OneDrive・セキュリティ 2026年06月

OneDrive×Windowsエクスプローラー運用者のためのセキュリティ手順【2026年版・第三者アクセス対策】

WindowsエクスプローラーからOneDriveを使うPCを多層的に守るイメージ

本記事は2026年6月時点の情報です。Windows/OneDriveの画面表記・メニュー位置・既定値は更新されることがあります。実際の画面と異なる場合は、本文末尾の参考にした記事(公式)もあわせてご確認ください。

ひとことで言うと
① まず「Windowsのサインイン自体」を強くする(PIN/Hello+自動ロック)。
② PCを失くした時の保険としてBitLockerでドライブを暗号化。
③ OneDriveアカウントは多要素認証(MFA)
④ いちばん見られたくないものは個人用Vault、その他はファイル オン デマンドでローカルキャッシュを最小化。
⑤ 共有は「相手・権限・期限」の3点セットを毎回守り、クライアントごとに専用フォルダーを切って四半期ごとに棚卸し

「OneDriveは、ブラウザではなくエクスプローラーから普通のフォルダーのように使っている。便利だけど、もしこのPCを誰かに触られたら、フォルダーがそのまま全部開かれてしまうのでは?」——よくいただくご相談です。エクスプローラー運用のOneDriveは、「クラウド側の対策」だけでは守りきれませんPCそのもの・OneDriveのキャッシュ・共有リンクの3つを順に締める必要があります。

この記事では、すでに公開しているOneDriveを安全に使い続けるための共有・セキュリティ設定が「クラウド側(共有リンクの締め方)」に重点を置いていたのに対し、「Windows PC側」の対策を、前提状態の確認からステップで解説します。会社支給PCなら情報システム部門のポリシーが優先されますので、本記事の操作は個人で管理しているPC/一人事業主のPCを想定してお読みください。

この記事の内容

  1. 前提を確認する:あなたのPCはいま「どんな状態」か
  2. STEP1:Windowsサインインを強くする(PIN・Hello・自動ロック)
  3. STEP2:BitLockerでドライブを暗号化する(紛失・盗難の保険)
  4. STEP3:OneDriveアカウントの多要素認証(MFA)
  5. STEP4:個人用Vault(Personal Vault)で二重ロック
  6. STEP5:ファイル オン デマンドでローカルキャッシュを最小化
  7. STEP6:外部共有とアクセス権の運用ベストプラクティス(棚卸し・最小権限・アンチパターン)
  8. STEP7:紛失・盗難・離席時の備え(リンク解除と回復キー)
  9. 参考にした記事(公式・有力情報)

前提を確認する:あなたのPCはいま「どんな状態」か

順番を間違えると効果が出ません。まず「いまどうなっているか」だけを淡々と確認しましょう。

セキュリティ対策は、いまの状態を知らないまま設定しても効きません。まず3つだけ確認します。所要時間は2〜3分です。

CHECK1:Windowsにどう入っているか(Microsoftアカウント/ローカルアカウント)

  1. スタート → 設定(歯車) → アカウント → ユーザーの情報を開きます。
  2. 名前の下にメールアドレス(◯◯◯@outlook.jp など)が表示されていればMicrosoftアカウント、表示されず「ローカルアカウント」と書かれていればローカルアカウントです。
  3. どちらでもOKですが、後のBitLocker回復キーの保管先と多要素認証の設計が変わるので、どちらかをメモしておきます。

CHECK2:OneDriveにどのアカウントでサインインしているか

  1. 画面右下のタスクトレイ(時計の左)の雲アイコンを右クリック → 歯車(設定) → 「アカウント」タブを開きます。
  2. サインイン中のメールアドレスを確認。「個人用」(@outlook.com / @hotmail.com / @live.jp など)と、「会社・学校」(Microsoft 365のメール)では、設定できる項目とポリシーの主導権が違います。
  3. 個人と会社の両方にサインインしている(雲アイコンが青と白で2つある)ケースもあります。両方ある場合はそれぞれあとのSTEP3(MFA)を適用します。

