Microsoft 365 Copilot の準備にSharePoint 高度な管理ツールを実装する

  • 10 分

organizationが Microsoft 365 Copilot を有効にする準備を行うにつれて、Organizationの SharePoint データを適切に管理して、Copilot の結果が適切で正確で準拠していることを確認することが重要です。 Copilot を使用する場合の SharePoint でのコンテンツ ガバナンスの重要性を理解するには、まず、Copilot が 3 つのコンポーネントを通じてどのように機能するかを理解する必要があります。

  • 大規模言語モデル (LLM)
  • Word、Excel、PowerPoint、Outlook、Teams など、毎日使用する Microsoft 365 生産性アプリ。
  • Microsoft Graphs のコンテンツ

ユーザーが Copilot に要求を行うと、大きな言語モデル (LLM) を使用して要求が処理されます。 次に、Microsoft Graph と Web コンテンツのコンテンツ (省略可能) を使用して、LLM で応答を生成します。 Microsoft Graph のコンテンツには、メール、ファイル、会議、チャット、予定表、連絡先が含まれます。 このコンテンツの大部分は SharePoint ファイルとして保存されます。

ドキュメントを他のユーザーと共有すると、これらのドキュメントは SharePoint サイト、ドキュメント ライブラリ、OneDrive に格納されたデータになります。 これらのドキュメントには、同僚が共有するWordドキュメント、チームで作業しているプレゼンテーション、会議の記録、Loopおよび OneNote で作成したプロジェクト ノートなどがあります。 Copilot が提供する支援が適切、正確、かつ準拠していることを確認するには、組織が SharePoint データが次の 3 つの側面から適切に管理されるようにすることが重要です。

  • コンテンツのスプロールを管理します。 コンテンツのスプロールは、organization内のさまざまなストレージの場所で適切な管理を行わずにデジタル コンテンツが蓄積された場合に発生します。 この状況により、情報へのアクセスが困難になり、ストレージコストが増加し、セキュリティの脆弱性が発生し、コンプライアンスが複雑になります。 コンテンツのスプロールに対処するには、次の方法があります。
    • ガバナンス戦略を実装し、制御を一元化するツールを利用する
    • ストレージ効率の最適化
    • セキュリティで保護されたデータ管理のプラクティスを維持する
    • コンテンツの重複を減らす
    • 適切に計画されたコンテンツの作成を確保する
    • すべてのサイトとコンテンツがサイト所有者によって適切に管理されていることを確認する
  • コンテンツの過剰共有を防ぎ、コンテンツ アクセスを制御します。 Copilot は、SharePoint サイトと OneDrive サイトに格納されているデータを分析して、organization全体で分析情報を提供し、タスクを自動化します。 SharePoint サイトと OneDrive サイトのコンテンツからの機密データは、Copilot の生成された分析情報にデータを取り込み、セキュリティとプライバシーのリスクを生み出す可能性があります。 SharePoint 管理者とサイト所有者は、ツールを使用して、ユーザーがコンテンツを共有しすぎないようにすることができます。 管理者は、ユーザー グループの設定やその他のツールを使用して、Copilot によるコンテンツ アクセスを制限することもできます。
  • コンテンツ ライフサイクルを管理します。 効果的なライフサイクル管理は、効率的なガバナンスと強化されたコラボレーションを保証するだけでなく、ストレージを最適化し、データの整合性を維持し、規制コンプライアンスをサポートします。 その際、コンテンツ ライフサイクル管理は、非アクティブなコンテンツと古いコンテンツとサイトを削除することで、最終的に効率とセキュリティを向上させます。 これにより、Copilot のアクセスに関する情報が正確かつ最新の状態になります。

Microsoft は、Microsoft SharePoint Premium - SharePoint 高度な管理 (SAM) を通じて組織がデータ ガバナンスのニーズに対処するのに役立ちます。 SAM は Microsoft 365 にとって不可欠なアドオンであり、組織は Microsoft 365 Copilot の準備をする際に実装を強く検討する必要があります。 SAM は、Microsoft Copilot展開の過程を通じてコンテンツ ガバナンスを強化するための強力なツール スイートを IT 管理者に提供します。

