条件付きアクセスで SharePoint サイトのダウンロードを禁止する
はじめに
以前の記事でも紹介しましたが、SharePoint サイトのダウンロードを禁止する方法として条件付きアクセスを使用する方法があります。
こちらについてもう少し詳しく見てみたいと思います。
条件付きアクセス
SharePoint 管理ポータルからは管理されていないデバイスに対してダウンロードを禁止する設定ができますが、この設定は Azure AD の条件付きアクセスとして保存されるため、カスタマイズすることができます。また、新しく条件付きアクセスのポリシーを構成して設定することもできます。ポイントとしては以下の 2 点があります。
-
割り当て - クラウド アプリまたは操作 で Office 365 SharePoint Online を選択します。アプリケーション ID は
00000003-0000-0ff1-ce00-000000000000です。 - アクセス制御 - セッション で アプリによって適用される制限を使用する をチェックします。これによりアクセス制御を SharePoint Online に委任することができるようになります。
アクセス制御
条件付きアクセス ポリシーによってアクセス制御を SharePoint Online に委任したら、次はダウンロードを禁止するようにサイト コレクションを構成します。現在 2 種類の方法が提供されています。
サイト コレクションのプロパティ
サイト コレクションのプロパティとして ConditionalAccessPolicy というものがあり、SharePoint Online Management Shell の Set-SPOSite で変更することができます。ダウンロードを禁止する場合の値は AllowLimitedAccess です。
秘密度ラベル
Microsoft 365 コンプライアンス センターの 情報の保護 から秘密度ラベルを設定することでダウンロードの禁止を指定することもできます。秘密度ラベルの グループとサイト - 外部共有および条件付きアクセスの設定の定義 で Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護 をチェックし、制限された Web のみのアクセスを許可する を選択します。SharePoint 管理センターからダウンロードを禁止したいサイト コレクションに秘密度ラベルを割り当てます。
Power Platform との連携
Power Apps や Power Automate から SharePoint のドキュメント ライブラリに格納されたファイルにアクセスすることがあります。上記の方法によりダウンロードが禁止されていた場合の動作について確認してみたいと思います。
Power Apps
Power Apps では Excel Online (Business) コネクタを使って Excel ファイルをデータ ソースとすることができます。これはダウンロードが禁止されている SharePoint サイトでもエラーになりません。
Power Automate
Power Automate では Excel Online (Business) コネクタを使って Excel ファイルを開く方法と SharePoint コネクタを使ってファイルを開く方法があります。それぞれの結果を示します。
| コネクタ | アクション | 結果 |
|---|---|---|
| Excel Online (Business) | 表内に存在する行を一覧表示 | できる |
| SharePoint | ファイル メタデータの取得 | できる |
| SharePoint | ファイル コンテンツの取得 | できない |
ファイルを開く操作のみブロックされることがわかります。
おわりに
ダウンロードを禁止しても Power Platform からはデータにアクセスできてしまうので注意です。Excel Online (Business) コネクタは DLP ポリシーでブロックやエンドポイントを構成することができないので現状では防ぎようがなさそうです。なにかいい方法があればぜひ教えてください。
Discussion