CHECK3:エクスプローラー左側のOneDriveに、何が同期されているか

  1. エクスプローラーを開き、左側のナビゲーションから雲マーク付きの「OneDrive - ◯◯」をクリック。
  2. ファイル名の左側のアイコンが、雲=クラウドのみ緑のチェック=開いたことがありローカルにキャッシュ緑の塗りつぶしチェック=常にこのデバイスに保持を意味します。
  3. 「常にこのデバイスに保持」になっているフォルダーが多いほど、PCを失くした時に物理的に読めるファイルが多くなります。今は数えるだけでOK。STEP5で見直します。
Windowsエクスプローラー風のパネルでOneDriveのファイルに雲・緑チェックなどの同期アイコンが並び、PCそのものをパスワードとシールドで守るイメージ

3つメモができたら、ここから先は上から順番に進めるのが最短ルートです。下のSTEPは、効果の大きさと「やらないと次が効かない」依存関係で並べてあります。

STEP1:Windowsサインインを強くする(PIN・Hello・自動ロック)

OneDriveを守る一番上の土台は、PCそのもののサインインです。ここがゆるいと、他の設定はほぼ意味を失います。

エクスプローラーから開けてしまう=つまりWindowsにサインインできた人は、OneDriveのファイルも開けるということです。最初に締めるべきはWindowsの入口です。

Windows 11 の設定 → アカウント → サインインオプションで、顔認識/指紋認識/PIN(Windows Hello)/「しばらく操作しなかった場合に、もう一度 Windows へのサインインを求めるタイミング」「動的ロック」などが並ぶ画面

STEP1-1:パスワード/PIN/Windows Helloを設定する

  1. 設定 → アカウント → サインインオプションを開きます。
  2. PIN(Windows Hello PIN)を設定(4桁の生年月日などは避けます)。PINは「そのPCでしか使えない」ため、漏れても他PCの不正サインインには使えません。
  3. 指紋・顔カメラ搭載機なら、Windows Hello(指紋/顔認証)も有効化。日常のサインインが速くなり、肩越しに見られても破られにくくなります。
  4. パスワードレスにする場合は、「Microsoftアカウントにサインインを求める」設定をオンにし、PIN・Helloでログインする運用に切り替えます。

STEP1-2:離席時に自動でロックする

  1. STEP1-1と同じサインインオプション画面を下にスクロールし、「しばらく操作しなかった場合に、もう一度 Windows へのサインインを求めるタイミング」(旧表記:「不在時にロックする」)を、「毎回」または短い時間(例:1分/3分)に設定。
  2. Bluetooth対応スマホがある場合は、すぐ下の「動的ロック」(スマホが離れると自動でロック)も併用すると、席を立つときの締め忘れを防げます。
  3. スクリーンセーバー経由でも担保したい場合は、設定 → 個人用設定 → ロック画面 → スクリーンセーバーから、待ち時間(例:5分)+「再開時にログオン画面に戻る」にチェック。
  4. 離席時はキー操作でWindowsキー + Lでも手動ロックできます。これだけで第三者が触る余地が大きく減ります。

「自動サインイン」設定はオフに。PCの初期設定で「電源投入で自動的にサインイン」になっていることがあります。エクスプローラーが起動した瞬間にOneDriveが見える=PCを起こせた人がそのまま中身を読める、という構図です。サインオプションの自動サインインは必ずオフに。

STEP2:BitLockerでドライブを暗号化する(紛失・盗難の保険)

PCを物理的に持ち去られたら、Windowsのログイン画面は迂回されます。ドライブ自体を暗号化して、最後の砦を作ります。

PC紛失・盗難に遭ったとき、悪意ある人はWindowsを起動せず、ストレージだけ別PCに繋いで中身を吸い出すことができます。これを防ぐのがBitLocker(ドライブ全体の暗号化)です。OneDriveのローカルキャッシュ(緑チェックの付いたファイル)も、まとめて暗号化されます。