Copilot の展開の準備でも、実装後のコンテンツの管理でも、SAM は次の機能を提供します。

  • コンテンツの拡散を防ぐ
  • SharePoint サイトと OneDrive サイトのアクセス管理を効率化する
  • 包括的なレポートを使用して使用状況パターンを分析する

SharePoint 高度な管理の柱を示す図。

Microsoft では、SharePoint 高度な管理機能と SharePoint のベスト プラクティスを利用して、コンテンツの過剰共有、コンテンツのスプロールの制御、コンテンツ ライフサイクルの管理のリスクを軽減することをお勧めします。 SharePoint 管理センターにアクセスできる IT 管理者は、SharePoint 高度な管理機能を管理できます。 サイト所有者は、一部の SAM 機能にもアクセスできます。

organizationの Microsoft 365 Copilot 導入の準備を整えるために、主にSharePoint 高度な管理 ツールを使用して、いくつかの強くお勧めの手順を実行できます。 次のセクションでは、偶発的なオーバーシェアを減らし、コンテンツ ガバナンスフットプリントを最小限に抑え、Copilot の応答品質を向上させ、Copilot によるコンテンツ アクセスを制御し、特にビジネスクリティカルなサイトのデータの安全性を確保するために実行できる具体的な手順について説明します。

手順 1: SharePoint 共有設定を使用した偶発的な過共有を減らす

Copilot の結果内での誤ったコンテンツの共有を最小限に抑えるには、ベスト プラクティスの共有設定を実装することが重要です。 プロアクティブなセーフガードが重要です。 Copilot のorganizationを効果的に準備するには、organization レベルとサイト レベルの両方でエンド ユーザーに適切な共有設定を設定する必要があります。

organization レベル:

  • テナントの共有リンクの既定値を、organization全体の共有から特定のユーザーのリンクに更新します。
  • エンド ユーザーから広範な範囲のアクセス許可を非表示にして、偶発的な誤用に関するリスクを軽減することを検討してください。 次の使用例は、エンド ユーザーが使用できないように、People ピッカー コントロールで "外部ユーザーを除くすべてのユーザー" を非表示にします。

サイト レベル:

  • メンバーの共有を制限するために使用できるサイト レベルのコントロールについて、サイト管理者を教育することを検討してください。 ここでの重要な設定の 1 つは、サイト所有者がアクセス要求の受信者であるよう徹底することです。

手順 2: 未使用のサイトをクリーンアップしてコンテンツのスプロールを管理する

組織は、SharePoint 高度な管理から非アクティブな SharePoint サイト ポリシー機能を実行することで、コンテンツの拡散を管理できます。 このポリシーは、非アクティブな SharePoint サイトを自動的に識別して管理することで、コンテンツの拡散に対処します。 これにより、設定された期間の更新やユーザー アクティビティの不足など、非アクティブな条件を定義できます。 この条件を特定すると、サイトの所有者は、サイトのアクティブ/非アクティブ状態を確認するための電子メール通知を受け取ります。

この SAM ポリシーにより、組織はガバナンスフットプリントを削減し、Copilot 対応の品質を向上させることができます。 非アクティブなサイトには古いコンテンツが含まれていることが多く、Copilot のデータ ソースが煩雑になり、応答の精度が低下します。 これらのサイトを削除すると、Copilot は、より良い結果を得るための現在の情報に焦点を当てるのに役立ちます。

  • 5 分以内に、シミュレーション モードで 非アクティブなサイト を設定して実行して、ユーザーが長期間 (構成可能な) 期間アクセスしていないサイトを特定できます。
  • レポートが生成されたら、[ AI 分析情報の取得 ] ボタンを選択して、レポートに対して生成された AI 分析情報を取得して、サイトに関する問題と、これらの問題に対処するための考えられるアクションを特定するのに役立ちます。
  • 準備ができたら、ポリシーを [アクティブ モード] に設定して、サイトが引き続き必要かどうかを証明するようにサイト所有者に通知します。

