2024年3月

2024年3月21日 (木)

Microsoft_lists_form_2

Microsoft Lists アプリから新規フォームを直接作成できる機能のロールアウトがいよいよ始まりました! 

Microsoft の公式ブログでもアナウンスされました。

Collect information like a pro New Microsoft Lists forms experience in Microsoft 365

リストに情報登録してもらうために、これまでだと Microsoft Forms のフォームを別途作成してそこから Microsoft リスト (=SharePoint リスト) に登録するよう Power Automate でフローを作成することも多かったと思います。また Power Apps でリストへの登録用アプリを独自に作成して、リストにはユーザーが直接アクセスさせることなく必要項目に直接入力してもらうこともあるでしょう。

ですが、この機能によって フォームを別途作る必要はなくなりますし、リストに登録するのに Power Automate も Power Apps も不要で直接入力用のフォームを作成できてしまいます。もちろん、モバイルからも利用できます。

ちなみに、Microsoft Forms と似たUIであり、Power Apps で作成するアプリと比較するとできることは限定的なので、Power Apps が完全に不要になるわけではありませんが、ちょっとしたリスト登録用ならこのフォームで事足りることも多いと思います。

作成方法および利用方法

Microsoft Lists アプリを開いて任意のリストにアクセスしてコマンドバーに表示される「Forms」をクリックして作成を始めます。このメニューはリストに対して「編集」アクセス許可レベル以上を持っていれば表示されます

※ロールアウトされてすぐなので Forms となっていますけれど、そのうち「フォーム」とカタカナ表記になるはず。

20240321_133012_2

フォーム作成画面は「フォーム ビルダー」と呼ばれます。

20240322_121543

具体的な作成方法は下記の Microsoft の Mark Kashman さんの YouTube を確認してみてください。

ついでに、手元の日本語環境でざっと動作確認した際に録画した内容も共有しておきます。

サポートされている列

列は Microsoft Lists 側で事前に用意しておくことも可能ですし、フォーム側から「新しいフィールドを追加する」で追加することもできます。

現時点でサポートされている列は次の通りです。

  • 一行テキスト
  • 選択肢
  • 数値
  • 日付と時刻
  • 複数行テキスト
  • はい/いいえ
  • ユーザー
  • ハイパーリンク
  • 通貨

20240321_133647

画像列や添付ファイルは今のところサポートされていません。これが扱えるようになるといいんですけどね。

各列に対してフォーム上から次の操作も行えます。

  • フォーム上への表示・非表示
  • 必須項目の指定
  • 順番の並び替え
  • 列の編集(設定変更)
  • 列名の変更

※そもそもリストはPower Automateなどと連携させる場合は列名は最初は ASCII文字で作成することが推奨されています。列が内部的にもつ「内部列名」というものがUTF-16でエンコードされるためです(文字化けだと思う人もいますが、そうではありません)。ですから、最初にローマ字や英語表記で作成することも少なくないわけです。ですからリスト上はASCII文字で、フォーム上では日本語でわかりやすく書いておくということもできるということ(むろん、リスト側であとから列の表示名を日本語に変えておいても問題はありません)。


20240321_134102

テーマ

フォームには既定で4つのテーマが用意されています。

20240321_134854

「自分のスタイルを作成」をクリックすると背景とテーマの色を別途選ぶこともできます。

20240321_134949

受付期間の指定とお礼のメッセージ

「設定」では回答を受け付け始めるかどうかを指定するトグルと、確認メッセージ欄(お礼などを書くところ)も用意されています。20240321_135020

フォームの保存

フォームは自動保存されます。

プレビュー

フォームを公開する前に、プレビュー表示で送信をテストできます(右上の「プレビュー」をクリックする)。送信すると実際にリストにアイテムが追加されます。プレビューは新しいタブで開くため、確認が終わったらそのタブを閉じます。

フォームの送信

出来上がったら「フォームの送信」をクリックします。とはいえ、これで誰かに送信されるわけではなく単に共有リンクを作成するだけです。生成したリンクをメールやチャットなどで共有して利用することになります。現時点では「リンクを知っている組織のユーザー」に対する共有リンクのみが生成できます。20240321_135321