コントロールパネルのBitLockerドライブ暗号化画面、またはWindows 11の「設定 → プライバシーとセキュリティ → デバイスの暗号化」画面
WindowsエディションBitLockerの扱い
Windows 11 Pro / EnterpriseBitLockerが利用可能(推奨)
Windows 11 Homeデバイスの暗号化」(簡易版BitLocker)が条件を満たすと自動で有効。設定 → プライバシーとセキュリティ → デバイスの暗号化で状態を確認

STEP2-1:BitLockerを有効化する(Pro/Enterprise)

  1. スタート → 「BitLocker の管理」を検索して開きます。
  2. システムドライブ(通常はC:)の「BitLockerを有効にする」をクリック。
  3. 暗号化方式は「使用済みディスク領域のみ」(新品・データ少なめのPC)または「ドライブ全体」(既に使い込んだPC)を選択。
  4. 暗号化モードは「新しい暗号化モード(XTS-AES)」を選択(持ち運びの少ない据え置きPC向き)。

STEP2-2:回復キーの保管先を必ず指定する

  1. 回復キー(48桁の数字)の保管先を選択する画面で、Microsoftアカウントに保存するのがいちばん手軽(ローカルアカウントの場合は表示されません)。
  2. あわせて「ファイルに保存」または「印刷」でローカルにも控えを残し、PCとは別の場所(USBメモリ・印刷物の金庫保管など)に置きます。
  3. 後から回復キーを確認したい場合は、別端末からブラウザで account.microsoft.com/devices/recoverykey にサインインすると一覧できます。

回復キーは「PC内に」保存しないこと。PCをなくしたら一緒になくなる場所に置いていたら、暗号化の意味がありません。Microsoftアカウント+紙またはUSB(別保管)の二重保管を必ず行ってください。

STEP3:OneDriveアカウントの多要素認証(MFA)

PCの中身を守ったら、次は「クラウド側からの不正アクセス」を防ぎます。パスワード1枚では足りません。

BitLockerまで設定しても、Microsoftアカウントのパスワードが流出すれば、第三者は別PC・別ブラウザから普通にOneDriveにサインインでき、エクスプローラー越しに同期させたファイルもクラウド経由で全部見られます。これを防ぐのが多要素認証(MFA。2段階認証)です。

account.microsoft.com/security の「サインイン方法の管理」と「追加のセキュリティ」(2段階認証)が並ぶ画面

STEP3-1:個人用OneDrive(@outlook.com など)の2段階認証

  1. ブラウザで account.microsoft.com/security を開き、サインイン。
  2. セキュリティ画面の上部ヘッダー右側にある「2 段階認証」のカード(「オフ」または「オン」と現在の状態が表示されています)の「管理 >」をクリック。
    ※見当たらない場合は、画面下部の「サインイン方法の管理」「追加のセキュリティ」からも入れます(古いUIでは「高度なセキュリティオプション」表記)。本人確認のため認証コード/メールでの追加確認が入ることがあります。
  3. 遷移先の画面で「2段階認証」「有効にする/オンにする」を選択。
  4. 確認方法は認証アプリ(Microsoft Authenticator)を推奨。QRコードが表示されるので、スマホのMicrosoft Authenticatorアプリで読み取って登録します。SMS(電話番号)でも有効化できますが、機種変・解約時に注意。
  5. 有効化後はパスワード復旧用の連絡手段を2つ以上(メール・SMS・別のメールなど)登録しておきましょう。連絡手段を失うと復旧に最大30日かかる場合があります。

STEP3-2:OneDrive for Business(@会社ドメインのアカウント)のMFA

  1. 個人では有効化できない場合があります。Microsoft 365管理者にMFA有効化を依頼するのが基本ルートです。
  2. 個人でも有効化を試したい場合は、ブラウザで aka.ms/mfasetup にサインインし、サインイン方法でMicrosoft Authenticatorを追加します。
  3. 会社全体での統制方法は、関連記事のMicrosoft 365管理者のOneDrive/SharePoint統制と可視化もご参照ください。