SharePoint 高度な管理の AI 分析情報機能は、言語モデルを使用して、レポートからパターンと潜在的な問題を特定し、問題を解決するための実用的な推奨事項を受け取ります。 SharePoint 管理センターのさまざまなレポートの横にある [ AI 分析情報の取得 ] ボタンを見つけることができます。 [AI 分析情報] ボタンを選択すると、レポートからパターンが抽出され、潜在的なアクションの一覧が表示されます。

選択した非アクティブなサイト ポリシーの [AI 分析情報] ウィンドウのスクリーンショット。

手順 3: コンテンツが過剰に共有される可能性があるサイトを特定する

サイト上の実際のコンテンツを見ない場合、コンテンツが過剰に共有される可能性があるサイトをすばやく特定するにはどうすればよいですか? 通常、外部ユーザーを除くすべてのユーザー、organizationのPeople、すべてのユーザーのいずれかの共有オプションを含むコンテンツが表示される場合、サイトコンテンツが過剰に共有される可能性が高くなります。 SharePoint 高度な管理の次のアクティビティ ベースのレポートを使用すると、最もアクティブに過共有されているサイトをすばやく特定できます。

この 3 種類の使用量を持つサイトは、そのような使用がないサイトと比較して、過剰共有のリスクが高くなります。 レポートが生成されたら、[ AI 分析情報の取得 ] ボタンを選択して、レポートに対して生成された AI 分析情報を取得します。 これらの分析情報は、サイトに関する問題を特定し、これらの問題に対処するための可能なアクションを提供するのに役立ちます。

SharePoint 高度な管理により、SharePoint サイトと OneDrive サイトの機密データが、承認されたユーザーやセキュリティ グループによってのみ安全に処理およびアクセスされ、Copilot によって生成される分析情報の整合性とセキュリティが維持されます。 過剰共有を防ぎ、アクセスを効果的に管理する場合は、Copilot のコラボレーション機能が最適化されていることを確認できます。 これらのアクションにより、organization全体で Copilot をより効率的かつ安全に使用できるようになります。 次に、SAM ツールに従うと、Copilot による機密データのコンテンツ アクセスを制限できます。

データ アクセス ガバナンスの分析情報

データ アクセス ガバナンス分析情報機能を使用すると、共有が過剰または機密性の高いコンテンツを含むサイトを識別するレポートを表示できます。 これらのレポートを使用して、適切なセキュリティとコンプライアンス ポリシーを評価して適用できます。

データ アクセス ガバナンス レポート ダッシュボードのスクリーンショット。

SharePoint サイトと OneDrive サイトのダウンロード ポリシーをブロックする

SharePoint 高度な管理から SharePoint サイトと OneDrive サイトのダウンロード ポリシーをブロックするツールを使用すると、条件付きアクセス ポリシーを使用することなく、SharePoint サイトまたは OneDrive からのファイルのダウンロードをブロックMicrosoft Entra。 ファイルのダウンロードをブロックすると、ユーザーは偶発的なデータ損失のリスクに対処しながら生産性を維持できます。 ユーザーはブラウザーのみのアクセス権を持ち、ファイルをダウンロード、印刷、または同期する機能はありません。 この SAM ポリシーでは、Microsoft Office デスクトップ アプリを含むアプリを通じてユーザーがコンテンツにアクセスすることもブロックされます。 Web アクセスが制限されている場合、ユーザーはサイトの上部にこのメッセージを表示します。"organizationでは、このサイトからダウンロード、印刷、または同期することはできません。 詳細については、It 部門にお問い合わせください。

この SAM ポリシーは、SharePoint Online 管理シェルで実行する必要がある PowerShell コマンドを使用して有効になります。 まず、Microsoft 365 の SharePoint 管理者として SharePoint に接続する必要があります。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。

SharePoint Online 管理シェルに接続したら、次のコマンドを実行する必要があります。

Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true

例:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -BlockDownloadPolicy $true.

