实现SharePoint 高级管理工具以准备Microsoft 365 Copilot

10 分钟

当组织准备启用 Microsoft 365 Copilot 时，正确管理组织的 SharePoint 数据以确保 Copilot 的结果适当、准确和合规至关重要。了解使用 Copilot 时 SharePoint 中内容治理的重要性，首先要了解 Copilot 如何通过三个组件工作：

大型语言模型（LLM）
Microsoft每天使用的 365 个生产力应用，例如Word、Excel、PowerPoint、Outlook、Teams 等。
Microsoft图形中的内容

当用户向 Copilot 发出请求时，它会使用大型语言模型 (LLM) 处理请求。然后，它通过使用 Microsoft Graph 中的内容和 Web 内容 (可选) 生成包含 LLM 的响应。 Microsoft Graph 中的内容包括电子邮件、文件、会议、聊天、日历和联系人。此内容的很大一部分存储为 SharePoint 文件。

与他人共享文档时，这些文档将成为存储在 SharePoint 网站、文档库和 OneDrive 上的数据。这些文档可以是：同事共享的Word文档、与团队一起处理的演示文稿、会议录制、在 Loop 和 OneNote 中创建的项目笔记等。为确保 Copilot 提供的援助是适当、准确和合规的，组织必须确保其 SharePoint 数据从以下三个方面得到适当的管理：

管理内容蔓延。当数字内容在组织中的各个存储位置上累积时，如果没有适当的管理，则会发生内容蔓延。这种情况会导致难以访问信息、更高的存储费用、安全漏洞和合规性复杂性。可以通过以下方法解决内容蔓延问题：
- 实施治理策略并利用集中控制的工具
- 优化存储效率
- 维护安全数据管理做法
- 减少内容重复
- 确保精心策划的内容创建
- 确保所有网站和内容都由网站所有者妥善管理
防止内容过度共享并控制内容访问。 Copilot 分析 SharePoint 和 OneDrive 网站中存储的数据，以提供见解，并在整个组织中自动执行任务。来自 SharePoint 和 OneDrive 网站中内容的机密数据可能会填充 Copilot 生成的见解，从而带来安全和隐私风险。 SharePoint 管理员和网站所有者可以使用工具来防止用户过度共享内容。管理员还可以使用用户组设置和其他工具限制 Copilot 访问内容。
管理内容生命周期。有效的生命周期管理不仅可确保简化治理和增强协作，还能优化存储、维护数据完整性并支持合规性。在此过程中，内容生命周期管理最终通过删除非活动内容和过时的内容和网站来提高效率和安全性。这样做可确保 Copilot 访问的信息准确且最新。

Microsoft通过Microsoft SharePoint 高级版（SharePoint 高级管理 (SAM) ）帮助组织满足其数据治理需求。 SAM 是 Microsoft 365 的基本加载项，组织在为 Microsoft 365 Copilot 做准备时应强烈考虑实施。 SAM 为 IT 管理员提供了一套功能强大的工具，用于在整个Microsoft Copilot部署过程中加强内容治理。

无论是准备 Copilot 部署还是管理实施后的内容，SAM 都提供的功能可以：

防止内容蔓延
简化 SharePoint 和 OneDrive 网站的访问管理
通过综合报告分析使用模式

显示SharePoint 高级管理支柱的关系图。

Microsoft建议在 SharePoint 中使用SharePoint 高级管理功能及其最佳做法，以降低过度共享的风险、控制内容蔓延和管理内容生命周期。有权访问 SharePoint 管理中心的 IT 管理员可以管理SharePoint 高级管理功能。网站所有者还可以访问某些 SAM 功能。

若要为组织的 Microsoft 365 Copilot 采用做好准备，可以采取一些强烈建议的步骤，主要使用SharePoint 高级管理工具。以下部分介绍可以采取的具体步骤来减少意外过度共享、最大程度地减少内容治理占用量、提高 Copilot 响应质量、控制 Copilot 的内容访问，以及确保特定于业务关键型站点的数据安全。

若要最大程度地减少 Copilot 结果中意外的内容过度共享，实现最佳做法共享设置至关重要。主动安全措施是关键。若要有效地为 Copilot 准备组织，应在组织和站点级别为最终用户设置适当的共享设置。

在组织级别：

将租户的共享链接默认值从组织范围的共享更新为特定人员链接。
请考虑向最终用户隐藏范围广泛的权限，以降低意外滥用的风险。此示例隐藏人员选取器控件中的“除外部用户以外的所有人”，以便最终用户无法使用它。

