【Office 365】SharePoint Online における「すべてのユーザー」など既定グループの定義

私は コンサルタントとして　SharePoint の「良さ」とはなんだろうか、という質問を顧客から頂くことがしばしばある。SharePoint は複合的な多目的ソリューションであり、実に多くの機能を持つ。従って、その良さはとても多彩だ。

しかし、つきつめて考えると、私自身は「コンテンツにきちんと/柔軟にアクセス権限を設定できこと」こそが SharePoint の本質価値だと考えている。もちろん、それが可能なのは SharePoint だけではないので、必ずしも他製品との競合有為ではないかもしれない。しかし、代表的アカウント管理基盤（システム）である Active Directory との連携も含め SharePoint がこの方面に秀でていることは疑いない。

さて。クラウドの SharePoint である Office 365 の SharePoint Online には、システム的に生成されたいくつかの既定グループがある。しかし、このグループが実際に何（誰）を指しているのかがすこぶる分かりにくい。これでは、「本質価値」であるところのアクセス権設定においてとても不都合だ。

「すべてのユーザー」
「すべてのユーザー（membership）」
「すべてのユーザー（Windows）」
「外部ユーザー以外のすべてのユーザー」
「Company Administrator」

だが、Microsoft の公式資料からはこれらグループの定義について、明確な説明を見つけることができなかった。そこで、SR（サービスリクエスト）を経て Microsoft より正式な回答を頂くことができたので、以下に要約する。

すべてのユーザー

SharePoint Online で認識されている全ユーザー。外部ユーザーを含む。

すべてのユーザー（membership）

事実上「すべてのユーザー」と同義。厳密には「Office 365で認識されている」全ユーザーで、外部ユーザーを含み、かつ SharePoint Online のライセンスを持たないユーザーを含む。ただ、ライセンスがないユーザーはそもそも SharePoint サイトにアクセスできないため、実質として意味が無い。紛らわしいため利用しないことを推奨する。

すべてのユーザー（Windows）

Office 365 と企業内に設置された Active Directory を連携させる「ADFS」構成を組んだ場合に、この外部 Active Directory から取り込まれた SharePoint Online のユーザー全員を指すグループ。当然、外部ユーザーは含まない。重要なポイントとして「Office 365 で登録したユーザー」と「ADFS で取り込んだユーザー」は内部的に全く別のものとして扱われていることに留意。

外部ユーザー以外のすべてのユーザー

文字通り、外部ユーザー以外の SharePoint Online で認識されている全ユーザー。ユーザーの属性が ADFS でも Office 365 ネイティブ（Axure AD）でも区別されない。一般的な「社員全員に見てほしいが社外には出さないでほしい」情報については「すべてのユーザー」ではなく、このグループに閲覧権限をつけることをお勧めする。

Company Administrator

いわゆるシステム管理者グループ。Office 365で「全体管理者（グローバル管理者）」として指定されているユーザーが自動的に登録される。また、この Company Administrator は初期サイトコレクションである「チームサイト」において「サイトコレクションの管理者」として登録されている。

重要なポイントとして、このグループに所属するからといって自動的にすべてのコンテンツに対して管理権限を持つ訳ではないことに留意。いわゆるシステムアカウントとは異なる。ただし、全体管理者は SharePoint Online 管理センターで各サイトコレクションの「サイトコレクションの管理者」の設定を変更できるため、結果的に（間接的に）すべてのコンテンツを自由にすることができるようになっている。

参考：
SharePoint Online の既定の SharePoint グループ
SharePoint2013　権限付与の際の「すべてのユーザー」の違い