このコマンドレットを OneDrive にも適用するには、URL を変更します。 たとえば、John というユーザーの OneDrive アカウントに URL を変更するには、次のような URL を使用します: https://contoso-my.sharepoint.com/personal/John

このコマンドレットでは、次のパラメーターを使用して微調整できます。

  • このパラメーターは、サイト所有者をポリシーから除外し、サイトのコンテンツを完全にダウンロードできます。

    -ExcludeBlockDownloadPolicySiteOwners $true

  • このパラメーターは、前述のグループからポリシーからユーザーを除外し、サイトのすべてのコンテンツを完全にダウンロードできます。

    -ExcludedBlockDownloadGroupIds <comma separated group IDs>

  • このパラメーターは、前述の SharePoint グループからポリシーからユーザーを除外し、サイトのすべてのコンテンツを完全にダウンロードできます。

    -ExcludeBlockDownloadSharePointGroups <comma separated group names>

  • このパラメーターは、ダウンロードを防ぐだけでなく、サイトを読み取り専用としてマークします。

    -ReadOnlyForBlockDownloadPolicy $true

SharePoint サイトと OneDrive サイトの条件付きアクセス ポリシー

SharePoint 高度な管理には、SharePoint サイトと OneDrive サイトの条件付きアクセス ポリシーも含まれています。これにより、ユーザーが SharePoint サイトにアクセスするときに厳しいアクセス条件を適用できます。 認証コンテキストは、サイトに直接適用することも、秘密度ラベルと共に使用してMicrosoft Entra条件付きアクセス ポリシーをラベル付けされたサイトに接続することもできます。

条件付きアクセス ポリシー ダッシュボードのスクリーンショット。

手順 4: コンテンツへのアクセスを制御する

organizationに対して Copilot を有効にする前に、機密性の高いコンテンツへのアクセスを事前に制限し、Microsoft Graph を通じて Copilot が検出できる内容を管理することが重要です。 Copilot では、ユーザーの既存のアクセス許可に基づいて結果が表示されるだけですが、過剰に共有されたサイトや正しく構成されていないサイトでは、意図したよりも多くのデータが公開される可能性があります。 手順 4 では、サイト アクセス レビュー、制限付きAccess Control (RAC)、制限付きコンテンツ検出 (RCD) の 3 つの補完的なアプローチに焦点を当てます。

  • サイト アクセス レビューを使用して、過剰共有リスクを確認します。 コンテンツが過剰に共有される可能性があるサイト (SAM レポートなど) を特定したら、サイト アクセス レビューを開始できます。 このポリシーは、サイト所有者に対して、現在のアクセス レベルが適切かどうかを確認し、オーバーシェアリングが確認された場合に問題を修復するように求めます。 サイト アクセス レビューを使用すると、サイト所有者はコンテンツ アクセスの決定に対する責任を大規模に維持できます。

  • 機密サイトに制限付きAccess Control (RAC) を適用します。 サイトが過剰に共有されていて、より小規模なユーザーセットへのアクセスを制限する必要がある場合は、制限付きAccess Control (RAC) ポリシーを適用します。

    • SharePoint サイトの場合。 指定した Microsoft 365 またはセキュリティ グループのメンバーのみがサイトを表示できるように、アクセスを制限します。
    • OneDrive アカウントの場合。 以前の共有リンクに関係なく、指定されたグループ内のユーザーのみが共有コンテンツを表示できるように、アクセスを制限します。 必要に応じて、特定のユーザーのサービスとして OneDrive をブロックすることもできます。

    RAC は、機密性の高いサイトや OneDrive へのアクセスを積極的に削除または狭くする必要がある場合に最適です。

  • 制限付きコンテンツ検出 (RCD) を使用して、検出可能性を抑制します。 もう 1 つのオプションは、制限付きコンテンツ検出 (RCD) ポリシーです。これは、Copilot またはテナント全体の検索での機密情報の偶発的な公開を制御するのに役立ちます。

    • アクセス許可は同じままです。 サイトへのアクセス権を既に持っているユーザーは、引き続き直接開くことができます。
    • 検出は抑制されます。 サイトのコンテンツは、Copilot の結果やorganization全体の検索には表示されません。 サイト レベルの検索は、承認されたユーザーに対して引き続き機能します。
    • 最近使用したファイルには注意が必要です。 ユーザーが既にアクセスしたファイルは、最近のアクティビティ リストに引き続き表示される可能性があります。
    • SharePoint サイトに適用されます。 現在、RCD は OneDrive アカウントでは使用できません。
    • インデックス作成の遅延。 RCD を適用した後、抑制が大規模なサイト全体に完全に反映されるまでに時間がかかる場合があります。
    • ベスト プラクティス。 アクセス許可が有効ですが、Copilot と検索の検出可能性を最小限に抑えたいサイトには RCD を使用します。 アクセス許可自体を絞り込む必要がある場合は、RAC を使用します。

