セキュリティ グループを選択する (Office SharePoint Server)

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

ここでは、Active Directory® ドメイン サービス (ADDS) を構成するセキュリティ グループと配布グループについて説明します。また、これらのグループを SharePoint サイトのユーザーの整理に使用するうえでの推奨事項も示します。

この記事の内容

• セキュリティ グループを追加するかどうかを決定する

• サイトへのアクセスの許可に使用するセキュリティ グループを決定する

• すべての認証されたユーザーにアクセスを許可するかどうかを決定する

• 匿名ユーザーにアクセスを許可するかどうかを決定する

概要

個々のユーザーにではなくグループにアクセス許可レベルを割り当てると、SharePoint サイトのユーザー管理が簡単になります。SharePoint グループは個々のユーザーのセットで、SharePoint グループには Active Directory グループも含めることができます。 Active Directory ドメイン サービス (ADDS) では、通常、次のグループを使用してユーザーを整理します。

• 配布グループ   電子メールの配布にのみ使用される、セキュリティ保護されていないグループです。配布グループは、リソースとオブジェクトのアクセス権の定義に使用される随意アクセス制御リスト (DACL) に入れることはできません。

• セキュリティ グループ   随意アクセス制御リスト (DACL) に入れることができるグループです。セキュリティ グループは電子メール エンティティとしても使用できます。

セキュリティ グループを使用すると、セキュリティ グループを SharePoint グループに追加し、SharePoint グループにアクセス権を付与することで、サイトのアクセス権を制御できます。配布グループを SharePoint グループに追加することはできませんが、配布グループを拡張し、個々のメンバーを SharePoint グループに追加することはできます。この方法を使用する場合、SharePoint グループと配布グループとの同期を手動で維持する必要があります。セキュリティ グループを使用する場合、SharePoint アプリケーションで個々のユーザーを管理する必要はありません。グループの個々のメンバーの代わりにセキュリティ グループを指定しているため、ユーザーは ADDS によって管理されます。

セキュリティ グループを追加するかどうかを決定する

セキュリティ グループを SharePoint グループに追加すると、グループおよびセキュリティを集中的に管理できます。セキュリティ グループは、個々のユーザーを管理できる唯一の場所です。セキュリティ グループを SharePoint グループに追加すると、その SharePoint グループのセキュリティ グループ メンバーを管理する必要がなくなります。セキュリティ グループからユーザーを削除した場合、そのユーザーは SharePoint グループから自動的に削除されます。

ただし、SharePoint サイトでセキュリティ グループを使用すると、状況を十分に把握できなくなります。たとえば、特定のサイトの SharePoint グループにセキュリティ グループを追加すると、そのサイトがユーザーの個人用サイトに表示されなくなります。個々のユーザーは、サイトに投稿するまで、ユーザー情報リストに表示されません。さらに、セキュリティ グループの入れ子構造が深い場合は、SharePoint サイトが機能しなくなる可能性があります。

上記の長所と短所を考慮したうえでの推奨事項を次に示します。

• ユーザーが広範にアクセスするイントラネット サイトの場合は、イントラネット サイトのホーム ページにアクセスした個々のユーザーに注意を払うことがないため、セキュリティ グループを使用します。

• 少数のユーザーがアクセスするグループ作業サイトの場合は、SharePoint グループにユーザーを直接追加します。この場合は、グループ メンバーが互いの電子メール アドレスと相互に連絡を取る方法を把握できるように、誰がメンバーであるかを知っておく必要性が高いからです。

サイトへのアクセスの許可に使用するセキュリティ グループを決定する

各組織では、セキュリティ グループの設定が異なります。権限管理を簡単にするため、次のようなセキュリティ グループを選択します。

• SharePoint サイトに絶えずセキュリティ グループを追加しなくて済む程度に大きく安定している。

• 適切なアクセス権の割り当てができる程度に小さい。

たとえば、"ビル 2 の全ユーザー" というセキュリティ グループは、ビル 2 のすべてのユーザーが売掛金担当者など、同じ職務についているのではない限り、アクセス権を割り当てるには大きすぎる可能性が高くなります。このような場合には、"売掛金" など、より小さくて限定されたグループを探す必要があります。

