続き利用を許可できます。

確認コードの再認証（セッション制御）

メールに届く「8桁の確認コード」でログインする外部ユーザーに対して、「何日おきにコードを入力させるか」を指定できます。

メリット:
一度ログインした端末に、いつまでもアクセス権を残さないようにできます（例：1日〜30日などの間隔で再認証を要求）。

SharePoint サイト単位・OneDrive単位の設定

組織全体の設定に加えて、特定の SharePointサイトや OneDriveに対してより制限の厳しい設定を適用できます。

1. SharePoint サイト単位の設定変更

機密情報を扱うプロジェクトサイトなど、特定のサイトだけ外部共有を禁止または制限する手順です。

1. SharePoint 管理センター ＞ [サイト] ＞ [アクティブなサイト] を開きます。
2. 対象のサイト名をクリックして、詳細パネルを開きます。
3. [設定] タブを選択し、[外部共有] をクリックします。
4. 共有レベルを選択します。
   • 注意: 組織全体の共有設定よりも「緩い」設定（例：組織全体が「既存のゲスト」なのに、サイトを「すべてのユーザー」にする等）は選択できません。
5. [保存] をクリックします。

2. 個別の OneDrive 単位の設定変更

特定のユーザーの OneDrive だけ外部共有を禁止したい場合など、個人単位で制限をかける手順です。

1. SharePoint 管理センター ＞ [ユーザー] ＞ [アクティブなユーザー] を開きます。
   • ※Microsoft 365 管理センターではなく、SharePoint 管理センター内のメニューから操作するのがスムーズです。
2. 対象のユーザー名をクリックします。
3. [OneDrive] タブを選択し、[外部共有の管理] をクリックします。
4. [組織全体の共有設定を上書きする] にチェックを入れ、制限レベルを選択します。
5. [保存] をクリックします。
   

Microsoft Entra IDとの連携

外部共有を安全に行うためには、SharePoint 上の設定だけでなく、その土台となる Microsoft Entra ID（旧 Azure AD） との連携を理解することが不可欠です。

1. 二段構えのセキュリティ構造

外部共有の可否は、以下の2段階で判定されます。

• 第1関門（Entra ID）： 組織全体として「外部との通信」を許可しているか。
• 第2関門（SharePoint）： サイトやファイル単位で「共有」を許可しているか。

※ 第1関門（Entra ID）で禁止されている相手には、SharePoint でどれだけ設定を緩めても共有できません。

2. Microsoft Entra B2B 統合（共有モデル）

SharePoint と OneDrive は、Entra ID の B2B（Business to Business）コラボレーション機能を利用してゲストを招待します。

• 統合のメリット: B2B 統合を有効にすると、ゲストユーザーの管理が Entra ID に集約されます。
• 適用される制限: 「ゲスト招待を許可するユーザーの制限」や「招待できるドメインの制限」など、Entra ID 側の強力なセキュリティ設定がそのまま SharePoint にも適用されます。

3. テナント間アクセス設定（クロステナント設定）

特定の外部組織（他社の Microsoft 365 環境）とのやり取りを、組織単位で細かく制御する仕組みです。

インバウンド制御（受入）：
外部のどの組織（テナント）のユーザーが、自社のリソースにアクセスできるかを制限します。

アウトバウンド制御（送出）：
自社のユーザーが、外部のどの組織のリソースにアクセスしてよいかを制限します。

信頼設定:
相手企業のデバイスが「安全である（準拠している）」と確認できた場合のみアクセスを許可する、といった高度な条件付きアクセスも可能になります。

まとめ

SharePointと OneDriveの外部共有制限は、情報漏洩リスクを低減するための重要な施策です。
組織に適したセキュアな共有環境を構築してください。
重要なのは、セキュリティと利便性のバランスを取りながら、継続的に見直しを行っていくことです。

免責事項：Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。