権限管理が重要な理由
M365の権限管理が不適切だと、以下のリスクが発生します。
- 情報漏洩:退職者のアカウントが残り続け、社外からデータにアクセス可能な状態
- 内部不正:不要な権限を持つ従業員が機密情報にアクセスできる状態
- Copilotによる意図しないデータ露出:Copilotはユーザーがアクセスできる全データを参照するため、過剰な権限がAI経由でのデータ漏洩につながる
設計原則
- 最小権限の原則:ユーザーには業務に必要な最小限の権限のみ付与
- グループベースの権限管理:個人ではなくグループに権限を付与し、メンバーの追加・削除で管理
- 明示的な権限付与:「全社員がアクセス可能」なサイトは極力作らず、必要なグループにのみ権限を付与
- 定期的な棚卸し:四半期ごとに権限の状態をレビューし、不要な権限を削除
SharePoint権限の管理
| 権限レベル | できること | 付与対象 |
|---|---|---|
| サイト所有者 | サイトの設定変更、権限管理、全コンテンツの管理 | サイト管理者(1〜2名) |
| サイトメンバー | コンテンツの作成・編集・削除 | チームメンバー |
| サイト閲覧者 | コンテンツの閲覧のみ | 情報を参照するだけのユーザー |
注意すべき設定として「Everyone except external users」(外部ユーザー以外の全員)グループにアクセス権を付与しないことが挙げられます。これはテナント内の全ユーザーにアクセス権を与えてしまいます。
Entra IDグループ設計
- 部門別グループ:SG-Sales、SG-Engineering等(セキュリティグループ)
- プロジェクト別グループ:Microsoft 365グループ(Teams/SharePointサイトと連動)
- 動的グループ:部門属性に基づいて自動的にメンバーが追加・削除されるグループ(Entra ID P1)
- 命名規則:グループ名に「SG-」「M365-」「DL-」等のプレフィックスを統一し、種類を識別可能に
定期的なアクセスレビュー
- 四半期ごとの権限棚卸し:各SharePointサイトの権限をエクスポートし、不要なアクセス権を削除
- ゲストアカウントのレビュー:外部ゲストのアクセス権が期限切れになっていないか確認
- 共有リンクの監査:「リンクを知っている全員」で共有されたファイルを特定し、共有を解除
- Entra IDアクセスレビュー:P2ライセンスで自動的なアクセスレビューワークフローを設定可能
Copilot導入前の権限棚卸し
Microsoft 365 Copilotはユーザーのアクセス権限に基づいてデータを参照します。Copilot導入前に以下を実施してください。
- SharePointサイトの権限を全サイト確認し、「Everyone」グループの使用を排除
- OneDriveの「組織内の全員」共有を棚卸し
- 不要になったTeamsチーム・チャネルをアーカイブ
まとめ
M365の権限管理は「最小権限の原則」「グループベースの管理」「定期的なアクセスレビュー」が基本です。特にCopilot導入前の権限棚卸しは必須です。