フォームの複数作成/削除

一つのリストに対して複数のフォームを作成できます。既存のフォームの複製もできます。また既存フォームの削除も可能です。

20240321_135606

複数のフォームが作成できるということは、たとえば、入力項目を変えて複数作成するなどできます。現時点では「組織内のすべてのユーザー」向けの共有リンクしか生成できませんが、当初のアナウンスからすれば、そのほかの共有リンクも作成できるようになるはずで、組織内ではこのフォーム、社外にはこのフォームを利用してもらうとか、特定の部署にはこのフォーム、それ以外は別のフォームというような配布もできるようになるのではないかと思います。

それともう一つ重要な点ですが、フォームを削除してもそのフォームから追加されたリストアイテムはそのまま残ります

既存フォームのリンクのコピー

既存フォームのリンクを再度取得するには リンクのアイコンをクリックして「リンクのコピー」をクリックします。20240321_150129

回答の承諾を停止する

2つ上の図に「回答の承諾を停止する」メニューがあります。これをクリックすると次の画面が表示されます。

20240321_150056

これにより「回答の受付」が終了します。このフォームからの送信は受け付けられなくなると言うことです。

20240321_150517

共有リンクはどうなるのか確認しましたが、リンク自体は削除はされませんでした。再び「回答の承諾を開始する」こともできるため、従来共有していたリンクをそのまま再利用できるということです。ちなみに共有リンクは一度削除してしまうと、再作成してもリンク自体別のものになってしまいます。

確認事項

2024年3月現在、ロールアウト中であり初期リリースです。これから徐々に機能が追加されていくことになるはずです。その点を踏まえたうえで現時点での確認事項です。

作成の開始場所

Microsoft リストフォームは現時点では Microsoft Lists アプリから作成する必要があります。ただし、SharePoint リストも Microsoft Lists と同じUXが段階的に投入されてきており、テナントによって(厳密にはユーザーに単位でロールアウト)は 次の図に示すようにSharePoint リスト側に Forms コマンドバーが表示されます。

20240322_190230

もし、ロールアウトが未達でSharePoint サイト内のリストからのアクセスではコマンドバーに「Forms」がでてこない場合は、SharePoint リストのURLの末尾に「?env=WebViewList」を指定するとMicrosoft Lists アプリに簡単に切り替わります。

フォームを利用できるユーザーを制限できるか?

現時点で生成できる共有リンクは「組織内のすべてのユーザー」に対するリンクだけです。

共有リンク経由でアクセスすれば、文字通り組織内のユーザーは誰でもリストに対して送信できるということですが、なにか制限はできないだろうかと考えます。例えば、テナントでMicrosoft Syntex SharePoint Advanced Managment (SharePoint の高度な管理)のアドオンライセンスを持っている場合は、サイト単位で策定のグループ内のユーザーでないとサイトにアクセスできないように制限できます。これはもともと過剰共有を低減するための仕組みであるため、組織内のすべてのユーザーが利用できる共有リンクが作られたとしても、利用できるユーザーを限定できます。

20240321_152016

制限されたアクセスにした場合、許可されたグループメンバー以外がリンクにアクセスすると「アクセス拒否」されます。20240321_152452

このように共有リンクの利用者を制限する方法もあるにはあるわけです。

共有リンクの作成者を制限しているサイトではどうなるか?

SharePoint サイトでは既定でサイトの共有設定オプションは「サイトの所有者(サイトの管理者も含む)またはメンバーが共有できる」ようになっています。ですが、このオプション設定はサイトの所有者もしくはサイトの管理者が変更できます。そのため「サイトの所有者だけ(サイトの管理者も含む)が共有できる」ように変更することもできるわけです。


20240321_152605

上図のように、「サイトの所有者(サイトの管理者も含まれる)のみがサイト内のコンテンツを共有できる」ように制限することもできるわけです。このように設定すると、管理者以外は共有リンクが作成できなくなります。

そのため、サイトのメンバーはリストからフォームビルダーは開くことができるフォームも作成できるのですが、最後に「フォームの送信」から「リンクのコピー」をするときに「アクセス権限がありません」といわれてしまい共有リンクが生成できません。ですが、フォーム自体は作成されているので、リンクの生成のところだけサイトの管理者が行うという分担も可能です。

