Post on 01-Jun-2015
description
SharePoint Online
「アクセス権」を理解する
弊社ソリューション「 SharePoint 権限レポーター」のご紹介
本日の内容
本日の内容
• SharePoint Online(新環境 SPS2013ベース)におけるアクセス権
の設定について、基本的な内容を中心に +α をご説明。
•弊社ソリューションの「権限レポーター」のご紹介。
1.アクセス権設定の基礎
2.アクセス権設定の要注意ポイント
3.新機能「共有」
4.アクセス権とレスポンス
5.権限レポート機能
自己紹介
中村 和彦(Kazuhiko Nakamura)
•シンプレッソ・コンサルティング株式会社 代表
• SharePoint/SharePoint Online コンサルタント
•元エンドユーザー企業(大手製造業)IT部署所属。SharePoint 管理
者として SharePoint の導入、活用展開、ノーツ移行を推進。
• SharePoint を活用した情報共有、文書管理、ナレッジマネジメント、
企業内ソーシャルへの取組み。
• Microsoft MVP SharePoint(2009-10)Office 365(2012-)
Web/Blog
SharePoint Maniacshttp://sharepointmaniacs.com/
•普段は Web 媒体等で SharePoint/Office 365 情報を発信。
The Simplest Esseneshttp://journal.simplesso.jp/
Facebookhttps://www.facebook.com/kazuhiko.nakamura
SharePoint のアクセス権
アクセス権設定の3W
•何に(What)権限を設定するのか。
•誰を(Who)権限設定するのか。
•どのレベル(Which)の権限を与えるのか。
何 誰 ドレ
何に権限を設定するのか
•階層に構成されたコンテンツの、すべての段階でアクセス権限を(簡
単に)設定できることが SharePoint の大きな利点。
何
アイテム ファイル
フォルダ
リスト ライブラリ
アプリ
ページサイト
サイトコレクション
サブサイト
誰を権限設定するのか
•権限設定の対象(Who)になるのは以下の 3 種類。
• Office 365 は裏で「Azure AD」が動いてユーザー管理している。
•配布グループは利用できない点に留意。
誰
Active Directory 上の ユーザー
Active Directory 上の セキュリティグループ
SharePoint 上の SharePoint グループ
どの権限を設定するのか
•権限の強さは「アクセス許可レベル」で選択する。
•管理、デザイン、編集、投稿、閲覧など、あらかじめ権限の強さが異
なるアクセス許可レベルが用意されている。
ドレ
SharePoint 2013 のユーザー権限と
アクセス許可レベルhttp://technet.microsoft.com/ja-jp/library/cc721640.aspx
どの権限を設定するのか
•許可レベルはより細かな「アクセス許可レベル ユーザー権限」の
パッケージ。
•既存の許可レベルを変更したり、新しい許可レベルの作成も可能。
•許可レベルはサイトコレクション単位で管理されることから、全体の
整合性をとるため、みだりなカスタマイズは推奨しない。
ドレ
アクセス権の継承
•上位オブジェクトに設定されたアクセス権は、自動的にその配下(下
位オブジェクト)にも適用される。
•上位に加えられた変更も、即座に下位に反映される。
サイト
ライブラリ
フォルダ
ファイル
閲覧権限
閲覧権限
閲覧権限
閲覧権限
アクセス権の継承を「切る」
•アクセス権の継承を「切る(中止する)」ことで、下位オブジェクト
に上位と異なるアクセス権(固有のアクセス権)を設定できる。
•権限設定画面は、初期状態では変更できないようになっている。まず
「継承を切る操作」を行うと、編集可能になる。
•一度、固有のアクセス権を設定しても、いつでも GUI から「継承」
状態に戻すことができる。
固有のアクセス権の「継承」
•固有のアクセス権が設定された場合、その配下のオブジェクトに対し
ては、この固有のアクセス権が「継承」される。
サイト
ライブラリ
フォルダ
ファイル
閲覧権限
削除権限
削除権限
削除権限
サイトコレクションの管理者
•アクセス権管理の外側に居る、いわゆるスーパーユーザー。
•サイトコレクション単位で指定する(複数ユーザー可能)。
•サイトトコレクションの管理者に対して、サイト内のすべてのアクセ
ス権設定は無視され「フルコントロール」扱いになる。
•最上位サイトに対して管理権限を持っているユーザー、ではない。
アクセス権設定における要注意ポイント
1)アクセス権をすべて削除してしまった!
