カスタム スクリプトを許可する場合のセキュリティに関する考慮事項

SharePoint でユーザーがスクリプトを挿入して、サイトおよびページをカスタマイズできるようにすると、組織内のさまざまなニーズに対応する柔軟性を与えることができます。ただし、カスタム スクリプトのセキュリティの問題に注意する必要があります。ユーザーにカスタム スクリプトの実行を許可すると、ガバナンスを適用したり、挿入されるコードの機能のスコープを設定したり、コードの特定の部分をブロックしたり、展開されているすべてのカスタム コードをブロックしたりできなくなります。カスタム スクリプトを許可する代わりに、SharePoint フレームワークを使用することをお勧めします。詳細については、「カスタム スクリプトの代替策」を参照してください。

カスタム スクリプトで実行できること

SharePoint で実行されるすべてのスクリプト (ドキュメント ライブラリ内の HTML ページまたはスクリプト エディター Web パーツの JavaScript に関係なく) は常に、ページと SharePoint アプリケーションにアクセスするユーザーのコンテキストで実行します。これは、次のことを意味します。

  • スクリプトは、ユーザーがアクセスできるすべてのものにアクセスできます。

  • スクリプトは、Microsoft Graph 統合によって、複数の Office 365 サービスとそれを超えるコンテンツにもアクセスできます。

スクリプトの挿入を監査できない

グローバル管理者、セキュリティ管理者、または SharePoint 管理者は、組織全体または特定のサイト コレクションに対して、カスタム スクリプト機能を許可またはブロックできます (これを行う方法については、「スクリプト機能のオン/オフの切り替え」を参照してください)。ただし、スクリプトの実行を許可すると、次のことを識別できなくなります。

  • 挿入されたコード

  • コードが挿入された場所

  • コードを挿入したユーザー

任意のページまたはドキュメント ライブラリへの "ページの追加とカスタマイズ" 権限 (デザインおよびフル コントロール アクセス許可レベルの一部) を持つすべてのユーザーは、組織内のすべてのユーザーとリソースに強力な影響を与える可能性のあるコードを挿入できます。スクリプトは、ページやサイトにアクセスできるだけでなく、組織内のすべてのサイト コレクションと、他の Office 365 サービス全体のコンテンツにアクセスできます。スクリプトの実行に限界はありません。監査できるサイトのアクティビティについては、「サイト コレクションの監査設定を構成する」を参照してください。

挿入されたスクリプトをブロックまたは削除できない

カスタム スクリプトを許可している場合、後でユーザーのカスタム スクリプトの追加を妨げるように設定を変更することができますが、既に挿入済みのスクリプトの実行をブロックすることはできません。危険または悪意のあるスクリプトが挿入された場合、それを停止できる方法は、それをホストするページを削除するしかありません。これにより、データが失われる可能性があります。

カスタム スクリプトの代替策

SharePoint Framework は、オープン ソース ツールをサポートするスクリプト テクノロジを使用してソリューションを構築するための、管理され、完全にサポートされる方法を提供するページおよび Web パーツ モデルです。 SharePoint Framework の主要機能

  • このフレームワークは、ブラウザーの現在のユーザーと接続のコンテキストで実行します。iFrame を使用しません。

  • コントロールは、標準のページ ドキュメント オブジェクト モデル (DOM) に表示されます。

  • コントロールは、高い応答性とアクセシビリティを備えています。

  • 開発者は、ライフサイクルにアクセスできます。表示だけでなく、ロード、シリアル化、逆シリアル化、構成の変更などにアクセスできます。

  • 任意のブラウザー フレームワーク (React、Handlebars、Knockout、AngularJS など) を使用できます。

  • ツールチェーンは、npm、TypeScript、Yeoman、webpack、gulp などの一般的なオープン ソース クライアント開発ツールに基づいています。

  • Office 365 管理者には、使用されているインスタンスの数や、それらが使用されているページまたはサイトの数に関係なく、ソリューションをただちに無効にするガバナンス ツールが用意されています。

  • ソリューションは、従来の操作環境または新しい操作環境を使用する Web パーツやページに展開できます。

  • グローバル管理者、SharePoint 管理者、アプリ カタログを管理する特定のアクセス許可を与えられているユーザーだけが、ソリューションを追加できます (アプリ カタログを管理するアクセス許可をユーザーに与える方法については、「アプリのインストール許可の要求」を参照してください)。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×