Google Workspaceとの併用なら、Google側でも2段階認証プロセスを有効化しておきます。「両方のアカウントを守って初めて意味がある」というのが、併用環境のセキュリティの基本です。

STEP4:個人用Vault(Personal Vault)で二重ロック

銀行関連書類・身分証・契約書のように「絶対に見られたくないもの」は、OneDriveの中でもさらに別ロックの中に入れておきます。

OneDriveには、個人用Vaultという別ロックのフォルダーが用意されています。Windowsにサインインしているだけでは開けず、もう一段の本人確認(認証アプリのコード/指紋/顔/メール確認)を求められます。エクスプローラーからも同じVaultが見え、操作も普通のフォルダーと同じです。

エクスプローラーの「OneDrive - 個人用」フォルダー内に「Personal Vault(個人用Vault)」アイコンが表示されている画面

STEP4-1:個人用Vaultを開く

  1. エクスプローラーの「OneDrive - 個人用」の中にある「Personal Vault(個人用Vault)」をダブルクリック。
  2. 初回はセットアップ画面が出ます。本人確認方法(認証アプリのコード等)を選択して登録。
  3. 解除後はエクスプローラーで普通のフォルダーと同じように使えます。20分操作しないと自動で再ロックされます(設定で時間変更可)。

STEP4-2:入れるものを決める

  1. 身分証のスキャン(運転免許・マイナンバー関連)、パスポートのコピー銀行・カードの明細契約書類クライアントの機密書類などを優先的に移動。
  2. 普段からよく開くファイル(請求書テンプレ・原稿など)は、毎回ロック解除が面倒なので、Vault外で運用するのが現実的です。
  3. Vault内のファイルも、同期されたPCのローカルキャッシュは暗号化済みディスク(BitLocker)の上に乗ります。STEP2と組み合わせて初めて完全な多層防御になります。

無料プラン・Microsoft 365なしの個人OneDriveには、Vaultの容量上限があります(3ファイルまで等の制限がある時期があります)。本格的に使うならMicrosoft 365 PersonalまたはFamilyに加入すると上限がなくなります。最新の上限はMicrosoft公式の個人用Vault説明でご確認ください。

STEP5:ファイル オン デマンドでローカルキャッシュを最小化

「いつでも開けるようにPCに置いておく」は便利ですが、攻撃面(万一の時に読まれる可能性)も増やします。普段使わないものはクラウド側だけに置いておきましょう。

ファイル オン デマンドは、「クラウドに置いてあるけれど、PCのエクスプローラーには表示する。開いた瞬間だけダウンロードする」という仕組みです。雲アイコンのままのファイルはローカルに実体がないため、PCを失くしたときに物理的に読まれる対象から外せます。

OneDriveアプリの「設定 → 同期とバックアップ → 詳細設定」にある「ファイル オン デマンド」のスイッチがオンになっている画面

STEP5-1:ファイル オン デマンドの設定画面を開く

  1. タスクトレイ(時計の左)の雲アイコンを右クリック → 歯車(設定) → 「同期とバックアップ」 → 「詳細設定」を開きます。
  2. 下にスクロールして「ファイル オン デマンド」のセクションに、「ディスク領域の解放」「すべてのファイルをダウンロードする」の2つのボタンがあることを確認します。
    ※最新のOneDriveアプリでは、ファイル オン デマンドは常に有効で、この2つのボタンでローカルキャッシュの状態をまとめて操作します(古いバージョンでは別途ON/OFFスイッチが存在する場合あり)。