ユーザーに対するリストの隠蔽

以前、このブログで共有リンクの仕組みについて記事を書きましたが、この機能でも使われます。

SharePoint Technical Notes : SharePoint の共有リンクの仕組み (lekumo.biz)

その記事でも説明した通り共有リンクを作成するとリストは固有の権限になります。実際にリストのアクセス権限設定を確認するとリスト自体が固有の権限になっているのがわかります。20240321_155840

ではリストの権限がどうなっているのか PnP PowerShellで探ってみましょう。すると SharingLinks グループに「ファイルの送信」というアクセス許可レベルが付与されていることがわかります。特殊なアクセス許可レベルです。

20240321_161242

さて、どういった挙動になるのでしょう。

サイトにアクセス権限を持っていないユーザーがこのフォームのリンクからアクセスするとフォームにアクセスし、情報を送信できます。リンク経由だとリストアイテムの書き込み権限があるということ。

ですが、このリストのURLまたはリストのURLに直接アクセスすると「アクセス許可がない」といわれてアクセスできません。

20240321_162139つまり、サイトにアクセスできないユーザーはリンク経由でリストにデータは追加できるが、リスト自体にユーザーはアクセスできないということです。※アイテムレベルではアクセス許可レベルは親であるリストから継承します。

最後に

Microsoft 公式ブログによると、リスト内でのフォーム作成方法についての公式ヘルプなどもこれから公開されるということです。

また、Microsoft リストに関するフィードバックポータルも用意さています。実際に利用してみて気になる点などあればフィードバックするようにしましょう。

Microsoft Lists · Community

社外共有と添付ファイルができるととても強力なんだけどなーと個人的には思っていますが、まずは社内利用でも十分使えるのではないかと思います。

2024年3月11日 (月)

Sharepoint_3

SharePoint および OneDrive (Business) では共有リンクを使ってファイルやリストアイテムなどをピンポイントで共有できますが、その内部的な仕組みについてはわかりにくく、いつかきちんと整理しなくてはなぁと思いつつここまで来てしまいました。

ですが、Copilot for Microsoft 365 が登場し、機密情報をどう保護するかということを考えていくうえでそもそも共有リンクってどういう仕組みで動いているの? というのを確認しておく必要性が以前にも増してきました。

ということで、重い腰を上げてドキュメント化しておくことにします。長いのでご容赦ください。また、弊社では下記のファイル管理に特化した研修もやっています(※ 弊社の SharePoint サイト管理基礎をご受講いただくことが前提となっております。前提コースでアクセス権限の考え方の基本などをみっちり説明しているためです)。研修のご受講もお待ちしております。

📌 【オフィスアイ株式会社】Microsoft 365 を活用した最新のファイル管理手法 (office-i-corp.jp)

ここから本題です。

------------------------------------------------------------------

リストアイテムやフォルダー、ファイル単位で共有リンクを作成できますが、その内部的な仕組みについて解説します。

なお、ここからの解説はSharePoint でのアクセス権限管理の基本用語と概念がわかっていることが前提です。OneDrive (Business) も SharePoint がベースなので概念は同じです。参考情報として Microsoft Learn の記事のリンクも掲載しておきます。

SharePoint の権限レベルについて - SharePoint in Microsoft 365 | Microsoft Learn


※「ひと目でわかる Microsoft 365 SharePoint 運用管理編」も併せてどうぞ。

権限の継承から固有の権限への変更

共有リンクを作成すると、固有の権限に変更されます。これによってアイテムごと(リストアイテム、フォルダー、ファイル)の権限を持てるようになるわけです。

おさらい: サイトの権限管理

ここでおさらいです。サイトには既定では「サイトレベルでの権限スコープ」というものがあり、これがアクセス制御リスト(ACL)になっているわけです。「サイトに対して誰が何ができるのか」を記録している権限台帳が ACL です。たとえば、次のようなサイトがあるとすると既定では 3つの SharePoint グループのみが作成され、サイトの管理者が既定では <サイト名>所有者 グループに所属します。

Sharepoint

共有リンクの作成

このサイトで 見積書 - A.pdf に対して共有リンクを生成します。今回は「組織内のユーザー」が表示可能なリンクを生成したとします。

Photo_3

この時、このファイルに対してサイトからの権限の継承を中止し、固有の権限を作成するわけです。が、実はファイルの上位コンテナである「ライブラリ」自体も固有の権限になります。上記の例だと、"Library A" も固有に権限になります。

1_2

では、フォルダー内にあるファイル単位で共有リンクを生成したらどうなるでしょうか?

