次の方法で共有

SharePoint サイトのデータ アクセス ガバナンス レポート

  • [アーティクル]

この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint 高度な管理が必要です

指数関数的なデータの増加に伴って SharePoint サイトのスプロールと過剰共有が増加するにつれて、組織はデータの管理に関する支援を必要とします。 データ アクセス ガバナンス レポートは、SharePoint データへのアクセスを管理するのに役立ちます。 レポートを使用すると、過剰共有または機密性の高いコンテンツを含むサイトを検出できます。 これらのレポートを使用して、適切なセキュリティとコンプライアンス ポリシーを評価して適用できます。

要件

この機能には、Microsoft 365 E5 または Microsoft SharePoint Premium - SharePoint 高度な管理が必要です。

注:

Microsoft 365 E5 ライセンスを持つ IT 管理者は、データ アクセス ガバナンス レポートにアクセスできますが、他の SharePoint 高度な管理機能を表示または利用することはできません。

SharePoint 管理センターのレポートにアクセスする

  1. 組織の SharePoint 管理者資格情報を使用して SharePoint 管理センターにサインインします。

  2. 左側のウィンドウで、[レポート] を展開し、[データ アクセス ガバナンス] を選択します。

    現在、データ アクセス ガバナンスのランディング ページから、次のレポートを使用できます:

    • 共有リンク
    • ファイルに適用された秘密度ラベル
    • "外部ユーザーを除くすべてのユーザー" と共有 データ アクセス ガバナンス ダッシュボードを示すスクリーンショット。

アクセス許可を使用した新しい過剰共有ベースライン レポートは、PowerShell でのみ使用できるようになりました。

過剰共有の定義は、顧客ごとに異なる場合があります。 データ アクセス ガバナンスでは、ベースラインを確立し、過去 28 日間に作成されたリンクの共有や、外部ユーザーを除くすべてのユーザーなどの大規模なグループへの共有など、潜在的な過剰共有に対する主要な共同作成者を追跡するために、"ユーザー数" を 1 つの可能なピボットと見なします。

共有リンク レポートを使用すると、ユーザーが最も新しい共有リンクを作成したサイトを表示することで、過剰共有の潜在的なソースを特定できます。 レポートは、次のリンクから入手できます:

レポートの名前 説明
"すべてのユーザー" リンク このレポートには、"すべてのユーザー" リンクの最大数が作成されたサイトの一覧が表示されます。 "すべてのユーザー" リンクを使用すると、誰でもサインインせずにファイルやフォルダーにアクセスできます。
"組織内のユーザー" リンク このレポートには、"組織リンク内のユーザー" の最大数が作成されたサイトの一覧が表示されます。 これらのリンクは内部的に転送でき、組織内のすべてのユーザーがファイルやフォルダーにアクセスできます。
外部で共有されている "特定のユーザー" リンク このレポートには、組織外のユーザーに対して最も多くの "特定のユーザー" リンクが作成されたサイトの一覧が表示されます。

[リンクの共有] ページ

レポートを実行する

各レポートの最新データを取得するには、データ アクセス ガバナンス レポートを手動で実行します。 すべてのレポートを実行することも、個々のレポートを選択して実行することもできます。 レポートが完全に生成されるまでに数時間かかることがあります。 レポートの準備ができているかどうかをチェックしたり、最後に更新された日時を確認するには、[状態] 列を参照してください。

注:

レポートは 1 か月に 1 回だけ実行できます。

レポートを表示する

レポートの準備ができたら、レポートの名前を選択してデータを表示します。 各共有リンク レポートには、次のものが含まれます:

注:

PowerShell を使用して OneDrive データのサポートを利用できるようになりました。

レポートをダウンロードする

レポートは、最大 10,000 サイトの CSV ファイルとしてダウンロードすることもできます。

重要

SharePoint Premium - SharePoint 高度な管理ライセンスがあり、テナントが政府以外のクラウド環境である場合は、最大 100 万サイトのレポートをダウンロードできます。

