SharePoint でのアクセス許可の継承

SharePoint では、継承の変更など、サイトのアクセス許可のかなりのカスタマイズが可能ですが、継承を中断しないことを強くお勧めします。 コミュニケーション サイトには組み込みの SharePoint グループを使用し、関連付けられている Microsoft 365 グループを使用してチーム サイトのアクセス許可を管理します。 共有リンクを使用して、サイト外のユーザーと個々のファイルやフォルダーを共有します。 これにより、管理がさらに簡単になります。 SharePoint モダン エクスペリエンスでのアクセス許可の管理については、「SharePoint モダン エクスペリエンス での共有とアクセス許可」を参照してください。

権限の継承とは

アクセス許可の継承は、サイト コレクション内の要素のアクセス許可設定がその要素の子に渡されることを意味します。 このように、サイトはサイト コレクションの最上位 ("root") サイトからアクセス許可を継承し、ライブラリはライブラリを含むサイトから継承します。 アクセス許可の継承を使用すると、アクセス許可を 1 回割り当て、アクセス許可を継承するすべてのサイト、リスト、ライブラリ、フォルダー、アイテムにそのアクセス許可を適用できます。 この動作により、複雑さが軽減され、サイト コレクション管理者とサイト所有者がセキュリティ管理に費やす時間が短縮されます。

既定では、SharePoint サイトは親サイトからアクセス許可を継承します。 つまり、メンバー グループにユーザーを割り当てると、ユーザーのアクセス許可は、アクセス許可レベルを継承するすべてのサイト、リスト、ライブラリ、フォルダー、アイテムを自動的にカスケードダウンします。

SharePoint のアクセス許可の親とは

SharePoint のアクセス許可で使用される親という用語は、継承を強調するだけの方法です。 親は、その権限設定をすべての子に渡します。 既定では、サイト コレクションのルート サイトは、サイト階層内のその下にあるすべてのサイトとその他のオブジェクトの最初の親です。

サイト コレクションのルート サイトだけが親ではありません。 サイト コレクション内のすべてのセキュリティ保護可能なオブジェクト (サイト、ライブラリ、リストなど) は親にすることができます。 つまり、ルート サイトはサブサイトの親であり、各サイトはそのライブラリとリストの親であり、各リストはその中のリスト 項目の親です。 この用語では、親を持つオブジェクトは子と呼ばれます。 そのため、サブサイトは親サイトの子、リスト アイテムはリストの親の子などです。

既定では、アクセス許可は親から子に継承されます。 つまり、アクセス許可の構造を変更しない場合、リスト アイテムは、コレクション内のルート サイトから (親リストを通じて) アクセス許可を継承します。 ただし、リストの継承を解除した場合でも、そのリストはそれ自体のリスト 項目の親です。 リストのリスト アイテムは、リストに付与されているアクセス許可を継承し、リストのアクセス許可を変更すると、リスト アイテムは変更を継承します。

親から子への継承のこのチェーンを最初に解除すると、子は親のアクセス許可のコピーから始まります。 次に、これらのアクセス許可を編集して、目的の方法でアクセス許可を作成します。 アクセス許可の追加、アクセス許可の削除、特別なグループの作成などを行うことができます。 元の親に影響を与える変更はありません。 また、継承の中断が間違った決定であると判断した場合は、いつでもアクセス許可の継承を再開できます。

継承が壊れた他のアイテムを含むアイテムの共有または共有を停止すると、そのアクセス許可の追加または削除が 1 回限りプッシュダウンされ、継承が壊れている子アイテムにも送信されます。 これは、直接アクセス許可と共有リンクの両方に当てはまります。 継承が壊れたアイテムのアクセス許可を管理する場合、ユーザーはそれに対する直接のアクセス許可を削除できます。 継承が壊れたアイテムに、親フォルダーのいずれかで作成された共有リンクからアクセスでき、ユーザーがそのリンクにアイテムへのアクセスを許可したくない場合、ユーザーはリンクを完全に削除するか、共有リンクにアクセス許可があるフォルダーの外部にファイルを移動できます。