2_2

共有リンクを作成すると自動的に作成される特殊グループ

共有リンクを作成するとサイトに対して共有リンクを制御するための特殊な SharePoint グループが複数、自動生成されます。

Sharepointsharepoint

共有リンクを作成すると Limited Access System Group という名前の付く SharePoint グループが複数できます。 System と名前がついている通り、内部的に作成され管理される特殊なグループです。 

このうち次の2つはサイト内で初めて共有リンクが生成された時に作成されます。

  • Limited Access System Group
  • Limited Access System Group for Web <GUID>

もう一つの似た名前の Limited Access System Group for List <GUID> は、共有リンクを作成したリストまたはライブラリごとに作成されます。Limited Access System Group と名前のつくこれらのグループは一度作成されると削除されることはありません

一方の SharingLinks ~で始まるグループは共有リンクごとに作成され、当該共有リンクが削除されるとこのグループも削除されます。

これらの特殊なグループは SharePoint の UI 上には表示されません。PowerShell などから確認する必要があります。たとえば、サイト内に作成されている SharePoint グループの一覧は次の PnP PowerShell コマンドで取得できます。

サイトレベル、リストレベル、アイテムレベルの各アクセス権限の確認

共有リンクを作成すると自動的に生成されるグループがわかったところで、各レベルでのアクセス権限がどうなっているのかを確認しましょう。

サイトレベルでのアクセス権限

既存の SharePoint グループに加え次の2つのグループにサイトに対するアクセス許可レベルが付与されます。

SharePoint グループ サイトに対して付与されるアクセス許可レベル
Limited Access System Group For Web <GUID> Webのみのアクセス制限
Limited Access System Group 制限付きアクセス

20240306_151659

20240311_154229

Limited Access System Group For Web <GUID> グループには「Webのみのアクセス制限」という特殊なアクセス許可レベルが付与されています。このアクセス許可レベルは、サイトに対して特殊な制限のあるアクセスを行えるようにするものです。具体的には、サイト全体に対して直接のアクセス許可を持たないユーザーに対してサイト内またはライブラリやリスト内の特定のアイテムへのアクセスを許可します。

もう一つが Limited Access System Group であり、「制限付きアクセス」が設定されています。

制限付きアクセスでは、サイト全体でできることは次の3つだけです。リストおよびライブラリに対しては何の権限も持ちません。

  • ユーザー情報の参照
  • クライアント統合機能の使用
  • 開く

ここで「制限付きアクセス」について、簡単に振り返っておきましょう。SharePoint ではオンプレミス時代からたびたび登場した特殊な権限です。最近はなるべく目につかないような設定になっているので、よく知らない方も少なくないでしょう。特徴は次の通りです。

  • 特殊なアクセス許可レベル
  • 特定の条件で自動的にユーザーやグループに適用される
  • このアクセス許可レベルは編集や削除ができない

共有リンクのように単一のアイテムにのみ編集や表示などの権限を与えるときに、ユーザーやグループはサイトまたはライブラリ内のすべてのアイテムを表示または編集するアクセス許可は持ちません。ですがそれではアイテムにアクセスできない。そこで、サイトやアイテムが格納されているリストやライブラリレベルでアクセス制限のある特殊な権限を付与する必要があるわけです。制限付きアクセスはユーザーやグループに直接割り当てることができない特殊なアクセス許可レベルであり、自動的に構成されます。

リスト レベルでのアクセス権限

続いて、アイテム(ファイル、フォルダー、リストアイテム)のコンテナであるリスト レベルでのアクセス権限はどうなっているか確認してみましょう。固有の権限になっています。

既存の SharePoint グループに加え次の2つのグループにリスト(ライブラリ)に対するアクセス許可レベルが付与されます。

SharePoint グループ サイトに対して付与されるアクセス許可レベル
Limited Access System Group For List <GUID> 制限付きアクセス
Limited Access System Group 制限付きアクセス

