戻る 進む ホーム 印刷 検索
SharePoint Server のヘルプと使い方 >  サイト管理 >  セキュリティと権限を管理する
サイトおよびサイトのコンテンツへのアクセス制御について
サイトおよびサイトのコンテンツへのアクセス制御について
このトピックの内容

サイト所有者は、サイトまたはサイトのグループのアクセス許可構造を作成するときに、管理の容易さと、セキュリティ保護可能な個別のオブジェクトに対する固有のアクセス許可の管理の必要性について、調整を取る必要があります。また、Web サイトでは、サイトへのアクセスを許可するときに、最小限の特権原則に従うことが重要です。

最も簡単に管理を行うには、標準の SharePoint グループ (サイト名 の所有者、サイト名 のメンバ、およびサイト名 の閲覧者) の使用から開始し、サイト レベルでアクセス許可を割り当てます。ほとんどのユーザーは、サイト名 の閲覧者 またはサイト名 のメンバ SharePoint グループのメンバとすることをお勧めします。すべてのユーザーを、サイト名 の所有者 SharePoint グループのメンバとして追加しないでください。既定では、サイト メンバはサイトへの投稿、アイテムまたはドキュメントの追加または削除ができますが、サイトの構造を変更したり、サイトの設定や外観を変更することはできません。ユーザーが行う操作をより詳細に管理する必要がある場合は、追加の SharePoint グループおよびアクセス許可レベルを作成することができます。

さらに高いセキュリティを必要とする、機密性の高いデータを含む特定のリスト、ライブラリ、リストまたはライブラリ内のフォルダ、リスト アイテム、またはドキュメントがある場合は、詳細に設定されたアクセス許可を使用して、特定の SharePoint グループまたは個別のユーザーにアクセス許可を付与することができます。ただし、詳細に設定されたアクセス許可の管理は、非常に時間のかかるタスクです。

セキュリティ要素をセキュリティ保護可能なオブジェクトに割り当てる方法

サイト、リスト、ライブラリ、リストまたはライブラリ内のフォルダ、アイテム、ドキュメントなどのセキュリティ保護可能なオブジェクトについて、ユーザーおよびユーザーを含む SharePoint グループに、特定のアクセス許可を付与することができます。ユーザー アカウントを直接管理するのは効率的ではないので、できるだけ SharePoint グループを使用してユーザーを管理します。

次の図は、SharePoint サイト内でセキュリティ保護可能なオブジェクトについて、ユーザーと SharePoint グループに特定のアクセス許可レベルを割り当てる方法を示しています。

ユーザーとグループには、特定の範囲でアクセス許可レベルが割り当てられます

* 1 人のユーザーは、SharePoint グループのメンバとすることなく、直接割り当てが可能です。

アクセス許可の割り当ては、特定のセキュリティ保護可能なオブジェクトで行われます。この割り当てには、ユーザーまたは SharePoint グループおよびアクセス許可レベルが含まれます。各アクセス許可レベルには、特定のアクセス許可のセットが含まれます。

異なるユーザーと SharePoint グループには、特定のサイト、リスト、ライブラリ、リストまたはライブラリ内のフォルダ、リスト アイテム、またはドキュメントについて、異なるアクセス許可レベルを割り当てることができます。個別のユーザーまたは SharePoint グループは、セキュリティ保護可能なオブジェクトごとに、異なるアクセス許可レベルを持つことができます。

  • 権限の管理アクセス許可を持っているユーザーは、SharePoint グループを作成し、サイト全体にアクセス許可レベルを割り当てることができます。ただし、ユーザーまたはドメイン グループの SharePoint グループへの追加または削除はできないことがあります。サイト コレクションの管理者とサイト所有者には、既定でこのアクセス許可が与えられます。
  • リストまたはライブラリ管理者は、ユーザーまたは SharePoint グループを追加または削除するか、そのアクセス許可レベルを変更することにより、リスト、ライブラリ、またはそれらの中にあるフォルダのアクセス許可の制限を調整することができます。
  • リスト アイテムまたはドキュメントの作成者は、ユーザーまたは SharePoint グループを追加または削除するか、そのアクセス許可レベルを変更することにより、リスト アイテムまたはドキュメントのアクセス許可の制限を調整することができます。
 ページの先頭へ

階層と継承

既定では、リスト、ライブラリ、リストおよびライブラリ内のフォルダ、アイテム、およびドキュメントのアクセス許可は親サイトから継承されます。ただし、階層の下位レベルにあるセキュリティ保護可能なオブジェクトのアクセス許可を編集する (固有のアクセス許可割り当てを作成する) と、そのオブジェクトでの継承を停止することができます。たとえば、ドキュメント ライブラリのアクセス許可を編集すると、サイトからの継承が停止されます。

Web サイトそのものが、アクセス許可を割り当てることができる、セキュリティ保護可能なオブジェクトです。サブサイトを構成して、親サイトからアクセス許可を継承したり、継承を停止し、特定のサイトでの固有のアクセス許可を作成することができます。アクセス許可を継承するのが、Web サイトのグループを管理する最も簡単な方法です。ただし、サブサイトが親からアクセス許可を継承している場合、そのアクセス許可は共有されます。

