Microsoft 365・管理者 2026年06月

【Business Basic/Standard対応】Microsoft 365管理者のためのOneDrive/SharePoint統制と「どれだけ守れているか」の可視化【2026年版】

Microsoft 365管理者がOneDrive/SharePointのセキュリティ姿勢をダッシュボードで可視化し統制するイメージ

本記事は2026年6月時点の情報です。本記事はMicrosoft 365 Business Basic/Business Standardで“できること”を中心にまとめ、より上位のプラン(Business Premium/E3/E5)で広がる機能を「ここまでできる」として併記します。プラン名・機能・ライセンス範囲は変更されるため、最新は本文末尾の公式情報とご自身のテナントでご確認ください。

「うちはBusiness Basic(いちばん安いプラン)Business Standardだけど、OneDrive/SharePointの統制はどこまでできる?」——中小企業で最も多いご質問です。結論、BasicやStandardでも“守りの土台”は十分に作れます。共有ポリシー・MFA・監査ログ・Secure Scoreを押さえれば、過剰共有の多くは防げます。一方で、機密ラベルやDLP、条件付きアクセスといった“仕組みで強制する”高度な統制は上位プランになります。

この記事は、利用者向けの共有・セキュリティ設定の記事管理者編です。Business Basic/Standardで今日からできることを中心に、上位プランで何が増えるかを早見表で整理します。

Basic と Standard は“できる統制”が同じです。OneDrive/SharePointのガバナンス機能(外部共有ポリシー・MFA・監査ログ・Secure Score)はBusiness Basic と Business Standard で共通。両者の違いはデスクトップ版Officeアプリの有無などで、セキュリティ/管理機能は変わりません。本記事の手順は Basic でもそのまま使えます。

この記事の内容

■ Business Basic/Standardでできる「統制」

  1. 外部共有ポリシー(最大の武器)
  2. MFA(セキュリティ既定値で一括有効化)

■ Business Basic/Standardでできる「可視化」

  1. 監査ログ(共有・アクセスの追跡)
  2. 利用状況レポート+Microsoft Secure Score
  3. 手動でできる「過剰共有の棚卸し」

■ 上位プランで広がること

  1. Business Premiumで増えること
  2. E5/SharePoint Advanced Managementで増えること
  3. プラン早見表

統制① 外部共有ポリシー(Basic/Standardの最大の武器)

OneDrive/SharePointの外部共有は、SharePoint管理センターから組織全体(テナント)サイト単位の2階層で制御できます。これはBasic/Standardでそのまま使える、いちばん効果の高い統制です。組織の上限を超える共有はサイト側でもできません。

外部共有レベル意味
すべてのユーザー(Anyone)サインイン不要で開けるリンク。最も緩い(既定で無効化を推奨)
新規および既存のゲスト認証を経たゲストに共有可
既存のゲストすでに招待済みのゲストのみ
組織内のユーザーのみ外部共有を全面禁止(最も厳格)

あわせて、既定のリンクの種類・既定の権限(閲覧/編集)・リンクの有効期限・特定ドメインへの限定・ゲストのダウンロード制限などを設定できます(いずれもBasic/Standardで利用可)。

実務の初手(Basic/Standard):テナント既定を「新規および既存のゲスト」以下に絞り既定リンクを“特定のユーザー”に、リンク有効期限を有効化。「すべてのユーザー(Anyone)」リンクは原則オフにし、必要な部署のサイトだけ個別に緩める——この“原則厳格・例外許可”はライセンスを上げずに今日からできます。

設定手順:テナント全体の外部共有を締める

  1. Microsoft 365管理センター(admin.microsoft.com)→ 左メニュー下部の「すべての管理センターを表示」→「SharePoint」を開く。
  2. SharePoint管理センターの左メニューで「ポリシー」→「共有」を選択。
  3. 上部の外部共有スライダーで、SharePointとOneDriveをそれぞれ「新規および既存のゲスト」以下に設定(OneDriveはSharePoint以下にしかできません)。
  4. 「ファイルとフォルダーのリンク」で、既定のリンクを「特定のユーザー」・既定の権限を「表示(閲覧のみ)」に。
  5. 「追加の外部共有設定」「サイトまたはOneDriveへのゲストアクセスの有効期限(例:30日)」と、必要に応じて「ドメインごとに外部共有を制限」(許可/ブロックするドメインを指定)。外部共有を「すべてのユーザー」にする場合は「“すべてのユーザー(Anyone)”リンクの有効期限」も指定。
  6. 「保存」。反映に数分〜十数分かかる場合があります。

※サイト単位で緩めたい場合は「アクティブなサイト」から対象サイト→「設定」→「外部共有」で個別に変更(テナント上限の範囲内)。

統制② MFA(セキュリティ既定値で一括有効化)

共有設定をどれだけ締めても、アカウントの入口が緩いと意味がありません。Basic/Standardでは、無料の「セキュリティ既定値(Security Defaults)」で、テナント全体に多要素認証(MFA)を一括で有効化できます。まずこれを必ずオンにしてください。