STEP5-2:「ディスク領域の解放」でローカルキャッシュをまとめてクラウドに戻す

  1. STEP5-1の画面で「ディスク領域の解放」をクリックすると、緑チェック付きのファイルがすべて雲アイコンに戻ります(オンライン時はそのまま開けます)。
    ※「すべてのファイルをダウンロードする」は逆の動作(全部をローカルに落とす)なので、セキュリティ目的では押さないでください。
  2. 個別に絞りたい場合は、エクスプローラーでOneDrive内のフォルダーを右クリック → 「空き領域を増やす」を選ぶと、そのフォルダーだけクラウドへ戻せます。
  3. 逆に旅行・出張などオフラインで必要なフォルダーだけ右クリック → 「常にこのデバイスに保持」に切り替え。用が済んだらまた「空き領域を増やす」で戻す運用にすると、攻撃面が最小化されます。
  4. 大量のフォルダーをまとめて見直したい場合は、設定の「アカウント」タブ → 「フォルダーの選択」から、同期対象自体を絞る方法もあります。

STEP6:外部共有とアクセス権の運用ベストプラクティス(棚卸し・最小権限・アンチパターン)

「自分のPCだけ守る」ではなく、「自分が他人に渡しているリンク」も忘れずに見直します。ここがいちばん漏れやすい場所です。

OneDriveからの情報漏えいは、「ハッキングされた」よりも「うっかり広い範囲で共有してしまい、そのリンクが転送された」パターンが圧倒的に多いのが実情です。エクスプローラー運用は手軽ゆえに、右クリック1つで強い権限のリンクが量産されがち。本STEPでは、共有の作り方・運用ルール・定期見直し・やってはいけないアンチパターンまでを、Microsoft公式ガイダンスを下敷きにまとめます。

エクスプローラーの詳細ビューでOneDriveフォルダー内のファイル一覧を表示し、共有中ファイルに人物アイコンが付いている画面

STEP6-1:エクスプローラーで「いま誰と何を共有しているか」を見つける

まずは現状把握から。エクスプローラーからOneDriveを開くと、ファイル名の右に人物のシルエットマークが付いているファイル/フォルダーがあります。これが誰かに共有中のサインです。長年エクスプローラーで使っていると、過去に共有したまま忘れているリンクが残りがちなので、必ず棚卸ししましょう。

STEP6-1 手順:棚卸しの始め方

  1. エクスプローラーのOneDriveフォルダーを表示し、ビューを「詳細」にします。
  2. ファイル名の隣にある人物アイコンを探す、または列ヘッダーで「状態」「共有」列を表示して並び替えます。
  3. 共有中のファイルを右クリック → 「OneDrive → 共有」を選択すると、現在の共有相手・リンクを確認できます。
  4. 不要になった相手やリンクは、ここから削除・共有停止できます。
  5. 網羅性を担保したい場合は、ブラウザ版OneDrive左メニューの「共有」 → 「ユーザーが共有しているもの」からも一覧表示できます。エクスプローラー側で見落としたものを拾えます。

STEP6-2:共有のたびに守る「最小権限の3点セット」

Microsoft公式のExternal sharing overviewでも繰り返し強調されている考え方が「必要な相手に・必要な権限だけ・必要な期間だけ」です。共有を作るたびに次の3つだけ確認してください。

項目原則の選び方避けたい既定
① 相手の範囲「特定のユーザー」(Specific people)。受信者にサインインを求め、転送されても他人は開けない「リンクを知っている全員」「組織内全員」
② 権限の強さ原則「閲覧(表示)」。共同編集が要るときだけ「編集」、コメントで足りるなら「コメント可」とりあえず「編集可能」
③ 有効期限「30日」を既定に。継続案件は終わったら手動で延長/再発行。期限なしのリンクは原則作らない「期限なし」

この3点セットは、共有相手を絞り、できることを絞り、開ける期間を絞る、というだけの単純な原則です。具体の操作(共有ダイアログでの設定手順)は、関連記事OneDriveを安全に使い続けるための共有・セキュリティ設定のSTEP2にまとめてあります。