ファイル レポートの秘密度ラベル

ファイル レポートの秘密度ラベル機能を使用すると、機密ラベルが適用されている Office ファイルを格納しているサイトを見つけることで、機密性の高いコンテンツへのアクセスを制御できます。 これらのサイトを確認して、正しいポリシーが適用されていることを確認できます。

レポートを追加する

追跡する秘密度ラベルごとにレポートを追加できます。レポートを追加すると、初めて実行されます。

注:

"ファイル" を含むスコープを持つ秘密度ラベルに対してのみレポートを追加できます。

秘密度ラベル レポートの追加パネル

レポートを実行する

レポートの最新データを取得するには、レポートを実行します。 すべてのレポートを実行することも、個々のレポートを選択して実行することもできます。 レポートが実行されるまでに数時間かかる場合があります。 レポートの準備ができているか、最後に更新された日時をチェックするには、[状態] 列を参照してください。

注:

各レポートは、24 時間に 1 回だけ実行できます。

レポートのダウンロード

レポートを実行した後、レポートを選択してデータをダウンロードします。 レポートには次のものが含まれます:

ダウンロードした .csv ファイル

"外部ユーザーを除くすべてのユーザー" (EEEU) レポートと共有されるコンテンツ

重要

このレポートは、SharePoint Premium - SharePoint 高度な管理ライセンスがあり、テナントが政府以外のクラウド環境である場合にのみ使用できます。 このレポートは、SharePoint Premium - SharePoint 高度な管理ライセンスがある場合でも、GCCH/GCC-Moderate/DoD/Gallatin などの政府機関向けクラウド環境では現在使用できません。

外部ユーザー (EEEU) を除くすべてのユーザーは、外部ゲストなしで組織全体を表す組み込みグループの一部です。 コンテンツを組織全体に表示する必要がある次のシナリオで使用されます:

  • 公開用サイト - このサイトは、組織全体のユーザーに公開されます。外部ユーザー (EEEU) グループを除くすべてのユーザーは、サイト メンバーシップの一部です。つまり、サイト所有者/訪問者/メンバーです。
  • 公開用アイテム - ユーザー選択ウィンドウで [EEEU] を選択して特定のアイテム (ファイル/フォルダー) を共有し、そのアイテムを組織全体に表示できます。

組織は、過去 28 日間に上記のイベントをキャプチャする新しいデータ アクセス ガバナンス (DAG) レポートを使用して、EEEU を介して発生する潜在的な過剰共有を検出できるようになりました。

外部ユーザー レポートを除くすべてのユーザーを作成する

レポートを作成するときは、フォーカスのあるレポートの作成やレポート内の後でフィルター処理など、さまざまなオプションを選択できます。

外部ユーザー レポートを除くすべてのユーザーの作成を示すスクリーンショット

  • レポート名: レポートの一意の名前を指定します。
  • テンプレート: SharePoint サイト テンプレート (クラシック サイト、コミュニケーション サイト、チーム サイトなど) のカテゴリを一覧表示します。 複数の値または [すべてのサイト] を選択できます。
  • プライバシー: スコープ内のチーム サイトに適用されます。 [非公開][公開用]、または [すべて] を選択できます。
  • サイトの秘密度: すべての秘密度ラベルを一覧表示します。 ラベル付きサイトのスコープ内で実行するようにレポートする場合は、1 つまたは複数のラベルを選択します。 たとえば、過去 28 日間に EEEU と共有された "秘密" というラベルが付いたサイト内のファイルを識別します。
  • レポートの種類: 前に説明したシナリオを選択するには、最近の "公開用サイト" のレポートを作成するか、最近の "公開用アイテム" に対してレポートを作成するかを選択します。

外部ユーザー レポートを除くすべてのユーザーを実行する

レポートの最新データを取得するには、レポートを実行します。 すべてのレポートを実行することも、個々のレポートを選択して実行することもできます。 レポートが実行されるまでに数時間かかる場合があります。 レポートの準備ができているか、最後に更新された日時をチェックするには、[状態] 列を参照してください。

注:

各レポートは、24 時間に 1 回だけ実行できます。

EEEU レポートを表示する

各 EEEU レポートには、次のスクリーンショットに示すようにデータが含まれています:

EEEU レポートの詳細を示すスクリーンショット

  • 過去 28 日間に EEEU と共有されるアイテム/グループの数が最も多いサイトは最大 100 個です。
  • これらのサイトに適用されるポリシー - サイトの機密性、サイトのプライバシー、およびサイト外部共有ポリシー
  • 各サイトのプライマリ管理者。

注:

PowerShell を使用して OneDrive データのサポートを利用できるようになりました。

外部ユーザー レポートを除くすべてのユーザーをダウンロードする

レポートを実行した後、レポートを選択してデータをダウンロードします。 レポートで:

  • EEEU と共有されるアイテム/グループの数が最も多いサイトが最初に表示され、レポートには最大 100 万のそのようなサイトが含まれます。
  • プライマリ管理者、管理者のメール アドレス、サイト テンプレート、プライバシー、秘密度ラベルなど、その他のサイト関連情報。

制限事項または既知の問題

  • レポートは、組織用に選択された非疑似化されたレポート データがある場合に機能します。 この設定を変更するには、グローバル管理者である必要があります。 Microsoft 365 管理センターの [レポート] 設定に移動し、[すべてのレポートに隠されたユーザー、グループ、サイト名を表示する] をオフにします。
  • レポート データは最大 48 時間遅延できます。 新しいテナントでは、データが正常に生成され、表示に使用できるようになるまで数日かかる場合があります。

アクセス許可ベースのレポートを使用した過剰共有ベースラインの設定

SharePoint 管理者は、特に Copilot の導入後に、ユーザーとコンテンツのアクセス許可を尊重するため、テナントでのアクセス許可の設定を理解することが重要です。 Copilot のデータ公開リスクは、アクセス権を持つユーザーの数に伴って増加します。 そのため、SharePoint 管理者は、アイテムまたはサイトへのアクセス許可を確認することで、機密データの "露出" を評価する必要があります。 データ アクセス ガバナンス (DAG) は、アクセス許可を持つユーザーが多すぎるサイトを識別することで、過剰共有のしきい値を確立するのに役立ちます。

過剰共有ベースラインレポートの作成

重要

現時点では、SharePoint 管理者は PowerShell 経由でのみレポートを生成できます。 テナントの最初のレポートには最大 5 日かかることがあります。

注:

このレポートは、月に 1 回だけ実行できます。

過剰共有ベースライン レポートを実行する

コマンドを実行して過剰共有 ベースライン レポートを生成する方法の詳細については、「PowerShell for Data Access governance」を参照してください。

過剰共有ベースライン レポートを表示してダウンロードする

過剰共有 ベースライン レポートを表示およびダウンロードするコマンドの実行の詳細については、「PowerShell for Data Access governance」を参照してください。

注:

レポートには、SharePoint データと OneDrive データの両方が含まれます。

過剰共有ベースライン レポートについて

レポートの出力には、次のデータが含まれます:

説明
TenantID 現在のテナント ID を識別する GUID
サイト ID 現在のテナント ID を識別する GUID
Site Name サイト名
サイトの URL サイトの URL
サイト テンプレート サイトの種類を指定します。 コミュニケーション サイト、チーム サイト、チーム サイト (Microsoft 365 グループなし)、その他のサイトなどの値がある
プライマリ管理者 [アクティブなサイト] ページで [プライマリ] としてマークされたサイト管理者
プライマリ管理者のメール アドレス プライマリ サイト管理者のメール アドレス
ExternalSharing コンテンツを外部ゲストと共有できるかどうかを指定します。 はいまたはいいえ。
サイトのプライバシー Microsoft 365 の接続されたチーム サイトで適用されます。 グループのプライバシー設定を指定します。 公開用または非公開の値を持つ
サイトの秘密度 サイトに適用される秘密度ラベルを指定します
アクセス権を持つユーザーの数 任意のレベル/スコープでサイト コンテンツにアクセスできる一意のユーザー数
ゲスト ユーザーのアクセス許可 任意のレベル/スコープのゲスト ユーザーに対するアクセス許可のカウント。 これらのユーザーは、Entra ID で #EXT# でマークされます
外部参加者のアクセス許可 共有チャネルなど、独自の資格情報を直接使用してログインおよび共同作業を行うことができる外部ユーザーへのアクセス許可のカウント
Entra グループのカウント すべてのスコープでの Entra クラウドのみのグループの数
ファイル数 サイト内のすべてのファイルのおおよその数
一意のアクセス許可を持つアイテム数 破損した継承の範囲。 継承が壊れ、一意のアクセス許可が割り当てられたすべての項目の数
組織のリンク内のユーザーのカウント サイト内のすべてのファイルに対する既存の PeopleInYourOrg リンクの数
全員リンクのカウント サイト内のすべてのファイルに対する既存の全員リンクの数
EEEU アクセス許可の数 任意のレベル/スコープの受信者として "外部ユーザーを除くすべてのユーザー" を持つアクセス許可の数
すべてのユーザーのアクセス許可数 任意のレベル/スコープの受信者として "Everyone" を持つアクセス許可の数
レポート日付 レポートの生成時刻。 レポートに変更が反映されるまでに最大 48 時間かかる場合があります