 注意    親サイトからアクセス許可を継承するサブサイトの所有者は、親のアクセス許可を編集することができます。親サイトのアクセス許可に対する変更が、親サイトおよびそのアクセス許可を継承するすべてのサブサイトにとって適切であることを確認してください。

次の図は、トップレベル Web サイトと、親サイトからアクセス許可を継承するサブサイト、および固有のアクセス許可を持つサブサイトのサイト コレクション階層を示しています。

アクセス許可を継承するサブサイトと、固有のアクセス許可を持つサブサイトを含むサイト コレクションの階層

この図で、サブサイト 1 はトップレベル Web サイトからアクセス許可を継承します。つまり、SharePoint グループおよびトップレベル サイトのアクセス許可レベルに対して行われた変更は、サブサイト 1 にも影響します。

サブサイト 2 も、親 (サブサイト 1) からアクセス許可を継承します。ただし、サブサイト 1 は親からもアクセス許可を継承しているため、SharePoint グループおよびトップレベル サイトのアクセス許可レベルに対して行われた変更は、いずれもサブサイト 2 にも影響します。これは、アクセス許可を継承しているサブサイトでアクセス許可を管理することはできないためです。その代わりに、親 (サブサイト 1 およびサブサイト 2 のトップレベル Web サイト) のアクセス許可を管理するか、継承を停止して固有のアクセス許可を作成できます。

サブサイト 3 には固有のアクセス許可があります。つまり、サブサイト 3 は親サイトからアクセス許可を継承しません。そのため、サブサイト 3 のアクセス許可レベルおよび SharePoint グループに対して行われた変更は、親サイトには影響しません。サブサイト 4 はサブサイト 3 からアクセス許可を継承しているので、サブサイト 3 のアクセス許可レベルまたは SharePoint グループに対して行われた変更は、両方のサイトに影響します。

次の図に示すように、各サイトには、サイト階層で特定の位置を持つ、追加のセキュリティ保護可能なオブジェクトが含まれます。

範囲の階層

下位レベルのセキュリティ保護可能なオブジェクトは、親から自動的にアクセス許可を継承します。たとえば、リストまたはライブラリはサイトからアクセス許可を継承し、リスト アイテムとドキュメントはリスト、ライブラリ、またはそれらを含むフォルダからアクセス許可を継承します。この継承は階層の任意の位置で停止し、固有のアクセス許可を割り当てることができます。親からの継承を停止すると、継承を停止したセキュリティ保護可能なオブジェクトは、親のアクセス許可のコピーを受け取ります。次に、これらのアクセス許可を編集して固有にすることができます。つまり、セキュリティ保護可能なオブジェクトに対して行う変更は、親には影響しません。

アクセス許可の継承の計画

可能な限り、サイト レベルのみでアクセス許可を管理するのが最も簡単です。つまり、リスト、ライブラリ、リストまたはフォルダ内のフォルダ、ドキュメント、アイテムなど、サイト内のすべてのセキュリティ保護可能なオブジェクトに対して適切なアクセス許可をサイトに割り当てることができるような方法で、サイトの階層を作成する必要があります。サイト階層の任意のセキュリティ保護可能なオブジェクトに固有のアクセス許可を割り当てることができますが、この作業はアクセス許可の継承よりも手間がかかります。サイト内のリストまたはライブラリに、より詳細なアクセス許可が割り当てられている場合や、一部のサイトに固有のアクセス許可を持つサブサイトがあり、一部のサイトに継承されたアクセス許可がある場合、この作業はさらに困難になります。可能な限り、サイト、サブサイト、リスト、およびライブラリは、ほとんどのアクセス許可を継承できるように配置します。機密性の高いデータは別のサブサイト、リスト、ライブラリなどに配置します。

たとえば、機密性の高いデータとそうでないデータを同じサイト、リスト、およびライブラリに混在させるのではなく、次の例のように、階層を使ってアクセス許可を管理する方がはるかに簡単です。

  • サイト A  グループのホーム ページ
    • リスト A  機密性の高くないデータ (継承されたアクセス許可)
    • ドキュメント ライブラリ A  機密性の高くないデータ (継承されたアクセス許可)
    • サブサイト B  機密性の高いデータ (固有のアクセス許可)
      • リスト B  機密性の高いデータ (固有のアクセス許可)
      • ドキュメント ライブラリ B  機密性の高いデータ (固有のアクセス許可)

サイト A のリストとライブラリには機密性の高くないデータが含まれていて、サブサイト B はサイト A の下に作成され、機密性の高いデータを保存するためのリストとライブラリが含まれています。このシナリオでは、リスト A およびドキュメント ライブラリ A に対して適切なアクセス許可をサイト A に割り当て、リスト B およびドキュメント ライブラリ B に対して適切な、固有のアクセス許可をサブサイト B で作成することができます。

 ページの先頭へ

参照