PnP PowerShell コマンドの実行結果:20240306_200114

アイテムレベルのアクセス権限

アイテムレベルのアクセス権限とはファイルやフォルダー、リストアイテム単位での権限設定のことです。

アイテムやファイル単位でのアクセス権限の状態を取得するには次の PnP PowerShell コマンド (Get-PnPListItemPermission) を実行します。ちなみに -Identity で指定するのはアイテムIDです。

20240311_154341

次のような結果を得ました。注目すべきは SharingLinks グループであり、共有リンク作成時には「表示可能」に指定していました。SharePoint のアイテム側での実質の権限が “閲覧” になっていることがわかります。つまり共有リンク経由では “閲覧” 権限相当でアクセスすることになるということです。

20240309_141444

すでに説明した通り SharingLinks.<GUID> グループは共有リンクごとに自動生成されますが、グループ名に権限を表す名称も含まれているのがわかります。たとえば上記の場合は SharingLinks.<GUID>.OrganiztionView.<GUID>です。組織のユーザーに対して表示可能な設定をしたので、OrganizationView という名称がついているわけです。 

ここで共有リンクの権限との対比でまとめておきます。

共有リンクの権限 実質のアクセス許可レベル 生成されるグループ名
編集可能 投稿

すべてのユーザーの場合は、SharingLinks.<ID>.AnonymousEdit.<ID>というグループ名になる

組織内のすべてのユーザーの場合は、SharingLinks.<ID>.OrganizationEdit.<ID> というグループ名になる

選択したユーザーの場合は、SharingLinks.<ID>.Flexible.<ID>というグループ名になる

表示可能 閲覧

すべてのユーザーの場合は、SharingLinks.<ID>.AnonymousView<ID>というグループ名になる

組織内のすべてのユーザーの場合は、SharingLinks.<ID>.OrganizationView.<ID> というグループ名になる

選択したユーザーの場合は、SharingLinks.<ID>.Flexible.<ID>というグループ名になる

レビュー レビュー 必ず、SharingLinks.<ID>.Flexible.<ID> というグループ名になる
ダウンロードできません 制限付きビュー 必ず、SharingLinks.<ID>.Flexible.<ID> というグループ名になる

すべてのユーザーに共有した場合 (組織内外)

サイトの外部共有設定が「すべて」になっていれば、組織内外問わずにサイト内のコンテンツを共有できます。この「すべてのユーザー」を指定すると、これまでと少し状況が変わります。

20240309_142324

「すべてのユーザー」を指定すると必ずアイテム単位で次のグループも追加されます。

プリンシパル名 アクセス許可レベル プリンシパルタイプ
Limited Access System Group for List <GUID> 制限付きアクセス SharePoint グループ
SharingLinks.<GUID>

編集可能 … 投稿

表示可能 … 閲覧

レビュー…レビュー

ダウンロード不可 … 制限付きビュー 

 SharePointグループ
c:0u.c|tenant|<GUID>

編集可能 … System.LimitedEdit

表示可能 … System.LimitedView

レビュー…レビュー

ダウンロード不可 … 制限付きビュー 

セキュリティグループ

表でわかるように、従来と大きく変わるのがc:0u.c|tenant|で始まるセキュリティ グループが新規に作成されて追加される権限が付与されるということです。権限の異なる共有リンクを複数作成すると、作成した数だけグループも作成されます。

20240309_150419

c:0u.c|tenant|  で始まるセキュリティグループの権限

「すべてのユーザー」を対象にする場合に作成される c:0u.c|tenant| で始まるセキュリティ グループが持つ SharePoint 側のアクセス許可レベルは次のとおりです。通常だと SharePoint では見慣れない特殊な権限として System.LimitedEdit と System.LimitedView が追加されていることがわかります。

共有リンクの権限 実質のアクセス許可レベル
編集可能 System.LimitedEdit
表示可能 System.LimitedView
レビュー レビュー
ダウンロードできません 制限付きビュー 

ここまででいったん、各レベルの固有の権限の設定状況をまとめます。

Sharepoint_2

さて、再びここから c:0u.c|tenant|で始まるセキュリティ グループ を詳しく調べてみましょう。

PnP PowerShell 上では c:0u.c|tenant| で始まるものは PrincipalType が SecurityGroup と表示されますが、c で始まるアカウントであるため特殊グループであり、組織外部からアクセスされるときにはこのアカウントがマッピングされるのだろうと推測できます。ちなみに、ほかにも c で始まるこのタイプのアカウントには次のものがあります。 

