ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御する

IT 管理者は、信頼できる定義済みのネットワークの場所に基づいて、Microsoft 365 の SharePoint および OneDrive リソースへのアクセスを制御できます。 これは、場所ベースのポリシーとも呼ばれます。

そのためには、許可される IP アドレス範囲を 1 つ以上指定することにより、信頼されたネットワークの境界を定義します。 このネットワーク境界の外から SharePoint と OneDrive にアクセスしようとするユーザー (任意のデバイスで Web ブラウザー、デスクトップ アプリ、またはモバイル アプリを使用) がブロックされます。

場所ベースのポリシーを設定する前に、何を考慮する必要がありますか?

場所に基づくポリシーを設定するときに、考慮すべき重要な点を紹介します。

• 外部共有: 認証を行うゲストとファイルとフォルダーを共有する場合、定義された IP アドレスの範囲外のリソースにアクセスすることはできません。

• ファースト および サード パーティのアプリからのアクセス: 通常、Exchange、Viva Engage、Skype、Teams、Planner、Power Automate、PowerBI、Power Apps、OneNote などのアプリから SharePoint ドキュメントにアクセスできます。 場所ベースのポリシーを有効にすると、場所ベースのポリシーをサポートしていないアプリはブロックされます。 現在、場所ベースのポリシーをサポートしているアプリは、Teams、Viva Engage、Exchange のみです。 つまり、その他のすべてのアプリは、信頼されたネットワークの境界内でホストされていてもブロックされます。 これは、SharePoint がこれらのアプリのユーザーが信頼できる境界内にあるかどうかを判断できないためです。

  注:

  SharePoint の場所ベースのポリシーを有効にする場合は、Exchange とViva Engageに同じポリシーと IP アドレス範囲を構成することをお勧めします。 SharePoint はこれらのサービスに依存して、これらのアプリのユーザーが信頼された IP 範囲内に存在するようにします。 Office.com ポータルを使用して SharePoint へのアクセスを保護するには、"Office 365" にMicrosoft Entra条件付きアクセス ポリシーを使用し、そこで信頼できる IP 範囲を構成することをお勧めします。

• 動的 IP 範囲からのアクセス: 複数のサービスとプロバイダーは、発信元が動的 IP アドレスであるアプリをホストします。 たとえば、1 つのAzure データ センターからの実行中に SharePoint にアクセスするサービスは、フェールオーバーの状態またはその他の理由により、別のデータ センターから実行を開始する可能性があるため、IP アドレスを動的に変更します。 場所に基づく条件付きのアクセスのポリシーは、固定され、信頼された IP アドレス範囲に依存します。 IP アドレス範囲を事前に特定できない場合は、場所ベースのポリシーが環境のオプションではない可能性があります。

操作方法 SharePoint 管理センターで場所ベースのポリシーを設定しますか?

1. 新しい SharePoint 管理センター の [アクセス制御] に移動し、組織の［管理者権限］ を持つアカウントでサインインします。

2. [ ネットワークの場所] を選択し、[ 特定の IP アドレス範囲からのアクセスのみを許可する] をオンにします。

   

3. IP アドレスとアドレス範囲をコンマで区切って入力します。

   重要

   自分がロックアウトされないように、必ず自分の IP アドレスを含めてください。この設定は、OneDrive および SharePoint サイトへのアクセスを制限するだけでなく、OneDrive 管理センターと SharePoint 管理センター、および PowerShell コマンドレットの実行も制限します。 自分をロックアウトし、指定した範囲内の IP アドレスから接続できない場合は、サポートに連絡する必要があります。
   重複する IP アドレスを保存すると、"入力 IP 許可リストに重複がある" を指す関連付け ID を含む汎用エラー メッセージがユーザーに表示されます。