在站点级别：

请考虑对网站管理员进行网站级控制，以限制成员共享。此处的一个关键设置可确保网站所有者是访问请求的收件人。

步骤 2：清理未使用的网站以管理内容蔓延

组织可以通过从SharePoint 高级管理运行非活动 SharePoint 网站策略功能来管理内容蔓延。此策略通过自动识别和管理非活动 SharePoint 网站来防止内容蔓延。它使你能够定义非活动条件，例如在设定的时间段内缺少更新或用户活动。确定此条件后，网站所有者将收到电子邮件通知，以确认网站的活动/非活动状态。

此 SAM 策略使组织能够减少其治理占用量并提高 Copilot 响应质量。非活动网站通常包含过时的内容，使 Copilot 的数据源混乱，并导致响应不准确。删除这些网站有助于 Copilot 专注于最新信息，从而获得更好的结果。

在不到 5 分钟的时间内，可以在模拟模式下设置和运行非活动站点，以识别用户在一段时间内 (可配置) 未访问的站点。
生成报表后，选择“ 获取 AI 见解 ”按钮以获取为报表生成的 AI 见解，以帮助你识别网站问题以及解决这些问题的可能作。
准备就绪后，将策略设置为 “活动 ”模式，以通知网站所有者证明是否仍需要该网站。

适用于SharePoint 高级管理的 AI 见解功能使用语言模型来识别报告中的模式和潜在问题，并接收解决问题的可作建议。可以在 SharePoint 管理中心的各种报表旁边找到 “获取 AI 见解 ”按钮。选择 “AI 见解 ”按钮后，该功能会从报表中提取模式并提供可能作的列表。

步骤 3：识别具有可能过度共享内容的网站

如果不查看网站上的实际内容，如何快速识别具有可能过度共享内容的网站？如果看到具有以下共享选项之一的内容，则网站上的内容通常更有可能被过度共享：除外部用户以外的所有人、组织中的人员和任何人。 SharePoint 高级管理中以下基于活动的报表可让你快速识别最活跃的过度共享网站：

与没有此类用法的网站相比，具有这三种类型的使用的网站面临更大的过度共享风险。生成报表后，选择“ 获取 AI 见解 ”按钮，获取为报表生成的 AI 见解。这些见解可帮助你识别网站问题，并提供解决这些问题的可能作。

SharePoint 高级管理还确保只有授权用户和/或安全组才能安全地处理和访问 SharePoint 和 OneDrive 网站中的机密数据，从而保持 Copilot 生成的见解的完整性和安全性。防止过度共享并有效管理访问权限时，可以确保 Copilot 的协作功能得到优化。这些作可在整个组织中更高效、更安全地使用 Copilot。然后，遵循 SAM 工具有助于限制 Copilot 对机密数据的内容访问。

数据访问治理见解

通过数据访问治理见解功能，可以查看报表，以识别包含可能过度共享或敏感内容的站点。可以使用这些报告来评估和应用适当的安全性和合规性策略。

SharePoint 和 OneDrive 网站的阻止下载策略

可以从 SharePoint 高级管理使用“阻止下载 SharePoint 和 OneDrive 网站策略”工具来阻止从 SharePoint 网站或 OneDrive 下载文件，而无需使用Microsoft Entra条件访问策略。阻止下载文件可让用户保持工作效率，同时解决意外丢失数据的风险。用户仅具有浏览器访问权限，无法下载、打印或同步文件。此 SAM 策略还阻止用户通过应用（包括Microsoft Office 桌面应用）访问内容。当 Web 访问受到限制时，用户会在网站顶部看到此消息，“组织不允许你从此网站下载、打印或同步。如需帮助，请联系 It 部门。”

此 SAM 策略是通过 PowerShell 命令启用的，必须在SharePoint Online 命令行管理程序中运行该命令。必须首先以 Microsoft 365 中的 SharePoint 管理员身份连接到 SharePoint。若要了解具体操作步骤，请参阅 SharePoint 在线管理壳入门。

连接到SharePoint Online 命令行管理程序后，必须运行以下命令：

Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true

例如：

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -BlockDownloadPolicy $true.