アクセス許可の継承の詳細

アクセス許可の継承を使用すると、管理者は一度にアクセス許可レベルを割り当て、サイト コレクション全体でアクセス許可を適用できます。 アクセス許可は、サイトの最上位から下部まで、SharePoint 階層全体で親から子に渡されます。 アクセス許可の継承により、特に大規模または複雑なサイト コレクションで、サイト管理者の時間を節約できます。

ただし、一部のシナリオでは要件が異なります。 1 つのシナリオでは、保護する必要がある機密情報が含まれているため、サイトへのアクセスを制限しなければならない場合があります。 別のシナリオでは、アクセスを拡張し、他のユーザーを招待して情報を共有することもできます。 必要に応じて、階層内の任意のレベルで継承動作を中断 (アクセス許可の継承を停止) できます。

これらのさまざまなシナリオの例を見てみましょう。

Northwind Traders という会社があるとします。 URL northwindtraders.sharepoint.com/sites/benefits を使用して、"特典" というコミュニケーション サイトを作成します。 サイト コレクションのルートでは、SharePoint グループを設定し、アクセス許可レベルを割り当て、ユーザーをグループに追加します。

次に、"Health care" (northwindtraders.sharepoint.com/sites/benefits/healthcare) や "Retirement" (northwindtraders.sharepoint.com/sites/benefits/retirement) などの "特典" サイトのサブサイトを作成するとします。 これらのサブサイトには、さらに多くのサブサイトが含まれている可能性があります。 たとえば、"Health care" サブサイトには "歯科" サブサイト (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental) を指定できます。

既定の動作を使用するシナリオ

既定では、アクセス許可はサブサイトに直接渡されます。 つまり、サイト コレクションのルートで割り当てたグループとアクセス許可レベルは、再利用のためにサブサイトに自動的に渡されます。

サイトとその子へのアクセスを制限するシナリオ

あなたの会社がエグゼクティブにのみ特別な利益を提供しているとします。 この場合、管理者は "エグゼクティブ" サブサイトを分離し、親サイトの "特典" から継承を解除することを決定します。

"エグゼクティブ" サイトのサイト所有者は、サイトのアクセス許可を変更し、一部のグループを削除し、他のグループを作成します。 "エグゼクティブ" サイトのサブサイト "ボーナス" と "会社の交通機関" は、"エグゼクティブ" サブサイトからのみアクセス許可を継承するようになりました。 機密情報を含むリストとライブラリにアクセスできるのは、"エグゼクティブ" のグループとユーザーのみです。

メンテナンスを容易にするために、同様の方法を使用してアクセスを制限することをお勧めします。 つまり、機密性の高い素材が同じ場所に配置されるようにサイトを整理します。 この方法でサイトを整理する場合は、その特定のサイトまたはライブラリの継承を 1 回だけ解除する必要があります。 これははるかに少ないオーバーヘッドです。 個々のサブサイトとライブラリの多くの場所に個別のアクセス許可構造を作成するよりもはるかに少ない作業が必要です。

フォルダーとその子へのアクセスを共有するシナリオ

Northwind Traders の従業員がコンサルタントを雇い、SharePoint のドキュメントで共同作業をしたいとします。 従業員は、コンサルタントに SharePoint サイト上の他の何かへのアクセス権を与えたくありません。

従業員がコンサルタントとフォルダーを共有すると、SharePoint はフォルダー自体の継承を解除することで、アクセス許可とアクセスのすべての詳細を自動的に処理します。 コンサルタントはフォルダー内のすべてのドキュメントにアクセスできますが、サイト上の他の情報を表示またはアクセスすることはできません。 継承は技術的に壊れていますが、後で親サイト コレクションに追加された場合、共有フォルダーへのアクセス許可が自動的に付与されます。