  • 全ユーザーにMFAを要求(特に管理者は必須)。
  • レガシ認証(古い認証方式)をブロック。

設定手順:セキュリティ既定値でMFAを有効化

  1. Microsoft Entra管理センター(entra.microsoft.com)に全体管理者(最低でも条件付きアクセス管理者)でサインイン。
  2. 左メニューの「ID」→「概要」を開き、上部タブの「プロパティ」を選択。
  3. ページ下部の「セキュリティの既定値群の管理」をクリック。
  4. 右側パネルで「セキュリティの既定値群」を「有効」にして「保存」
  5. 以後、各ユーザーは次回以降のサインイン時にMicrosoft Authenticator等でのMFA登録を求められます(2024年7月以降、登録猶予期間は廃止)。

※すでに条件付きアクセス(上位プラン)を使っている場合、セキュリティ既定値は有効化できません(どちらか一方)。Basic/Standardでは通常こちらを使います。

Basic/Standardの限界:セキュリティ既定値は“全体一括”で、「この端末・この場所のときだけ」といった条件分けはできません。きめ細かい制御(条件付きアクセス)は Microsoft Entra ID P1=Business Premium以上が必要です(後述)。

可視化① 監査ログ(共有・アクセスの追跡)

「誰が・いつ・どのファイルを共有/ダウンロード/削除したか」を追えるのがMicrosoft Purviewの監査ログです。Basic/Standardでも“標準の監査”が含まれており、SharePoint/OneDriveのファイルアクセス・共有・削除などを検索できます(保持はおおむね180日)。これがBasic/Standardにおける可視化の主役です。

  • 外部共有の監査:社外ユーザーに共有されたリソースの一覧を作成できる。
  • インシデント時の調査(「この機密ファイルは誰に渡ったか」)に使える。
  • Microsoft Purviewポータルの「監査」から検索。

上位プランでは:保持期間の延長や高度な監査イベント、長期保管は Purview Audit(Premium)=Business Premium以上になります。Basic/Standardは「標準監査・180日」と覚えておくと安心です。

手順:監査ログで外部共有・アクセスを検索する

  1. Microsoft Purviewポータル(purview.microsoft.com)に、「監査ログ」または「監査ログ(表示専用)」ロールを持つアカウントでサインイン。
  2. 左メニューから「監査(Audit)」を開く(監査は既定でオン)。
  3. 「日付と時刻の範囲(UTC)」(既定は過去7日・最大180日)を指定し、必要なら「ユーザー」を入力。「アクティビティ - フレンドリ名」のドロップダウンで、検索ボックスに「共有」「リンク」等と入力して共有関連アクティビティを選択。
  4. 「検索」を実行。結果を「エクスポート(CSV)」して、社外に出ているファイルの棚卸し表にする。

※アクティビティ名は表記が変わることがあります。「共有(Sharing and access request activities)」カテゴリから選ぶと漏れにくいです。

可視化② 利用状況レポート+Microsoft Secure Score

  • Microsoft 365管理センター > レポート > 利用状況:OneDrive/SharePointの利用状況・共有の傾向を把握(Basic/Standardで利用可)。
  • Microsoft Secure Score:テナントのセキュリティ姿勢を点数化し、「次に何をすべきか」を優先度つきで推奨。スコアの推移を改善サイクルのKPIにできます。

※Secure Scoreの推奨の中には、上位プランの機能を前提とするもの(条件付きアクセス等)も含まれます。Basic/Standardでは「いま自分のプランでできる推奨」から着手すればOKです。

手順:Secure Scoreと利用状況レポートを見る

  1. Secure ScoreMicrosoft Defenderポータル(security.microsoft.com)→ 左メニュー「セキュアスコア」。スコアと「推奨される操作」を確認し、自プランで実施できるものから対応。
  2. 利用状況レポートMicrosoft 365管理センター(admin.microsoft.com)→「レポート」→「使用状況」→ OneDrive/SharePointの利用・共有傾向を確認。

可視化③ 手動でできる「過剰共有の棚卸し」

上位プランのデータアクセスガバナンス(DAG)レポート(後述)は、過剰共有サイトを自動で一覧化してくれますが、Basic/Standardでは手動の棚卸しで代替します。

  • 監査ログで「外部共有」イベントを抽出し、社外に出ているファイルを洗い出す。
  • 主要サイト/ライブラリで「アクセス許可の管理」を開き、不要な共有・公開リンクを停止。
  • 退職者・取引終了先・古い見積書など、「もう開かれてはいけないもの」から優先
  • 利用者教育:「社外共有は“特定のユーザー”で」を社内ルール化(前述の利用者向け記事を共有)。
Microsoft 365のプラン階層(Basic/Standard→Premium→E5)が上がるほど、使えるOneDrive/SharePoint統制機能が増えていくことを示した図