也可以通过更改 URL 将此 cmdlet 应用到 OneDrive。例如，若要为名为 John 的用户更改 OneDrive 帐户的 URL，可以使用如下 URL： https://contoso-my.sharepoint.com/personal/John。

以下参数可用于此 cmdlet 以对其进行微调：

此参数从策略中免除网站所有者，他们可以完全下载网站的任何内容。
```
-ExcludeBlockDownloadPolicySiteOwners $true
```
此参数将用户从策略中排除上述组，他们可以完全下载网站的任何内容。
```
-ExcludedBlockDownloadGroupIds <comma separated group IDs>
```
此参数将用户从策略中排除上述 SharePoint 组，他们可以完全下载网站的任何内容。
```
-ExcludeBlockDownloadSharePointGroups <comma separated group names>
```
除了阻止下载之外，此参数还会将站点标记为只读。
```
-ReadOnlyForBlockDownloadPolicy $true
```

SharePoint 和 OneDrive 网站的条件访问策略

SharePoint 高级管理还包括 SharePoint 和 OneDrive 网站的条件访问策略，可在用户访问 SharePoint 网站时强制实施严格的访问条件。身份验证上下文可以直接应用于网站或与敏感度标签一起使用，以将Microsoft Entra条件访问策略连接到已标记的网站。

步骤 4：控制对内容的访问

在为组织启用 Copilot 之前，必须主动限制对敏感内容的访问，并管理 Copilot 可以通过 Microsoft Graph 发现的内容。尽管 Copilot 仅根据用户的现有权限显示结果，但过度共享或错误配置的网站仍可能会公开比预期更多的数据。步骤 4 重点介绍三种补充方法：网站访问评审、受限访问控制 (RAC) 和受限内容发现 (RCD) 。

使用站点访问评审确认过度共享风险。例如，在通过 SAM 报告) （例如，通过 SAM 报告 (）确定具有可能过度共享内容的网站后，可以启动站点访问评审。此策略提示网站所有者验证当前访问级别是否合适，并在确认过度共享时修正问题。网站访问评审确保网站所有者仍对大规模内容访问决策负责。
对敏感网站应用受限访问控制 (RAC) 。如果网站已过度共享，并且需要将访问权限限制为较小的人员集，请应用受限访问控制 (RAC) 策略：
- 对于 SharePoint 网站。限制访问，以便只有指定的 Microsoft 365 或安全组的成员才能查看站点。
- 对于 OneDrive 帐户。限制访问权限，以便只有指定组中的人员才能看到共享内容，而不管以前的共享链接如何。如有必要，还可以阻止特定用户的 OneDrive 作为服务。
当你需要主动删除或缩小对敏感网站或 OneDrive 的访问范围时，最好使用 RAC。
使用受限内容发现 (RCD) 取消可发现性。另一个选项是受限内容发现 (RCD) 策略，它有助于控制 Copilot 或租户范围的搜索中敏感信息的意外泄露：
- 权限保持不变。已有权访问该网站的用户仍可以直接打开网站。
- 取消发现。站点的内容不会显示在 Copilot 结果或组织范围的搜索中。网站级搜索仍适用于授权用户。
- 最近使用的文件需要注意。用户已访问的文件可能仍会显示在其最近的活动列表中。
- 适用于 SharePoint 网站。 RCD 当前不适用于 OneDrive 帐户。
- 索引延迟。应用 RCD 后，抑制可能需要一段时间才能跨大型站点完全传播。
- 最佳做法。将 RCD 用于访问权限有效但希望最大程度地减少 Copilot 和搜索中的可发现性的网站。需要缩小权限本身时，请使用 RAC。

步骤 5：对业务关键型站点采取主动措施

对于业务关键型网站，应采取主动措施，确保内容适当共享，并且对内容的访问限制为最低级别。可以使用以下措施锁定最重要的网站：

使用受限访问控制 (RAC) 主动防止过度共享。更好的是：作为自定义网站预配过程的一部分，请从一开始在新网站上配置 RAC 策略，并主动避免永远过度共享。
请考虑通过阻止下载策略阻止从所选站点下载。或者专门阻止下载 Teams 会议录制内容和脚本。
最后，考虑应用加密作，对业务关键型办公室文档强制执行“提取权限”。点击此处了解详细信息。

即将推出新的SharePoint 高级管理策略

以下策略目前为预览版，不久将在 SharePoint 高级管理中正式发布。

使用网站所有权策略确保所有网站都有有效的所有者

网站所有者是大规模执行治理任务的关键角色。具体而言，你需要网站所有者：

在步骤 2- 清理未使用的站点中，帮助证明是否仍需要非活动站点。
执行网站访问评审，以确认可能过度共享的内容是否确实被过度共享，并采取修正来解决步骤 4 - 控制访问中的过度共享风险。