STEP6-3:外部の人と共有するときの「リンクの選び方」3パターン

「外部の人と共有する」と一口に言っても、Microsoft 365 / OneDriveには異なる方式が用意されています。状況に合わせて使い分けます。

方式適する場面注意点
(A) リンクを知っている全員
(Anyone link)		一過性の配布(イベント案内・公開資料)で、誰が見たかを問わない場合のみサインイン不要のため誰が開いたか追跡不可。転送リスク高。有効期限を必ず付与、可能ならパスワード保護
(B) 特定のユーザー
(Specific people)		原則これ。取引先・特定の相手に直接渡す。受信者は本人のメール/Microsoft アカウントでサインインして開く外部の方にMicrosoft アカウントが必要だが、メール認証コードでもOK(2026年7月以降はEntra B2Bゲストアカウント前提に移行)
(C) ゲスト招待
(Microsoft 365のみ)		継続的なプロジェクトで、相手にもサイト/Teamsの一員として継続アクセスしてもらいたい場合個人版OneDriveでは利用不可。Business ではEntra IDのゲストアカウントとして登録される

2026年7月以降の重要な変更(Business利用者向け)。SharePoint/OneDriveの外部共有の認証方式が、現行の「ワンタイムパスコード(OTP)」からEntra ID B2B 統合へ順次切り替わります。それまでに外部とやり取りしていたゲストは、対応するEntra B2Bアカウントが無いと過去の共有がアクセス拒否になるため、Microsoft 365管理者は2026年4月までに手動有効化のうえ、ゲストアカウントを整備しておく必要があります。詳細は関連記事Microsoft 365管理者のOneDrive/SharePoint統制と可視化を。

STEP6-4:クライアントごとに「専用フォルダー」を切ってその中で共有する

Microsoft公式が推奨している外部共有の運用パターンは、「クライアント/プロジェクト単位でフォルダー(または専用サイト)を分け、その中だけで外部共有する」形です。エクスプローラー運用でも同じ考え方で十分機能します。

STEP6-4 推奨フォルダー構成

  1. OneDriveのトップに「クライアント」のような親フォルダーを作る。
  2. その下にクライアント名/プロジェクト名で子フォルダーを切る(例:クライアント/A社/2026下期サイト改修)。
  3. 外部共有はこの子フォルダー以下に限定する。親(トップやDocuments直下)からは絶対に共有しない。
  4. 子フォルダーごと共有する場合も、「特定のユーザー」+閲覧(必要なら編集)+有効期限のセットを毎回守る。
  5. プロジェクト終了時は子フォルダー単位で共有解除すれば、漏れがなくなる。

STEP6-5:退職者・取引終了先・古い案件の定期見直し

共有は「作るより、片付けるほうが難しい」のが現実です。次の頻度で見直す習慣を作ると、放置リンクから情報が漏れる事故を構造的に防げます。

  • 四半期に1回(年4回):OneDrive「共有」一覧をブラウザで開き、自分が共有しているもの・自分に共有されたものを上から確認。不要な相手・期限切れリンクを停止。
  • 取引/プロジェクト終了時:その場で子フォルダーの共有をすべて停止。延長願いが来てから「外しっぱなしだった」と気づくのが最悪のパターン。
  • 従業員・常駐パートナー退職時(Business利用):管理者がEntra ID のアクセスレビューでゲストを棚卸し。四半期ごとの自動レビュー無回答は30日後にアクセス自動削除を推奨。
  • 監査ログ/Sharing reports(Business):Microsoft 365管理センターのSharing reportsでユーザー×権限×リンクの一覧をCSV出力できます。匿名リンクのうち未クリックのものはレポートに出ない仕様なので、Purview監査ログAnonymousLinkCreated 等)と合わせて確認すると漏れがありません。