手順 5: ビジネス クリティカルなサイトに対してプロアクティブな対策を講える

ビジネス クリティカルなサイトの場合は、コンテンツが適切に共有され、コンテンツへのアクセスが最小レベルに制限されていることを確認するために、事前対策を講じておく必要があります。 次の対策を使用して、最も重要なサイトをロックダウンできます。

  • 制限付きAccess Control (RAC) を使用して、過剰共有からプロアクティブに保護します。 さらに良いことに、カスタム サイト プロビジョニング プロセスの一環として、Get-go から新しいサイトに RAC ポリシーを構成し、永続的な過剰共有を事前に回避します。
  • ブロック ダウンロード ポリシーを使用して、選択したサイトからのダウンロードをブロックすることを検討してください。 または、 Teams 会議の記録とトランスクリプトのダウンロードを具体的にブロックします
  • 最後に、ビジネス クリティカルな Office ドキュメントに "権利の抽出" が適用された暗号化アクションを適用することを検討してください。 詳細については、こちらをご覧ください。

近日公開予定の新しいSharePoint 高度な管理 ポリシー

次のポリシーは現在プレビュー段階であり、SharePoint 高度な管理で間もなく一般公開される予定です。

サイト所有権ポリシーを使用して、すべてのサイトに有効な所有者があることを確認します

サイト所有者は、大規模なガバナンス タスクを実行するためのポイント上の重要な役割です。 具体的には、サイト所有者が以下を行う必要があります。

  • 手順 2- 使用されていないサイトのクリーンアップに関する手順 2. で、非アクティブなサイトが引き続き必要かどうかを証明するのに役立ちます。
  • サイト アクセス レビューを実行して、過剰に共有される可能性のあるコンテンツが実際に過剰共有されているかどうかを確認し、手順 4 - アクセスの制御に関するページで過剰共有リスクに対処するための修復を行います。

未使用のサイトをクリーンアップし、所有者に過剰共有コンテンツの処理を依頼する前に、すべてのサイトに有効な所有者があることを確認することが不可欠です。 SharePoint 高度な管理のサイト所有権ポリシーは、所有者のないサイトを識別し、必要に応じて適切な所有者を見つけるのに役立ちます。 シミュレーション モードでサイト所有権ポリシーを実行すると、少なくとも 2 人の所有者を持たないサイトを特定できます。 シミュレーション モードでポリシーを設定して、目的の条件に基づいて所有者を識別できます。 その後、ポリシーをアクティブ モードにアップグレードして、サイト所有者候補への通知を有効にすることができます。

非アクティブなサイト ( 読み取り専用サイトと非アクティブサイト ) を使用する - アーカイブポリシーを使用して未使用のサイトをクリーンする

非アクティブなサイトを特定した後 (手順 2 を参照)、サイトがまだ必要かどうかをサイト所有者に証明するように依頼する必要があります。 サイト所有者がサイトが不要であることを確認する場合は、サイトを読み取り専用モードにするか、サイトを Microsoft 365 アーカイブに移動する必要があります。 この機能を使用すると、非アクティブなサイト - 読み取り専用非アクティブなサイト - アーカイブ機能を使用して、次のアクションを大規模に実行できます。

  • サイトを読み取り専用にする
  • サイトを Microsoft 365 アーカイブに移動する

サイト、OneDrive アカウント、ファイルのオーバーシェアリング ベースライン レポート ポリシーを使用して、オーバーシェアリング リスクを特定する

手順 3 では、3 つの SAM 使用状況レポートを実行して、過剰に共有される可能性のあるコンテンツを特定する方法について説明しました。 この今後の機能を使用すると、1 つのレポートを実行して、サイトのアクティビティに関係なく、テナント上のすべてのサイトにコンテンツの露出超過リスクが存在する場所を確認できます。