在清理未使用的网站并要求所有者处理过度共享的内容之前，必须确认所有网站都有有效的所有者。 SharePoint 高级管理的网站所有权策略有助于识别无所有者网站，并在需要时找到适当的所有者。可以在模拟模式下运行网站所有权策略，以标识任何没有至少两个所有者的网站。可以在模拟模式下设置策略，以根据所需的条件标识所有者。然后，可以将策略升级到“活动”模式，以便向网站所有者候选项启用通知。

使用非活动站点 - 只读和非活动站点 - 存档策略来清理未使用的站点

确定非活动网站 (步骤 2) 后，应要求网站所有者证明是否仍需要这些网站。如果网站所有者确认不需要网站，则必须将网站置于只读模式，或将网站移动到 Microsoft 365 存档。借助此功能，可以使用非活动站点 - 只读和非活动站点 - 存档功能大规模执行以下作：

将网站设为只读
将站点移动到 Microsoft 365 存档

使用站点、OneDrive 帐户和文件过度共享基线报告策略来识别过度共享风险

步骤 3 检查了如何运行三个 SAM 使用情况报告来识别可能过度共享的内容。借助这项即将推出的功能，可以运行单个报告来了解租户上所有站点中存在的内容过度曝光风险，而不管网站活动如何。

首先，可以从 SharePoint Online PowerShell 模块中的数据访问治理 (DAG) PowerShell 命令运行“站点、OneDrive 帐户和文件的过度共享基线报表”。此报表扫描租户中的所有网站，并列出与指定数量以上的用户共享内容的网站， (指定) 。
您可以对报表进行排序、筛选或下载，并识别具有可能过度共享内容的网站。

使用受限内容可发现性策略进一步控制意外内容可发现性

在步骤 4 中，你检查了如何使用网站访问评审和受限访问控制 (RAC) 来减少过度共享和限制网站访问。在识别可能过度共享的内容并应用访问控制后，组织可以通过在 SharePoint 高级管理中启用受限内容可发现性 (RCD) 策略，进一步降低意外泄露的风险。

RCD 策略允许 SharePoint 管理员阻止网站内容出现在 Microsoft 365 Copilot 和组织范围的搜索体验中，例如 SharePoint 主页、Office.com 和必应。重要的是，RCD 不会更改网站权限。授权用户仍可以像往常一样访问内容并与之交互。但是，它可确保敏感内容不会显示在 Copilot 生成的响应或广泛的搜索结果中，从而有助于保护业务关键型信息。

要了解的有关 RCD 的要点包括：

不会阻止访问。已有网站权限的用户仍可以直接 (打开网站，例如，通过保存的链接、网站导航或他们已有权访问) 的文件。
取消发现。站点的内容不再显示在 Copilot 结果中或整个租户范围的搜索中。但是，网站内部的搜索将继续对授权用户起作用。
最新内容注意事项。在某些情况下，用户最近访问的文件可能仍会显示在其“最近”视图中，即使站点位于 RCD 下也是如此。
OneDrive 网站。 RCD 当前适用于 SharePoint 网站，而不是单个 OneDrive 帐户。
传播延迟。启用 RCD 后，更改可能需要一段时间才能通过索引进行传播，尤其是在大型网站上。
最佳做法。对于包含敏感信息或业务关键信息（访问权限正确）的网站，但希望降低在 Copilot 或组织范围的搜索中无意中显示内容的风险，请使用 RCD。将 RCD 与 RAC 和站点访问评审相结合，以提供分层治理方法。

SharePoint 管理员可以通过 SharePoint 管理中心或 PowerShell 应用 RCD 策略，前提是租户已SharePoint 高级管理 (SAM) 或SharePoint 高级版许可。若要通过SharePoint Online 命令行管理程序为 SharePoint 网站启用 RCD，管理员可以运行以下 PowerShell 命令：

Set-SPOSite –Identity {site-url} -RestrictContentOrgWideSearch $true

通过应用此策略，组织为敏感内容添加了额外的保护层，尤其是在必须严格控制可见性的网站上。

使用 AI 支持的语义匹配查找类似网站

你发现了一个站点，其中包含缺乏适当保护的关键业务数据。是否有更多此类站点可能具有类似漏洞？很快，AI 驱动的语义匹配将帮助你使用你发现的网站作为示例来查找这些站点。 AI 支持的语义匹配工具可读取你拥有的所有网站，包括内容、文件、元数据，并基于示例网站提供类似网站的列表。

反馈

此页面是否有帮助？