STEP6-6:やってはいけないアンチパターン

逆に「これだけは避ける」という運用上のアンチパターンです。1つでも当てはまっていたら、来週までに直しましょう。

  • OneDriveのルート/Documentsフォルダーごと「リンクを知っている全員」で共有。中身は秘密情報の宝庫であることが多く、転送1回で全資産が漏れる構造です。
  • とりあえず編集権限を付ける。閲覧で足りる相手にEdit権限を渡すと、悪意のない誤削除・誤上書きの事故がいちばん多い経路になります。
  • 深い階層から個別ファイル単位で共有を量産。親フォルダーの権限と混在して棚卸し不能になり、過去の共有が誰の権限で生きているか分からなくなります。
  • 有効期限なし/パスワードなしのAnyoneリンクをメール添付の代わりに使う。受信者のメール転送・受信箱漏えいで一気に拡散します。
  • 個人版OneDriveを業務共有のハブにする。Business 利用ならSharePoint共有サイトに置き、個人のOneDriveは下書き・自分専用に。組織の棚卸し・監査・退職時の引き継ぎが効きます。
  • 共有相手の追加履歴を残さない。「誰にいつ何を渡したか」を自分のメモ(ExcelやMarkdownで十分)に残しておくと、棚卸し時の判断が圧倒的に速くなります。
3段階の共有方式(リンクを知っている全員/組織内/特定のユーザー)を並べ、特定のユーザーが最も安全であることを示すイラスト

Microsoft 365管理者の方へ:テナント側ガバナンスの推奨既定
会社全体で「最小権限」を運用に落とすには、各自の操作だけでなくテナント側ポリシーで底支えする必要があります。具体的には、外部共有を「新規+既存のゲスト」に絞る既定の共有リンクを「特定のユーザー」にする機密ラベル(Sensitivity Labels)でConfidential付きファイルの外部共有をDLPでブロック四半期ごとのEntra IDアクセスレビューなどが定石です。具体的な統制方法はMicrosoft 365管理者のOneDrive/SharePoint統制と可視化にまとめています。

STEP7:紛失・盗難・離席時の備え(リンク解除と回復キー)

万が一PCを失くしたときも、クラウドとPCの紐付け(リンク)を即座に切ることで、被害を最小化できます。

account.microsoft.com/devices にアクセスし、自分のサインイン中デバイス一覧を確認できる画面

STEP7-1:紛失したPCのOneDriveをリモートで切断する

  1. 別のPC/スマホのブラウザで account.microsoft.com/devices にサインイン。
  2. 紛失したPCを選択し、「このデバイスをアカウントから削除する」を実行。ただしこれは「PCを自分のMSアカウントから切り離す」操作で、OneDriveアプリのトークンも無効化されます。
  3. あわせてMicrosoftアカウントのパスワードを変更し、すべてのセッションをリセットします。MFA有効なら、新規ログインに第三者は突破できません。
  4. 会社アカウント(Microsoft 365)の場合は、情報システム担当者・管理者にアカウントの一時停止を依頼するのが先決です。

STEP7-2:BitLocker回復キーが手元にあるか再確認

  1. 紛失後の調査・データ復旧で必要になります。新しいPCで account.microsoft.com/devices/recoverykey にサインインし、該当PCの回復キーが残っていることを確認。
  2. 会社管理のPCなら、回復キーは組織側に保管されていることがあります。情報システム担当に連絡を。

STEP7-3:日常運用での「離席ロック」を習慣にする

  1. 離席時はWindowsキー + Lでロック。
  2. カフェ・コワーキングではOneDriveの個人用Vaultを必ずロック状態に戻してから席を立つ。
  3. 共有PCでブラウザのOneDriveを使ったときは、必ず右上のアカウントメニュー → サインアウトして閉じる。

まとめ

  • OneDriveをエクスプローラーから使うなら、「PC」「クラウド」「共有リンク」の3層をまとめて守る。
  • 順番は① Windowsサインイン → ② BitLocker → ③ MFA → ④ 個人用Vault → ⑤ ファイル オン デマンド
  • 共有は「相手・権限・期限」の3点セットを毎回守るクライアントごとの専用フォルダーに閉じる四半期ごとに棚卸し
  • 「リンクを知っている全員」「とりあえず編集権限」「期限なしリンク」「ルートフォルダー丸ごと共有」は禁止。
  • 2026年7月以降のSharePoint/OneDrive外部共有のEntra B2B統合に向けて、Microsoft 365管理者は早めの準備を。
  • 万一に備えてBitLocker回復キーはPCの外に、Microsoftアカウントのパスワード変更デバイスのリンク解除の手順を平時から確認。

