205年4月10日~2025年9月末にかけて、OneDrive for Business ごとのルートサイトと既定のドキュメント ライブラリから「外部ユーザー以外のすべてのユーザー」のアクセス許可が見つかれば削除される機能がロールアウトされる機能がロールアウトされます。過剰共有を防ぐための施策の一環です。
外部ユーザー以外のすべてのユーザーという特殊グループ以外にも、もともとはEveryone, All Authenticated Users, All Users グループに関しても利用はできるものの、現在利用は推奨しておらず、Entra ID 側でユーザー定義グループをキチンと作成してロールベースのアクセス管理をするように勧められています。詳しくは次のリンク先を参照してください。
Microsoft 365 で Everyone 要求を外部ユーザーに付与する - Microsoft 365 | Microsoft Learn
ちなみに、Everyone, All Authenticated Users に関しては、以前は外部ユーザーが含まれていましたが、2018年3月23日以降、既定では外部ユーザーが含まれなくなっています。ただし、必要に応じて管理者が PowerShellコマンドにより再び、これらのグループにアクセス権を付与することもできます。詳しくは次のリンク先を参照してください。
Microsoft 365 で Everyone 要求を外部ユーザーに付与する - Microsoft 365 | Microsoft Learn
さて、用語について少し補足説明しておきましょう。ルートサイトと既定のドキュメント ライブラリという2つについてです。
ルートサイト
OneDrive for Businessは個人ごとに割り当てられる特殊な SharePoint サイトとなっており、以前はこのサイトを起点に、入れ子の階層構造としてサブサイトを作成することもできました。古くはブログのサイトテンプレートがあり、これをサブサイトとして作成したりもしていました。
現在、ほとんどはサブサイトを作成しないでしょう。ということで既定で用意されている OneDrive for Business自体はルートサイトとなるわけです。ところで、OneDrive for Busines のルートサイトを共有しようと思えば、例えば、次のクラシックな管理画面から SharePoint サイトと同じく設定できます。
https://<onedriveのURL>/_layouts/15/user.aspx
ですから、たとえば、ここに「外部ユーザー以外のすべてのユーザー」特殊グループが追加されていたら、検知して削除するよという話です。
ただし、OneDriveは個人の領域なので、OneDrive for Businessという個人のサイト全体を組織の全員に対して丸ごと共有する運用は個人的にはお勧めしません。ですから確かにこれは過剰共有といえるため納得の措置です。そもそも既定では所有者のユーザーのみがサイト管理者およびフルコントロール権限を持ちます。王道的な使い方なら、フォルダーやファイル単位で共有リンクを使って共有するのが一般的です。しかも昨年から、社内向けの共有リンクにも有効期限が指定できるようになったので、こうしたものを活用して極力過剰共有しないようにすべきです。
既定のドキュメント ライブラリ
さて、もう一つについて。既定のドキュメント ライブラリと書かれていますが、これも OneDrive の「マイファイル」からアクセスしているもののことで、ここが既定のドキュメント ライブラリです。既定のドキュメント ライブラリ以外も、やろうと思えば新規にライブラリを追加できます。単なる SharePoint サイトだからです。ただ、使い勝手も悪いので通常は行いません。参考までに追加のライブラリは、たとえば、次のURLから「サイトのライブラリとリスト」にアクセスすることで新規に作成できます。
https://<onedriveのurl>/_layouts/15/settings.aspx
つまり、このように独自に追加したライブラリは対象外だということです。
ということで、あくまでも既定のライブラリ自体にアクセス権限を「外部ユーザー以外のすべてのユーザー」に対して付与していると、これも検知して削除するということ。
とまぁ、ここまでの内容を確認するとそれはそうだなという感じですね。ユーザーが日頃から利用する OneDrive の中身が全社員に丸見えだということになりますから。有償版の Microsoft 365 Copilot など使うと、共有しているつもりはなくても実は組織内全体から丸見えになっているコンテンツは当然、生成AI によっても再利用されることになるため、過剰共有対策は急務といえます。
ということでOneDriveのルートWebと既定のドキュメントライブラリに存在する「外部ユーザー以外のすべてのユーザー」の許可が削除されると、アプリ、プロセス、ユーザーは影響を受けるOneDriveアカウントのコンテンツにアクセスできなくなってしまうわけです。こうしたユーザーのコンテンツが組織全体に丸見えになっているようなケースがどれほど多いかわかりませんが、ユーザーに知らせて該当しそうなものがあれば、早急に見直しをしておくに越したことはありません。
ただし、特定のファイルやフォルダーに直接許可が与えられているユーザー、プロセス、アプリは影響を受けません。これまで通り、ファイルやフォルダー単位で共有リンクを作っているような場合はもんだなく使えるということです。ただ、やはり「外部ユーザー以外のすべてのユーザー」は使わないようにするのが望ましいといえます。
EEEU って何?
ちなみに、「外部ユーザー以外のすべてのユーザー」とは長い名前のグループ名ですね。英語でも "Everyone Except External Users" と長いので、英語では略して EEEU となっています。
大変勉強になりました!
ところで不勉強で申し訳ないのですが、EEEUとAll Authenticated Usersグループの違いって何でしょうか。
オンプレミスで言うところの、Authenticated UsersとDomain Usersグループと思ったのですが、特殊グループなので違うなーと思いながら、色々調べてみたのですが見つからず。
奥が深くて難しいですね。
Adokさん、All Authenticated Usersは組織外のゲストアカウントも含みます。EEEUはゲストは含みません。ちなみにEveryoneはゲストも匿名アクセスも含みますね。ただし、2018年以降、こうした All Authenticated Users や Everyone に外部アカウントは既定では含まれなくなりました。詳しくは下記のリンク先を参照してください。
https://learn.microsoft.com/ja-jp/microsoft-365/troubleshoot/access-management/grant-everyone-claim-to-external-users
勉強になります。
今回のアクセス許可の削除対応については、あくまでEEEUというグループ単位でアクセス許可を行っている場合に、EEEUへのアクセス許可が削除されるだけであり、同じテナント内の特定のグループや特定の個人に対するアクセス許可は削除されない認識でお間違いないでしょうか?
※本記事を読ませていただくまで「外部ユーザーを除くすべてのユーザー」という表記が、内部ユーザーの誰であっても個人のOneDriveの共有を行うことを禁止するという意味合いなのかと勘違いしていたため確認させていただきました。
kokiさん、EEEUに対してルートWebと既定のドキュメント ライブラリレベルで付与されるアクセス許可レベルの削除であり、それ以外が削除されることはありません。あくまでも "過剰共有" 対策で、ようは本来特定のユーザーやグループに公開すればいいはずなのに、おおざっぱに組織の誰もがアクセスできてしまっているような状況を削減したいということです。ですから、「アクセス権限をすべてはく奪してしまう」のではなく「適切な共有範囲を今一度考えなおしてね」という話です。