条件付きアクセスで SharePoint サイトのダウンロードを禁止する
はじめに
以前の記事でも紹介しましたが、SharePoint サイトのダウンロードを禁止する方法として条件付きアクセスを使用する方法があります。
今回はこの方法について、もう少し詳しく説明します。
条件付きアクセス
SharePoint 管理ポータルからは管理されていないデバイスに対してダウンロードを禁止する設定ができます。この設定は Azure AD の条件付きアクセスとして保存されるため、カスタマイズが可能です。また、新しく条件付きアクセスのポリシーを構成して設定できます。ポイントは次の 2 点です。
-
割り当て - クラウド アプリまたは操作 で Office 365 SharePoint Onlin を選択 (アプリケーション ID は
00000003-0000-0ff1-ce00-000000000000) - アクセス制御 - セッション で アプリによって適用される制限を使用する をチェック (アクセス制御を SharePoint Online に委任可能)
アクセス制御
条件付きアクセス ポリシーによってアクセス制御を SharePoint Online に委任した後は、ダウンロードを禁止するようにサイト コレクションを構成します。現在、2 種類の方法が提供されています。
サイト コレクションのプロパティ
サイト コレクションのプロパティとして ConditionalAccessPolicy があります。SharePoint Online Management Shell の Set-SPOSite で変更可能です。ダウンロードを禁止する場合の値は AllowLimitedAccess です。
秘密度ラベル
Microsoft 365 コンプライアンス センターの 情報の保護 から秘密度ラベルを設定することでダウンロードの禁止を指定できます。秘密度ラベルの グループとサイト - 外部共有および条件付きアクセスの設定の定義 を選択します。Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護 をチェックします。制限された Web のみのアクセスを許可する を選択します。SharePoint 管理センターからダウンロードを禁止したいサイト コレクションに秘密度ラベルを割り当てます。
Power Platform との連携
Power Apps や Power Automate から SharePoint のドキュメント ライブラリのファイルにアクセスすることがあります。上記の方法でダウンロードが禁止されている場合の動作について確認します。
Power Apps
Power Apps では Excel Online (Business) コネクタを使って Excel ファイルをデータ ソースにできます。この場合、ダウンロードが禁止されている SharePoint サイトでもエラーにはなりません。
Power Automate
Power Automate では Excel Online (Business) コネクタを使って Excel ファイルを開く方法と、SharePoint コネクタを使ってファイルを開く方法があります。それぞれの結果は次のとおりです。
| コネクタ | アクション | 結果 |
|---|---|---|
| Excel Online (Business) | 表内に存在する行を一覧表示 | できる |
| SharePoint | ファイル メタデータの取得 | できる |
| SharePoint | ファイル コンテンツの取得 | できない |
ファイルを開く操作のみブロックされることがわかります。
おわりに
ダウンロードを禁止しても Power Platform からはデータにアクセスできてしまうため注意が必要です。Excel Online (Business) コネクタは DLP ポリシーでブロックやエンドポイントを構成できないため、現状では防ぐ方法がなさそうです。もしよい方法があればご教示いただけますと幸いです。
Discussion