※本記事は2026年6月時点の情報です。仕様や画面が変わっている場合は、下記の公式情報をご確認ください。「自分のPCの設定がどこまでできているか不安」「会社のMicrosoft 365全体のポリシーを見直したい」「Google Workspaceとの併用環境のセキュリティ点検をお願いしたい」等は、現状確認からお手伝いします。

参考にした記事(公式・有力情報)

📎 合わせて読みたい関連記事

よくある質問

QエクスプローラーからOneDriveを使っているのですが、何から手を付ければよいですか?
A順番が大切です。①Windowsサインインを強化(PIN/Hello+自動ロック)→②BitLockerでドライブ暗号化→③OneDriveアカウントのMFA→④個人用Vaultとファイルオンデマンドでローカルキャッシュを最小化、という順で進めると、抜け漏れなく第三者アクセスを塞げます。
QローカルアカウントでWindowsを使っているのですが、OneDriveのセキュリティは大丈夫ですか?
A問題ありません。ただし「Windowsのサインインに使うアカウント」と「OneDriveにサインインしているアカウント」は別物として扱う必要があります。ローカルアカウント運用なら、Windowsログインのパスワード/PINの強度・自動ロック・BitLocker回復キーの保管(紙でもOK)を念入りに、OneDrive側はMicrosoftアカウントのMFAを必ず有効化します。
Qファイル オン デマンドをオンにすると、PCを盗まれた時もファイルは見られないのですか?
A完全に防げるわけではありません。雲アイコンのファイルは中身を持っていないので物理的に開けませんが、すでに「常にこのデバイスに保持」されたファイルはローカルにあります。そのローカルキャッシュをまとめて守る土台が、Windowsサインインの強化+BitLockerドライブ暗号化です。ファイル オン デマンドは「攻撃面を最小化する」役割と捉えてください。
QOneDriveで外部の人と安全にフォルダーを共有するベストプラクティスは?
A「相手・権限・期限」の3点セットを毎回守るのが基本です。範囲は『特定のユーザー』を既定にしてサインインを求める、権限は原則『閲覧』にして必要な時だけ『編集』へ上げる、有効期限は30日を既定に。さらに、外部に渡すファイルは『クライアント/プロジェクトごとの専用フォルダー』にまとめ、そのフォルダー以下からのみ共有を作ると、プロジェクト終了時の片付けが構造的に楽になります。
Q過去に作った共有リンクを定期的に見直すには?
A個人OneDriveなら、四半期に1回、ブラウザのOneDriveで左メニュー『共有』→『ユーザーが共有しているもの』を上から確認し、不要な相手・期限切れリンクを停止します。エクスプローラーの『人物アイコン』も併用すると見落としが減ります。Microsoft 365利用なら、SharePoint管理センターの『Sharing reports』でCSV出力+Purviewで監査ログ、ゲストはEntra IDのアクセスレビューで四半期ごとの自動レビューが定石です。
Q2026年7月以降のSharePoint/OneDrive外部共有の仕様変更は何が変わりますか?
A外部共有の認証方式が、これまでのワンタイムパスコード(OTP)方式から Microsoft Entra ID の B2B 統合(B2Bゲストアカウント)へ順次切り替わります。2026年4月末まではテナント管理者が手動で有効化でき、2026年7月以降は対応するB2Bゲストアカウントを持たない外部ユーザーは、過去の共有ファイルがアクセス拒否になる可能性があります。Microsoft 365 管理者は、それまでに対象ゲストの整備・テナント設定変更を済ませておく必要があります。

OneDrive×Windowsエクスプローラーのセキュリティ点検、お気軽にご相談ください

Windowsサインイン・BitLocker・MFA・OneDrive設定・外部共有のベストプラクティス・紛失時のリンク解除手順まで。深夜・休日もOK。

まず30秒で無料診断する →

または、そのまま無料相談する