はじめに
サードパーティ製クラウドストレージの利用を推進したいなどの理由で、OneDriveやSharePoint Online(SPO)の利用を制限したい場合があります。
今回の記事では、要件の達成方法を3つ用意しました。
なお、OneDriveとSPOはセットです。
片方のみを制限することは記事作成時点ではできません。
OneDriveの利用を制限する方法
サインインを無効化する
全体的に利用を制限させたい場合の方法です。
- Azure管理ポータルから「エンタープライズアプリケーション」を開きます。
- 「すべてのアプリケーション」から「Office 365 SharePoint Online」を検索しクリックします。
- 「プロパティ」の「ユーザーのサインインが有効になっていますか?」を「いいえ」に変更し、「保存」をクリックします。
- OneDriveにサインインを試すとエラーが発生するようになります。
デスクトップ版のエラー例(エラーコード CAA2000C) 
ブラウザ版のエラー例(AADSTS7000112) 
Teamsからアクセスした場合
条件付きアクセス制御設定
一部のユーザーアカウントのみOneDriveの利用を制限させたい場合は、条件付きアクセス制御設定で対応します。
この機能を利用するには、AAD P1 ライセンスが必要になります。
- Azure管理ポータルから「Azure Active Directory」を開きます。
- 「セキュリティ」-「条件付きアクセス」-「新しいポリシー」をクリックします。
- 条件付きアクセスポリシーの「名前」を入力します。(例:OneDrive無効化)
- 「割り当て」-「ユーザー」から対象のユーザーもしくはグループを選択します。(例:すべてのユーザー)
- 「クラウドアプリまたは操作」-「対象」から「アプリを選択」を選び、「選択」から「Office 365 SharePoint Online」を検索し、「選択」ボタンをクリックします。
- 「アクセス制御」-「許可」から「アクセスのブロック」を選択し、「選択」ボタンをクリックします。
- 「ポリシーの有効化」から「オン」を選択し、「作成」をクリックします。
ポリシー設定例 -
対象のユーザーアカウントでOneDriveにサインインを試すとエラーが発生するようになります。
デスクトップ版でサインインした際のメッセージ 
デスクトップ版のエラー例(エラーコード: 0x8004de44) 
ブラウザ版のエラー例
セキュリティグループによる制限
記事作成時点ではプレビューとなっている機能です。
特定のセキュリティグループに所属しているユーザーアカウントのみOneDrive/SPO利用を許可する構成を組めます。
この機能を利用するには、Office365 E5/A5またはMicrosoft365 E5/A5ライセンスが必要になります。
- SharePoint管理センターから「ポリシー」-「アクセスの制御」-「OneDriveへのアクセスの制限」をクリックします。
- 「指定したセキュリティグループ内のユーザーのみにOneDriveアクセスを制限する」にチェックを入れ、許可するセキュリティグループを入力して「保存」ボタンをクリックします。
-
「OK」をクリックします。
-
許可対象のセキュリティグループに所属していないユーザーアカウントでOneDriveにサインインを試すとエラーが発生するようになります。
デスクトップ版のエラー例(エラーコード:0x8004e4d0) 
ブラウザ版のエラー例
おわりに
以上、OneDriveの利用を制限する方法でした。
なお、OneDriveやSPOのライセンスオプションをオフにする方法では完全に利用を制限することはできません。
一度でもアクティブにすれば利用できてしまいます。
マイクロソフトサポートによれば、ライセンスが付与されていないユーザーにアクセス権があるのは「一時的な例外措置」とのことでした。
ライセンスがない状態で利用した場合、ライセンス違反に該当します。
今回ご紹介した方法でご検討いただけますと幸いです。
