トップ > 条件付きアクセス > 条件付きアクセスを活用した SharePoint のダウンロード制御

条件付きアクセスを活用した SharePoint のダウンロード制御

条件付きアクセス Azure AD Microsoft Entra ID SharePoint

近年、リモートワークやモバイルワークの普及により社外からのアクセスや個人端末での業務が一般化してきました。

このような環境化では「情報漏えいのリスク」への対策が重要となってきます。特に、機密ファイルのダウンロードについては慎重な制御が求められます。

そこで利用する機能が、Microsoft Entra ID の条件付きアクセスポリシーを活用した「ダウンロード制御」です。

本記事では、SharePoint Online でのファイルのダウンロード制御の概要と設定方法について、わかりやすく解説します。

ダウンロード制御とは?

Microsoft Entra ID における条件付きアクセスを利用して、特定の条件下ではファイルのダウンロードを禁止する/制限する機能です。

「ファイルの閲覧は許可するがダウンロードはブロックする」といった柔軟な制御が可能です。

注意事項

すべてのデバイスが制御対象となるわけではなく、実際に制御が適用されるのは以下のデバイスです。

  • アンマネージドデバイス(個人所有のデバイス、非準拠デバイス)からのアクセス
  • アンマネージドデバイスのOSについては特段制限はない

※Microsoft Entra ハイブリッド参加、Intune準拠している端末には上記制御はかかりません*1*2
※条件付きアクセスによる制御は基本的にブラウザーでの制御になるため、アプリに対してダウンロード制御することはできません*3

設定手順

以下の手順を実施することで、アンマネージドデバイス(管理されていない端末)から SharePoint Online 上のファイルに対するダウンロード制御を適用することができます。

1. SharePoint管理センターへアクセスし、[ポリシー] < [アクセスの制御] をクリックします。

2. [アクセスの制御] から [管理されていないデバイス] をクリックします。

3. [管理されていないデバイス] にて、以下の[制限されたWebのみのアクセスを許可する

]を選択して [保存] をクリックします。

4. [Confirm allow limited, web-only access] が表示された場合は [Confirm] をクリックします。


5. Entra管理センターにて、[条件付きアクセス] > [ポリシー] をクリックして以下2点のポリシーが作成され、有効になっていることを確認します。

  • [SharePoint admin center]Block access from apps on unmanaged devices - xxxx/xx/xx
  • [SharePoint admin center]Use app-enforced Restrictions for browser access - xxxx/xx/xx

※xxxx/xx/xxには設定を有効にした年月日が入る

ポリシーの内容

作成/有効化されたポリシーの内容を以下に記載いたします。

  • [SharePoint admin center]Block access from apps on unmanaged devices - xxxx/xx/xx
    • アンマネージドデバイスからデスクトップ/モバイル版のSharePointあるいはOneDriveアプリへアクセスした場合にアクセスをブロックする
  • [SharePoint admin center]Use app-enforced Restrictions for browser access - xxxx/xx/xx
    • アンマネージドデバイスからWeb版のSharePointあるいはOneDriveアプリへアクセスした場合に制御がかかる
    • ファイルの閲覧は可能だが、ダウンロードと印刷が不可となる

なお、ポリシー内の設定における以下の[アプリによって適用される制限を使用する]の項目が、ダウンロード制御を実現する項目となります。

設定後の動作

今回は、ファイルのダウンロード制御を確認したいため、以下ポリシーに重点を置いて確認を進めます。

[SharePoint admin center]Use app-enforced Restrictions for browser access - xxxx/xx/xx

アンンマネージドデバイス(Windows端末)からWebアプリへアクセスする際の動作について、実際にユーザー視点でどのような制御が適用されるかについて以下に記載します。

1. 以下URLよりMicrosoft 365ポータルへサインインし、[アプリ] をクリックします。

https://login.microsoftonline.com/

2. 対象のアプリをクリックします。

※今回はSharePointとOneDrive、Teamsで確認

3. 各アプリを開いた際、以下の赤枠部分のようにファイルのダウンロードに対して制限がかかっている旨のメッセージが表示されます。

SharePointの場合

OneDriveの場合

Teamsの場合

※メッセージは表示されない

4. ファイルを選択しても、通常表示される[ダウンロード]ボタンが表示されないことを確認します。

SharePointの場合

OneDriveの場合

Teamsの場合

5. 各アプリに格納されているファイルを開いても、保存できないように赤枠のメッセージが表示されることを確認します。

※ ここでは例としてExcelファイルを使用

まとめ

  • SharePoint 管理センターでアクセス制御を実装することで条件付きアクセスポリシーを活用した「ダウンロード制御」が可能となる
  • ファイルの閲覧自体は可能で、SharePoint/OneDrive/Teamsが制御対象となる
  • アンマネージドデバイス(個人所有のデバイス、非準拠デバイス)が制御対象となる
  • マネージドデバイス(Microsoft Entra ハイブリッド参加もしくはIntune準拠している端末)に対しては本機能での制御をかけることができない

*1:Microsoft Entra ハイブリッド参加、Intune準拠している端末には上記制御はかかりません

*2:上記ポリシーに該当していてもメッセージが表示されずにファイルのダウンロードを実施することが可能です。

*3:条件付きアクセスによる制御は基本的にブラウザーでの制御になるため、アプリに対してダウンロード制御することはできません

執筆担当者プロフィール
鍋田 航

鍋田 航(日本ビジネスシステムズ株式会社)

MW2部所属。Entra ID Connect や Entra ID 等の認証領域の設計・導入に携わっております。趣味:キャンプ、釣り、ラグビー観戦など。

担当記事一覧