アクセス権を持つユーザーの数

この番号は、サイトとそのコンテンツにアクセスするアクセス許可を持つすべての一意のユーザーを表します。

サイトとそのコンテンツへのアクセスは、任意のスコープで指定できます。

  • SharePoint グループは、所有者、メンバー、または訪問者としてサイト内のコンテンツ全体にアクセスできます。 SharePoint グループ内に個人またはMicrosoft Entra グループを含めることができます。
  • アクセスは、一意のアクセス許可/壊れた継承を使用して、いくつかの項目/ファイルに制限できます。 ターゲット受信者は、個々のユーザーと SharePoint グループ/Entra グループである可能性があります。 これらは、サイト メンバーシップの範囲外であるため、過剰共有について知り、管理することが重要です。

この数は、すべてのスコープにわたってすべてのグループと個人を展開し、重複を削除し、一意のユーザーの数をカウントすることによって計算されます。 つまり、これは現在の "データ露出" の範囲を表します。 ユーザーを直接追加する場合、または任意のスコープに Microsoft Entra グループを追加する場合、この数は、追加された Microsoft Entra グループのサイズや個人の数に対応して増加します。 ただし、共有リンクを作成し、"外部ユーザーを除くすべてのユーザー" でサイトを共有しても、アクセス許可が直接割り当てられていないため、この数は自動的に増加しません。 これにより、サイト/サイト コンテンツがパブリックに表示される確率が高くなり、より多くのユーザーがアクセスできるようになります。 この数は、ユーザーがコンテンツにアクセスする場合にのみ増加します。 そのため、共有リンクまたは EEEU アクセス許可の数を "潜在的な公開" として表示できます

このレポートでは、コンテンツにアクセスするユーザーが多すぎるすべてのサイトが一覧表示されるため、Copilot の露出が起こりやすくなります。

データ アクセス ガバナンス レポートからの修復アクション

重要

データ アクセス ガバナンス レポートからの修復アクションは、政府以外のクラウド環境で実行されている SharePoint Premium - SharePoint 高度な管理でのみ使用可能です。 現在、この機能は、SharePoint Premium - SharePoint 高度な管理 ライセンスを持っている場合でも、GCCH/GCC-Moderate/DoD/Gallatin などの政府機関向けクラウド環境では使用できません。

データ アクセス ガバナンス レポートを実行して潜在的な過剰共有を検出したら、次の手順は、そのようなリスクを修復するためのアクションを実行することです。 コンテンツの機密性、公開されるコンテンツの量、既存の状態の中断などの要因を考慮することをお勧めします。

即時アクションを実行する必要がある場合は、制限付きアクセス制御 (RAC) を構成し、指定されたグループ (現在プレビュー段階) へのアクセスを制限できます。 また、"変更履歴" レポートを使用して、過剰共有につながる可能性があるサイト プロパティに対する最近の変更を特定することもできます。

また、データ アクセス ガバナンス レポート内で使用できるサイト アクセス レビュー機能を使用して、必要なアクションを実行する前に、サイト所有者にアクセス許可の確認を要求することもできます。