Microsoft 365の権限管理｜管理者ロール・SharePoint権限・条件付きアクセスの設計ガイド

M365の権限管理はなぜ重要か

権限管理が適切でないと、社員が見てはいけないデータにアクセスできてしまう（過剰な権限）、必要なデータにアクセスできず業務が止まる（不足する権限）、退職者がメールやファイルに引き続きアクセスできる（未回収の権限）、管理者アカウントが侵害されテナント全体が危険にさらされる（管理者権限の集中）という問題が発生します。

権限管理の3つのレイヤー

レイヤー1：管理者ロール

M365の管理者権限は「ロール」として付与します。全権限を持つグローバル管理者は最小限の人数（2〜3名）に限定してください。日常業務には、ユーザー管理者（ユーザーの追加・削除・パスワードリセット）、Exchange管理者（メール設定の管理）、SharePoint管理者（サイト・共有設定の管理）、セキュリティ管理者（セキュリティポリシーの管理）など、業務に必要なロールのみを付与します。

PIM（Privileged Identity Management）を使えば、管理者権限を「必要な時だけ一時的に有効化」するJust-In-Timeアクセスが実現できます。常時グローバル管理者権限を持つ人を減らすことで、アカウント侵害時の被害を最小限にできます。

レイヤー2：データアクセス権限

SharePointサイトの権限として、サイト所有者（フルコントロール）、メンバー（編集可能）、閲覧者（読み取りのみ）の3レベルがあります。部門ごと・プロジェクトごとにサイトを分離し、適切な権限グループを設定してください。

OneDriveの共有設定として、個人のOneDriveからの外部共有を制限することを推奨します。SharePoint管理センターから、外部共有のレベル（「組織内のみ」「既存のゲストのみ」「新規・既存のゲスト」「誰でも」）を設定できます。

Teamsの権限として、チームの所有者がメンバーの追加・削除やチャネルの管理を行います。プライベートチャネルのメンバーシップは特に注意が必要です。

レイヤー3：条件付きアクセス

Entra IDの条件付きアクセスは「誰が」「どこから」「どのデバイスで」「何にアクセスするか」に応じてアクセス制御を行う仕組みです。

基本ポリシーとして、すべてのユーザーにMFAを要求、管理者には常にMFAを要求（条件なし）、社外IPアドレスからのアクセス時に追加認証を要求、非準拠デバイス（Intuneに未登録）からのアクセスをブロックするポリシーを設定してください。

権限の棚卸し

四半期に1回、以下の棚卸しを実施してください。管理者ロールの割り当て一覧の確認（不要な管理者の削除）、SharePointの外部共有状況の確認（不要な共有リンクの削除）、ゲストアカウントの棚卸し（不要なゲストの削除）、条件付きアクセスポリシーの有効性確認です。

まとめ

M365の権限管理は「最小権限の原則」に基づき、必要な人に必要な権限だけを付与することが基本です。管理者ロール→データアクセス→条件付きアクセスの3レイヤーで体系的に設計してください。

情シス365では、M365の権限設計から定期棚卸しまで代行しています。