上位① Business Premiumで増えること

「仕組みで強制する」統制が欲しくなったら、Business Premiumが次の一歩です。Basic/Standardに加えて、おおむね次が使えます。

  • 条件付きアクセス(Microsoft Entra ID P1)未管理端末からのアクセスを制限(Webのみ・ダウンロード禁止/ブロック)、場所・リスクに応じた制御、管理者だけMFA強化、など“条件分け”ができる。
  • 機密ラベル(秘密度ラベル):ファイルやサイトに分類を付け、暗号化・共有可否・アクセス権をラベル側で強制(「このラベルは社外共有不可」など)。
  • DLP(データ損失防止):マイナンバー・カード番号などを検知し、外部共有や持ち出しをブロック/警告
  • Microsoft Intune:端末を管理し、管理された端末だけアクセス許可などのデバイス統制。
  • Microsoft Defender for Business / Purview Audit(Premium):脅威対策の強化、監査の保持延長・高度イベント。

上位② E5/SharePoint Advanced Managementで増えること

さらに大規模・高度なガバナンスや、Microsoft 365 Copilot導入を見据えるなら、E5またはSharePoint Advanced Management(SAM・E5/アドオン)の領域です。

  • データアクセスガバナンス(DAG)レポート“組織全体に共有”されているサイトを自動で一覧化、権限構造のスナップショット、AIインサイト。過剰共有の可視化を自動化。
  • サイトアクセスレビュー:見つかった過剰共有を各サイト所有者に確認依頼(委任)して是正。
  • Restricted Content Discovery(RCD):高リスクなサイト/ファイルを組織全体検索やCopilotの対象から除外
  • Purview DSPM・自動ラベル付け・高度DLP・Insider Risk:データ中心の高度な保護。

Copilotを入れる前に:Copilotは“ユーザーがアクセスできる範囲”を横断参照するため、過剰共有があると意図せず露出します。理想はDAGレポート+RCD(E5/SAM)ですが、Basic/Standardでも「監査ログでの棚卸し+共有ポリシー厳格化」で下地は作れます

プラン早見表(OneDrive/SharePoint統制・可視化)

主な機能がどのプランから使えるかの目安です(2026年6月時点・要自社確認)。

機能Business BasicBusiness StandardBusiness PremiumE5 / SAM
外部共有ポリシー(テナント/サイト)
既定リンク・有効期限・DL制限
MFA(セキュリティ既定値)
監査ログ(標準・約180日)✅(Premium監査)✅(高度)
利用状況レポート/Secure Score
条件付きアクセス(Entra P1)
機密ラベル/DLP✅(高度)
Intune(端末統制)
DAGレポート/RCD(過剰共有の自動可視化・Copilot対策)

※「—」は当該プラン単体では不可(アドオンや上位プランで対応)。ライセンス条件は変更されるため、導入前に必ず自社プランをご確認ください。

まとめ

  • Business Basic/Standardでも守りの土台は作れる(両者はガバナンス機能が同一):外部共有ポリシー・MFA(既定値)・監査ログ・Secure Score。
  • 過剰共有は監査ログでの手動棚卸し+ポリシー厳格化+利用者教育で多くを防げる。
  • “仕組みで強制”したくなったらBusiness Premium(条件付きアクセス・機密ラベル・DLP・Intune)。
  • 過剰共有の自動可視化・Copilot対策はE5/SharePoint Advanced Management(DAGレポート・RCD)。
  • まずは今のプランでできる範囲を満点に。足りなくなったら上位プランを検討、が費用対効果◎。

※本記事は2026年6月時点の情報です。「自社プランで“いま何ができるか”を棚卸ししたい」「Business Premiumへ上げるべきか判断したい」「Copilot導入前に統制を整えたい」等は、現状診断からお手伝いします。

参考にした記事(公式・有力情報)

📎 合わせて読みたい関連記事

よくある質問

QBusiness Basic/StandardでもOneDrive/SharePointの統制はできる?
Aできます。BasicとStandardはガバナンス機能が同一(違いはデスクトップ版Officeアプリの有無)。どちらも外部共有ポリシー(既定リンク・有効期限・DL制限)、セキュリティ既定値によるMFA一括有効化、Purview監査ログでの共有/アクセス追跡、利用状況レポート、Secure Scoreが使えます。機密ラベル・DLP・条件付きアクセスはBusiness Premium以上です。
QBusiness Basic/Standardで何ができず、上位プランで何ができる?
ABasic/Standardでは条件付きアクセス・機密ラベル・DLP・Intune・DAGレポートは不可。条件付きアクセス/機密ラベル/DLP/IntuneはBusiness Premium、過剰共有を自動一覧化するDAGレポートやCopilot対策のRCDはE5またはSharePoint Advanced Managementで使えます。
QBusiness Basic/StandardでMFAは使える?
A使えます。無料の「セキュリティ既定値」でテナント全体にMFAを一括有効化できます。ただし“この端末・この場所のときだけ”といった条件分けはできません。きめ細かい制御(条件付きアクセス)はEntra ID P1=Business Premium以上が必要です。

「今のプランで何ができるか」棚卸し・上位プラン要否の判断、ご相談ください

Business Basic/Standardの設定最適化から、Business Premium/E5への移行判断、Copilot導入前診断まで対応。現状診断から伴走します。

無料で相談する