•固有の権限を設定する際、GUI から「自分に強いアクセス権を与えて
いる登録(ユーザー/グループ)」も削除できてしまう。
•全選択→削除操作での「暴発」が多い。
•すべてのアクセス権を削除すると、誰もアクセスできない情報となり、
「サイトコレクションの管理者」しか対応できない。
2)アクセス権の削除は常に連動する
• SharePoint のアクセス権管理における典型的な落とし穴のひとつ。
•固有のアクセス権が設定されていても、上位における「ユーザーの削
除」は下位に影響する。
1. サイトに「中村:閲覧」と「部署A:閲覧」権限が設定されている。ユー
ザー「中村」は、「部署A」に所属している。
2. ライブラリのあるフォルダで継承を切り「中村」を含む数人のプロジェク
トメンバーだけが利用できる(投稿権限)ように設定。
3. サイトで(別の管理者が)、部署A に閲覧権限が付いているのだから、
ユーザー個人の権限は不要だろう、「中村:閲覧」を削除する。
4. フォルダの「中村:投稿」が削除され、アクセスできなくなる。
アクセス権の内部ルールと整合性
• SharePoint のアクセス権内部ルール:コンテンツにあるユーザー/グ
ループを設定する場合、そのユーザー/グループは、継承/非継承にか
かわらず上位すべてに個別のアクセス権が存在しなければならない。
サイト
ライブラリ
フォルダ
ファイル
中村:閲覧
中村:閲覧
中村:閲覧
中村:編集
見えない「制限付きアクセス」
• SharePoint は固有のアクセス権が設定される際、必要に応じて上位
に「制限付きアクセス」という実効のない特殊権限を付与する。
•ただし「制限付きアクセス」は GUI に表示されず、操作できない。
サイト
ライブラリ
フォルダ
ファイル
制限付きアクセス
中村:編集
新機能「共有」
SharePoint 2013 の「共有」機能
• SharePoint 2013 では「アクセス権を追加する」という操作を、GUI
から容易に行うことができる。
一般ユーザーによる「共有」申請
•アクセス権を設定する権限のない一般ユーザーでも「共有」を行うこ
とができる。
•この場合、一旦、管理者に申請が行われる。管理者が承認することで
実際にアクセス権が付与される。
権限を指定できない
一般ユーザーによる「共有」申請
•サイトの設定から[アクセスの依頼と招待状]
「共有」機能の有効化と設定
•一般ユーザーによる「共有」申請機能はサイトの設定で有効/無効を
指定することができる(既定で有効)。
•同画面で、申請時の通知メール送信先も指定する。初期値は
「someone@example.com」なので必ず指定する必要あり。
•ただし、この送信先メールアドレスは、必ずサイトコレクションの管
理者アカウントである必要がある。
「共有」機能の制限
•共有は「追加」のみ。既存のアクセス権を変更、削除する際は通常の
詳細なアクセス権設定画面から操作する必要がある。
•すべてのコンテンツを「共有」申請できる訳では無い。
サイト : 可能
アプリ(リスト/ライブラリ) : 不可
アイテム : 不可
ライブラリのフォルダ : 可能
ファイル : 可能
「共有」機能の留意点
•共有時に、標準でメール通知が送信される。チェックボックスでオフ
にできるが、既定でオン、かつ[オプションの表示]リンクとして隠
されているので気づかない/忘れやすい。
•既に権限があるユーザーに対して「共有」を実行すると、管理者に申
請された─というメッセージは表示されるが、実際には申請は行われ
てない(必要ないため)。
「共有」機能の功罪
•共有はある種の「便利なショートカット」であり、とても手軽。なん
となく使えてしまう、という点でとても優れている。
•一方、権限設定の一部(追加)しかできないこと、すべてのコンテン
ツで利用できないこと、などから、一般ユーザーが SharePoint のア
クセス権管理体系を理解することを却って難しくしている。
アクセス権設定とレスポンス
アクセス権設定箇所が多い=遅くなる
• SharePoint はアクセス権を確認するために、都度、Active
Directory と通信する。
•ひとつのリストやライブラリに、設定されている「固有の権限」箇所
が多いほど、パフォーマンスが劣化する。
•ひとつの情報に設定されているアクセス権(のユーザー/グループオ
ブジェクト)が多いほど、パフォーマンスが劣化する。
システム的な制約と推奨値
•ひとつのアプリ(リスト/ライブラリ)に設定できる固有の権限は、
最大 50,000 箇所まで。
•ただし、5,000 箇所を越えるとパフォーマンスの劣化がはじまるため、
推奨されない。
•なお、リストやライブラリは 5,000 エントリを越えると特定条件下
において(権限とは異なる要因で)パフォーマンスが劣化する。
ソフトウェアの境界と制限(sps2013)http://technet.microsoft.com/ja-jp/library/cc262787.aspx
その他の要素
•ひとつの情報に対して設定されているユーザー/グループオブジェク
トの数も、もちろんパフォーマンスの劣化要因となるが、前項「設定
箇所数」程は重視されない。
•セキュリティグループは「1オブジェクト」として扱われるが、
SharePoint グループは、登録されている個別オブジェクトに分解さ
れ、アクセス権判定が行われる点に留意。
•何らかの理由で Active Directory との通信速度が著しく遅い場合、
