からめもぶろぐ。

俺たちは雰囲気で OAuth をやっている

SharePoint Online でダウンロードを禁止する方法まとめ

SharePoint Online を使っていると「ダウンロードを禁止したい」というご要望を聞くことがよくあります。個人的には、システムで制限するよりも、そうさせない組織づくりをするほうが大事だと思うのですが、そうはいっても要望は要望としてあるので、いくつかの方法を考えてみたいと思います。

Azure Active Directory の条件付きアクセスで制御する

Microsoft 365 または単体での EMS の契約をしている場合に限りますが、SharePoint 管理センターから条件付きアクセス ポリシーを有効にすることで、テナント全体に対してダウンロードを禁止することができます。

f:id:karamem0:20200819141719p:plain

実際にダウンロードをしてみると以下のようにブロックされます。

f:id:karamem0:20200819141915p:plain

注意点として、テナント全体に適用されるため、サイト コレクションを指定しての禁止はできないという点です。本来は、社内アクセスの場合のみにダウンロードを許可する、というような使い方をするので、サイトやライブラリを指定しての禁止をしたい場合は他の方法を取る必要があります。
なお画像ファイルは右クリックからの [名前を付けて保存] は防止できないみたいです。

RMS を有効にする

これはダウンロードを禁止する仕組みではありませんが、ドキュメント ライブラリに対して RMS を有効にすることで、万が一ファイルが流出してしまった場合でも情報の漏洩を防ぐことができます。対象となるファイルが Office ファイルと PDF ファイルに限られてしまうのが難点ですが、本来の目的を達成する意味では最適な方法です。

f:id:karamem0:20200819142504p:plain

ちなみに対象外のファイルをアップロードさせないように構成することもできます。

f:id:karamem0:20200819143216p:plain

アクセス許可レベルの [アイテムを開く] を除外する

アクセス許可レベルから [アイテムを開く] の権限を除外することでファイルをダウンロードすることができなくなります。

f:id:karamem0:20200819143344p:plain

ただ、Office ファイルを PDF としてエクスポートできてしまったり、印刷ができてしまったりするようなので、完全な防止とはならないかもしれません。画像ファイルも条件付きアクセスと同じで保存できてしまいます。

まとめ

まとめるとこんな感じです。

方法 ライセンス 範囲 セキュリティ
条件付きアクセス 必要 テナント 強い
RMS 不要 ライブラリ 強い
アクセス許可レベル 不要 サイトまたはライブラリ 弱い

結論としては「ダウンロードは禁止できないけど RMS で本来の目的は達成できるんだから RMS にしましょう!」と言いたいです。実はどの場合でも割と困るのが画像と動画なんですよね。突き詰めるとキリがないので「どこまでなら許されるのか」をちゃんと考えておいたほうがいいです。