  • まず、SharePoint Online PowerShell モジュールのデータ アクセス ガバナンス (DAG) PowerShell コマンドから、"サイト、OneDrive アカウント、ファイルのオーバーシェアリング ベースライン レポート" レポートを実行します。 このレポートでは、テナント内のすべてのサイトがスキャンされ、指定した数を超えるユーザーとコンテンツを共有するサイトが一覧表示されます (番号を指定します)。
  • レポートを並べ替え、フィルター処理、またはダウンロードし、コンテンツが過剰に共有される可能性があるサイトを特定できます。

制限付きコンテンツ検出可能性ポリシーを使用して、偶発的なコンテンツの検出可能性をさらに制御する

手順 4 では、サイト アクセス レビューと制限付きAccess Control (RAC) を使用して、サイトの過共有を減らし、サイト アクセスを制限する方法について説明しました。 過剰に共有される可能性のあるコンテンツを特定し、アクセス制御を適用した後、組織は、SharePoint 高度な管理で制限付きコンテンツ検出可能性 (RCD) ポリシーを有効にすることで、偶発的な露出のリスクをさらに軽減できます。

RCD ポリシーを使用すると、SharePoint 管理者は、サイト コンテンツが Microsoft 365 Copilot や SharePoint Home、Office.com、Bing などのorganization全体の検索エクスペリエンスに表示されないようにすることができます。 重要なのは、RCD はサイトのアクセス許可を変更しません。 承認されたユーザーは、引き続き通常どおりコンテンツにアクセスして操作できます。 ただし、機密性の高いコンテンツが Copilot によって生成された応答や広範な検索結果に表示されないようにし、ビジネスに不可欠な情報を保護するのに役立ちます。

RCD について理解する重要なポイントは次のとおりです。

  • アクセスはブロックされません。 サイトに対するアクセス許可を既に持っているユーザーは、引き続き直接開くことができます (たとえば、保存済みのリンク、サイト ナビゲーション、または既にアクセスできるファイルを使用)。
  • 検出は抑制されます。 サイトのコンテンツが Copilot の結果やテナント全体の検索に表示されなくなりました。 ただし、サイト内の検索自体は、承認されたユーザーに対して引き続き機能します。
  • 最近のコンテンツに関する注意事項。 場合によっては、ユーザーが最近アクセスしたファイルは、サイトが RCD の下にある場合でも、"最近の" ビューに表示される場合があります。
  • OneDrive サイト。 RCD は現在、個々の OneDrive アカウントではなく SharePoint サイトに適用されます。
  • 伝達遅延。 RCD を有効にした後、特に大規模なサイトでは、インデックス作成によって変更が反映されるまでに時間がかかる場合があります。
  • ベスト プラクティス。 RCD は、アクセス許可が正しい機密情報やビジネスクリティカルな情報を含むサイトに対して RCD を使用しますが、Copilot またはorganization全体の検索で意図せずにコンテンツが表示されるリスクを軽減する必要があります。 RCD と RAC とサイト アクセス レビューを組み合わせて、階層化されたガバナンス アプローチを提供します。

SharePoint 管理者は、テナントにSharePoint 高度な管理 (SAM) またはSharePoint Premiumライセンスがある場合は、SharePoint 管理センターまたは PowerShell を使用して RCD ポリシーを適用できます。 SharePoint Online 管理シェルを使用して SharePoint サイトの RCD を有効にするには、管理者は次の PowerShell コマンドを実行できます。

Set-SPOSite –Identity {site-url} -RestrictContentOrgWideSearch $true

このポリシーを適用することで、組織は特に可視性を厳しく制御する必要があるサイトで、機密性の高いコンテンツに対する保護レイヤーを追加します。

AI によるセマンティック マッチングを使用して類似のサイトを検索する

適切な保護に欠けている重要なビジネス データを含むサイトを検出しました。 このような同様の脆弱性を持つサイトは他にもありますか? 間もなく、AI Power セマンティック マッチングは、例として検出したサイトを使用してこれらのサイトを見つけるのに役立ちます。 AI を利用したセマンティック マッチング ツールは、コンテンツ、ファイル、メタデータなど、すべてのサイトを読み取り、サンプル サイトに基づいて類似のサイトの一覧を提供します。