それが顕著なパフォーマンスの劣化要因となることもある。
アクセス権のレポート機能
SharePoint アクセス権の二律背反
•アクセス権を多様に設定できることが SharePoint の利点であり、最
新の SharePoint 2013 では 「共有」機能により、さらに容易に。
•固有のアクセス権設定が、一般ユーザに、多くの箇所で行われると、
業務的な意味での「アクセス権の適切な管理」が難しくなる。
•固有のアクセス権によるパフォーマンスの劣化も懸念される。
悩ましいアクセス権の「適切な」管理
•企業には組織変更や担当者の異動がかならずある。
• SharePoint サイトの管理担当者が異動すると、そのサイトのどこに、
どのような権限が設定されているのか(いるべきなのか)が見失われ
がち。後任者はきちんと把握しておく必要がある(が難しい)
•ユーザーに「共有」を許可している場合、よりその傾向が強くなる。
引継
アクセス権設定を調べる機能
• SharePoint 2013 ではアクセス権設定のレポーティングが強化。
•共有メニューに「現在誰が閲覧可能か」が明示される。
•配下に固有の権限が設定されていると、黄色で強調表示される。
•リンクを辿るとダイアログで固有の権限が設定した配下を表示。
標準レポート機能の限界
•あくまでサイト管理者の「ちょっとした確認」用途に設計されている。
•アプリ(リスト/ライブラリ)単位でしか確認できない。
•実際にどのような権限が設定されているかは個別に画面を開いて確認
する必要がある。
SharePoint 権限レポーターPR
SharePoint 権限レポーター
• SharePointの「かゆい」隙間ニーズに対応するための弊社企画。
•指定範囲(サイトコレクション全体/サイト/リスト・ライブラリ)の
権限設定を CSV にレポートするシンプルなソリューション。
•クライアント PC で動作し、サーバー側にモジュール等不要。
• SharePoint 2007 ~ 2013対応。Office 365 対応。
権限レポートの出力
•対象 SharePoint サイト(サイトコレクション)、対象範囲(コンテ
ンツ)、ユーザーアカウントを指定して実行。
•標準 API を通じてシリアルに権限情報を確認。CSV ファイルに出力。
•サイトコレクションの管理者での実行を推奨。
コマンドラインからの実行
•すべての操作(+α)がコマンドラインに対応。
•処理をバッチ化することで定期的な自動レポーティングが可能。
+α「全コンテンツ一覧レポートの出力」
•コマンドラインからの実行時のみオプション「/includeinherited」
で、すべてのコンテンツをレポートすることができる。
•管理者によるコンテンツの棚卸に活用できる。
インストールとアンインストール
•レジストリを使用しない、クライアントツール。
•インストールは圧縮ファイルを解凍しローカルに配置するだけ。
•アンインストールはローカルファイルを削除するのみ。
ユースケース(例)
エンドユーザーが日常運用で利用
エンドユーザー部門のサイト管理者にツールを渡し、組織変更や人
事異動時期など必要に応じて利用してもらう。システム部門は、都
度の依頼に煩わされず、エンドユーザーも即対応できる。
システム管理者が棚卸に利用
定期的に、サイトコレクションレベルで全コンテンツとアクセス権
設定をレポートとしてとりまとめ、それをユーザー部門に提供、コ
ンテンツの整理とアクセス権設定の確認を求める。
ユースケース(例)
開発者が移行作業のチェックに利用
ツール等である環境から別の環境へデータをコピー(マイグレー
ション)する際「アクセス権を含めすべての情報が洩れなくコピー
されたか?」のチェックに時間がかかる。
権限レポーターで両環境のコンテンツ/権限を書き出し、CSV(=テ
キストデータ)にDIFF(比較)をかけることで、この確認を一瞬で
終えることができ、作業効率が大きく向上する。
動作環境
サーバー側:
• SharePoint 2007(WSS)以降 または SharePoint Online
クライアント側:
• Vista以降のOS、または Windows Server 2003 以降
※Windows XP は一部機能が動作しないためサポートせず
• .Net Framework 3.5
• Windows Identity Foundation 3.5
ライセンスと価格
•特定 URL に対してライセンスキーを発行。
•試用版にキーを適用すると、ライセンスされた URL 配下コンテンツ
に対しては制限が解除される。
•ユーザー数制限なし。
オンプレミス SharePoint
99,800円(税別)/ルートサイトコレクションURL
Office 365 (Eプラン、Mプラン)
49,800円(税別)/ルートサイトコレクションURL
Office 365 (Pプラン)
9,800円(税別)/テナント
Webページ/試用版
•弊社 Web サイト製品紹介ページから試用版(=未ライセンスの製品
版)がダウンロードできます。
SharePoint Permission Reporter
権限レポーターhttp://simplesso.jp/solutions_maniacs_005.php
まとめ
O n l i n e
Simplesso Consultinghttp://simplesso.jp
kaz@simplesso.biz