  • すべてのユーザー … c:\0(.s|true
  • すべてのユーザー (windows) … c:0!.s|windows
  • 外部ユーザー以外のすべてのユーザー … c:0-.f|rolemanager|spo-grid-all-users/<GUID>

詳細を知るにはサイト内のユーザー一覧を取得する Get-PnPUser コマンドを実行する必要があります。20240309_164921

 上記の結果を見るとこのタイプは名前は SLinkClaim で始まるいうアカウントです。名前から察するに共有リンク用のクレーム認証のアカウントだということですね。

詳細を確認するために次のコマンドを実行します。20240311_202958

20240309_165623

このアカウントの IsHiddenInUI プロパティは True になっているため、SharePoint の Web UI 上には非表示だということです。Entra ID ポータル上でも非表示です。そのため PowerShell コマンドなど利用しないと気づきにくいことがわかります。 

所属グループも確認しておきましょう。

c:0u.c|tenant|で始まるセキュリティ グループが所属するグループが 上記では13 番と 14番となっています。Get-PnPGroup コマンドで確認すると次の通りです。

  • 13 … Limited Access System Group For List
  • 14 … Limited Access System Group For Web

つまり、サイトやリストレベルでアクセスが可能なように制限付きアクセス権限が付与されるようになっているわけです。Photo_2

[2024年8月 追記]アクセス権限付与の仕組み 

共有リンクによってどのようにユーザーにアクセス権限が付与されるのか確認しておきましょう。

共有リンクは「ユーザーがアクセス権限と引き換える権利」を付与するもの

共有リンクによって作成されるサイト内の各 SharePoint グループのメンバーシップですが、実際にリンク経由でアクセスすることでユーザーが追加される仕組みになっています。 

これはどういう理屈なのかということなのですが下記の Microsoft Learn に共有リンクの仕組みについての情報が公開されています。

How shareable links work in OneDrive and SharePoint in Microsoft 365

内容を整理してみましょう。主要な3つの共有リンクの特徴をまとめると次の通りです。

共有リンクの種類 特徴 利用できるユーザー範囲 備考
すべてのユーザー 転送可能で取り消し可能な秘密キー

そのリンクを持つユーザーは誰でもアクセスできる。

ユーザー認証が不要。

アクセスは監査できない。

Teams共有チャネルサイト内のファイルではすべてのユーザーリンクは使用できない。

組織のユーザー 転送可能で取り消し可能な秘密キー

Microsoft 365 組織内のユーザーのみ利用できる。

ユーザー認証が必要

ただ、共有リンクを作成しただけではユーザーに対してアクセス権は付与されない。ユーザーはリンクを実際にクリックすることでアクセス権と引き換える必要がある。リンクをクリックした後は、アクセス権限がユーザーに対して付与されるため、検索や Copilot 経由でのアクセスが可能になる。

特定のユーザー 転送可能で取り消し可能な秘密キー

共有リンク作成時に指定したユーザー

ユーザー認証が必要

共有リンク作成時にアクセス権限も付与されるため、検索や Copilot 経由でのアクセスが可能。

Teams 共有チャネルサイト内のファイルの場合、特定のユーザーリンクはチャネル内のユーザーに対してのみ送信できる。

  • 転送可能…他のユーザーに転送できる
  • 取り消し可能…リンクを削除することでリンクを介してアクセスしたすべてのユーザーのアクセスを取り消せる
  • 秘密キー…推測したり派生させることはできない。

以上のことから「組織のユーザー」に対する共有リンクの作成は、アクセス権限を引き換えるための引換証のようなもので、これをクリックすることで SharePoint としてのアクセス権限を付与することになるということです。一度アクセス権限を付与されれば、共有リンク経由でなくともファイルやフォルダーにアクセスできるようになるということです。

メンバーシップの確認

以上を踏まえて、SharePoint グループのメンバーシップを確認しみましょう。各 SharePoint グループのメンバーシップ状況は Get-PnPSiteGroup コマンドで確認できます。

20240311_152323

下記はまだ共有リンク経由で誰もコンテンツにアクセスしていない状態であるため、Limited Access System Group および SharingLinks の各グループにメンバーがいません。