すべての認証されたユーザーにアクセスを許可するかどうかを決定する

ドメイン内のすべてのユーザーがサイトのコンテンツを表示できるようにする場合、すべての認証されたユーザー (Domain Users Windows セキュリティ グループ) にアクセスを許可することを検討してください。この特殊グループを使用すると、ドメインのすべてのメンバーは (指定したアクセス許可レベルで) Web サイトにアクセスできます。この際、匿名アクセスを有効にする必要はありません。

匿名ユーザーにアクセスを許可するかどうかを決定する

匿名アクセスを有効にすると、ユーザーはページを匿名で閲覧できます。ほとんどのインターネット Web サイトではサイトを匿名で閲覧できますが、サイトを編集したり、ショッピング サイトで商品を購入する場合は、認証が求められます。匿名アクセスは、既定で無効になっており、Web アプリケーションの作成時に Web アプリケーション レベルで許可する必要があります。

Web アプリケーションへの匿名アクセスを許可する場合、サイト管理者は、サイトまたはそのサイトのコンテンツのどちらに匿名アクセスを許可するかを指定できます。

匿名アクセスは、Web サーバー上の匿名ユーザー アカウントに依存します。このアカウントの作成と管理は、SharePoint サイトではなく、Microsoft インターネット インフォメーション サービス (IIS) によって行われます。IIS の既定の匿名ユーザー アカウントは IUSR です。匿名アクセスを有効にすると、このアカウントは実際に SharePoint サイトにアクセスできるようになります。サイトへのアクセス、またはリストとライブラリへのアクセスを許可すると、匿名ユーザー アカウントにアイテムの表示権限が付与されます。ただし、アイテムの表示権限があっても、匿名ユーザーには制限があります。匿名ユーザーは以下の操作を行うことができません。

• Microsoft Office SharePoint Designer でサイトを開いて編集すること。

• [マイ ネットワーク] にサイトを表示すること。

• wiki ライブラリを含むドキュメント ライブラリのドキュメントのアップロードまたは編集。

  重要

  サイト、リスト、またはライブラリのセキュリティを強化するには、匿名アクセスを有効にしないでください。匿名アクセスを有効にすると、ユーザーがリスト、ディスカッション、アンケートに投稿することができ、サーバーのディスク容量やその他のリソースが使い果たされる可能性があります。さらに、匿名アクセスにより、匿名ユーザーがユーザーの電子メール アドレスやリスト、ライブラリ、ディスカッションに投稿した内容など、サイトの情報を検出することが可能になります。

アクセス許可ポリシーは、Web アプリケーションの一部のユーザーやグループだけに適用される一連の権限を構成および管理するための一元的な手段となります。匿名ユーザーのアクセス許可ポリシーは、Web アプリケーションへの匿名アクセスを有効または無効にすることで管理できます。Web アプリケーションへの匿名アクセスを有効にした場合は、サイト管理者がサイト コレクション、サイト、またはアイテム レベルで匿名アクセスを許可または拒否できます。Web アプリケーションへの匿名アクセスを無効にした場合は、匿名ユーザーはその Web アプリケーション内のどのサイトにもアクセスできなくなります。

• なし   ポリシーはありません。これが既定値です。サイトの匿名ユーザーには、これ以上権限の制限や追加は適用されません。

• 書き込み拒否   サイト管理者が匿名ユーザー アカウントに書き込み権限を特別に付与しようとしても、匿名ユーザーはコンテンツを書き込むことができません。

• すべて拒否   サイト管理者が匿名ユーザー アカウントにサイトへのアクセスを特別に許可しようとしても、匿名ユーザーはアクセスできません。

アクセス許可ポリシーの詳細については、「Web アプリケーションのアクセス許可ポリシーを管理する (SharePoint Server 2010)」を参照してください。