2025年2月25日 (火)

OneDrive for Business: 外部ユーザー以外のすべてのユーザーとの共有による過剰共有の削減対策

205年4月10日~2025年9月末にかけて、OneDrive for Business ごとのルートサイトと既定のドキュメント ライブラリから「外部ユーザー以外のすべてのユーザー」のアクセス許可が見つかれば削除されます。過剰共有を防ぐための施策の一環です。

20250225_071925

外部ユーザーを除くすべてのユーザーという特殊グループ以外にも、Everyone, All Authenticated Users, All Users グループに関しても利用はできるものの、現在利用は推奨しておらず、Entra ID 側でユーザー定義グループをキチンと作成してロールベースのアクセス管理をするように勧められています。詳しくは次のリンク先を参照してください。

Microsoft 365 で Everyone 要求を外部ユーザーに付与する - Microsoft 365 | Microsoft Learn

さて、用語について少し補足説明しておきましょう。ルートサイトと既定のドキュメント ライブラリという2つについてです。

OneDrive for Businessは個人ごとに割り当てられる特殊な SharePoint サイトとなっており、以前はサブサイトを作成することもできました。古くはブログのサイトテンプレートがあり、これをサブサイトとして作成したりもしていました。現在、ほとんどはサブサイトを作成していることは少ないと思いますが、既定で用意されている OneDrive for Business自体はルートサイトとなるわけです。OneDrive for Busines のルートサイトを共有するには例えば、次のクラシックな管理画面から SharePoint サイトと同じく共有できはします。

https://<onedriveのURL>/_layouts/15/user.aspx

20250225_205020

ですから、たとえば、ここに「外部ユーザーを除くすべてのユーザー」特殊グループが追加されていたら、検知して削除するよという話です。

OneDriveは個人の領域なので、OneDrive for Businessという個人のサイト全体を組織の全員に対して丸ごと共有する運用は個人的にはお勧めしません。ですから確かにこれは過剰共有といえるため納得の措置です。そもそも既定では所有者のユーザーのみがサイト管理者およびフルコントロール権限を持ちます。王道的な使い方なら、フォルダーやファイル単位で共有リンクを使って共有するのが一般的です。しかも昨年から、社内向けの共有リンクにも有効期限が指定できるようになったので、こうしたものを活用して極力過剰共有しないようにすべきです。

さて、もう一つについて。既定のドキュメント ライブラリと書かれていますが、これも OneDrive の「マイファイル」からアクセスしているもののことで、ここは既定のドキュメント ライブラリです。既定のドキュメント ライブラリ以外も、やろうと思えば追加できます。単なる SharePoint サイトだからです。ただ、使い勝手も悪いので通常はこうしたことはほとんど行いません。参考までに追加のライブラリの作成は、たとえば、次のURLから「サイトのライブラリとリスト」にアクセスすることで新規にライブラリを作成できます。

https://<onedriveのurl>/_layouts/15/settings.aspx

20250225_203638

20250225_203739

つまり、このように独自に追加したライブラリは対象外だということです。で、この既定のライブラリ自体にアクセス権限を「外部ユーザーをに除くすべてのユーザー」に対して付与していると、これも検知して削除するということ。

とまぁ、ここまでの内容を確認するとそれはそうだなという感じですね。ユーザーが日頃から利用する OneDrive の中身が全社員に丸見えだということになりますから。有償版の Microsoft 365 Copilot など使うと、共有しているつもりはなくても実は組織内全体から丸見えになっているコンテンツは当然、生成AI によっても再利用されることになるため、過剰共有対策は急務といえます。

ということでOneDriveのルートWebと既定のドキュメントライブラリに存在する「外部ユーザーをに除くすべてのユーザー」の許可が削除されると、アプリ、プロセス、ユーザーは影響を受けるOneDriveアカウントのコンテンツにアクセスできなくなってしまうわけです。こうしたユーザーのコンテンツが組織全体に丸見えになっているようなケースがどれほど多いかわかりませんが、ユーザーに知らせて該当しそうなものがあれば、早急に見直しをしておくに越したことはありません。

ただし、特定のファイルやフォルダーに直接許可が与えられているユーザー、プロセス、アプリは影響を受けません。これまで通り、ファイルやフォルダー単位で共有リンクを作っているような場合はもんだなく使えるということです。ただ、やはり「外部ユーザーをに除くすべてのユーザー」は使わないようにするのが望ましいといえます。

EEEU って何? 

ちなみに、「外部ユーザーを除くすべてのユーザー」は長い名前のグループで英語でも "Everyone Except External Users" と長いので、英語では略して EEEU となっています。 

コメント