20240310_213720

ですが、共有リンク経由で実際にアクセスすると各グループにユーザーが追加されます。まずは組織内のユーザー alice@office-i-learning.jp  がアクセスします。これにより次の4つのグループに追加されます。

  • Limited Access System Group
  • Limited Access System Group For List
  • Limited Access System Group For Web
  • アクセスした共有リンクが紐づく SharingLinks.<GUID>

20240310_214213

逆にいえば、実際にアクセスするまでグループのメンバーとして追加されることはありません。

では、ここで「すべてのユーザー」の共有リンクを作成します。ユーザーが直接アクセスしなくても、組織外のユーザーが紐づけられる匿名アクセス用のアカウント(下図のbe80e~ではじまるもの)が最初に次のグループに追加されます。 

  • Limited Access System Group For List
  • Limited Access System Group Fo Web

20240310_215536

20240310_220039

  • Limited Access System Group
  • Limited Access System Group For List
  • Limited Access System Group For Web
  • SharingLinks.<GUID>.AnonymousView.<GUID>

Limited Access System Groupと SharingLinks のグループは組織内のアカウントのみがアクセス時に追加されるということがわかります。

選択したユーザーへの共有

なお、共有リンクを作成するときに「選択したユーザー」を指定している場合は、最初から SharingLinks~グループにユーザーが追加されます。例えば、次の手順では組織内の support@office-i-learning.jp と組織外の Adele.Vance@officeidev.onmicrosoft.com を名指ししています。20240313_005649

  • SharingLinks.<GUID>
  • Limited Access System Group
  • Limited Access System Group For List 
  • Limited Access System Group For Web

Tips: SharePoint グループのメンバー構成を Webブラウザー上で確認する

SharePoint グループのメンバーはWebブラウザー上で確認できます。ただし、グループIDがわかっている必要があります。PnP PowerShell コマンドの Get-PnPGroup コマンドなどで確認できます。

IDがわかれば次のURLで確認できます。 

  • https://<サイトのURL>/_layouts/15/people.aspx?MembershipGroupId=<グループID>

20240311_153552

検索

Microsoft 365 の検索は SharePoint のアクセス権限に依存しており、ログインユーザーにとって権限のあるコンテンツのみが検索結果に表示されます。したがって共有リンクが作成されたとはいえ実質アクセスしたことのないコンテンツは検索結果ではヒットしないということです(選択したユーザー指定を除く)
 

Tips: 共有リンクが作成されているコンテンツを洗い出す

サイト内の共有リンクの一覧を取得する方法として一般的なのは「サイトの利用状況」ページの「外部ユーザーと共有」セクションで “レポートを実行” することです。ちなみに、レポートの保存先はライブラリ直下は指定できないため必ずフォルダーを用意しておく必要があります。

20240311_140939

生成されたファイルを開くとサイト、リスト(ライブラリ)、アイテムレベルでリソースのパスとアクセス権限が一覧できます。

20240311_141317

これともう一つ、PnP PowerShell コマンドの Get-PnPGroup を利用して SharingLinks グループの「説明(Description)」を確認すると共有リンクのソースパスが確認できます。

20240311_153908

実行結果は次の通りであり、共有リンク単位でグループは作成されるためどのくらいの数の共有リンクがあるのかを確認するのには便利ではないかと思います。

20240311_141653

まとめ

とりあえず、一通りまとめてみましたが、なかなか難しく感じる方も多いのではないでしょうか? これをしっかり理解するには、SharePoint の権限管理の仕組みの基本がわかっている必要があります。
※文書だけで理解しにくいという方はぜひ、弊社のファイル管理の研修などにご参加ください♪

また、やみくもにライブラリ内にフォルダーを山のように作成して個別に権限管理している場合は、より複雑になってきます。研修やコンサルでも繰り返しお伝えしていますが、サイトの権限管理はシンプルになるように事前にいかに設計しておくかが非常に重要なカギを握ります。フォルダー以前に、サイトの分け方をしっかり考えておくことで機密情報保護やドキュメントのライフサイクル管理ができるようになります。

これから Microsoft 365 を導入する方はもちろん、すでに導入済みの方も情報管理の在り方を今一度、しっかりと見直してみてはいかがでしょうか?