SharePoint Online PowerShell を使用してデータ アクセス ガバナンス レポートを管理する
この記事の一部の機能では、Microsoft SharePoint Premium - SharePoint Advanced Management が必要です
データ アクセス ガバナンスは SharePoint 管理センター ポータルで使用できます。大規模な組織は通常、スクリプトと自動化を使用してスケールを管理するために PowerShell のサポートを探します。 このドキュメントでは、データ アクセス ガバナンスからレポートを管理するために SharePoint Online PowerShell モジュールを介して使用できるすべての適切な PowerShell コマンドについて説明します。
重要
データ アクセス ガバナンスの PowerShell サポートは、モジュール "Microsoft.Online.SharePoint.PowerShell" およびバージョン "16.0.25409" 以降から入手できます。
重要
Credential パラメーターなしで 'Connect-SPOService' コマンドを実行します。 最新のセキュリティ プラクティスと共に、 Credential パラメーターをインラインで使用したログインはサポートされていません。
PowerShell を使用したレポートの作成
Start-SPODataAccessGovernanceInsight コマンドを使用して、適切なフィルターとパラメーターを持つすべてのレポートを生成します
アクセス許可を使用したベースライン レポートの共有超過
"オーバーシェアリング" の定義は、顧客ごとに異なる場合があります。 データ アクセス ガバナンスでは、ベースラインを確立し、過去 28 日間の "外部ユーザーを除くすべてのユーザー" などの大規模なグループへの共有など、潜在的な "過共有" の主要な共同作成者を追跡するために、"ユーザーの数" を 1 つの可能なピボットと見なします。 "ユーザー数" のしきい値を定義し、レポート生成時に多くのユーザーがアクセスするサイトのレポートを生成できます。 このレポートは、"スナップショット" レポートと見なされます。
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"
このコマンドは、100 人以上のユーザーがサイト内の任意のコンテンツにアクセスできるすべてのサイトの一覧を生成します。 サイトの一覧と結果の解釈方法の詳細については、 こちらを参照してください。
注:
現在、レポートは SharePoint サイトと OneDrive アカウントの両方で構成され、最大 100 万のサイトやアカウントを生成できます。
リンク レポートの共有
これらのレポートは、コラボレーションでアクティブなサイトを特定する際に役立ちます。そのため、潜在的な過剰共有リスクを軽減するために、より迅速な介入が必要です。 これらの "RecentActivity" ベースのレポートは、過去 28 日間で最も多くの共有リンクを生成しているサイトを識別します。
過去 28 日間に作成されたリンクを共有するすべてのユーザー
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
過去 28 日間に作成された PeopleInYourOrg 共有リンク
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
過去 28 日間に作成された特定のユーザー (ゲスト) 共有リンク
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
過去 28 日間に外部ユーザーを除くすべてのユーザーと共有されたコンテンツ
共有リンクは、潜在的なオーバーシェアの 1 つの可能な共同作成者ですが、もう 1 つの重要な共同作成者は"外部ユーザーを除くすべてのユーザー" (EEEU) です。これは、コンテンツを "パブリック" にし、organization全体に表示し、他のユーザーがコンテンツを簡単に検出してアクセスできるようにします。 これらのレポートは、過去 28 日間のさまざまなスコープで EEEU を積極的に使用したサイトを特定します。
過去 28 日間に外部ユーザーを除くすべてのユーザーと共有されたサイト
EEEU がサイト メンバーシップ (所有者、メンバー、または訪問者) に追加されると、サイトのコンテンツ全体がパブリックになり、共有が過剰になりやすくなります。 次の PowerShell コマンドは、過去 28 日間にこのようなサイトをキャプチャするためにレポートをトリガーします。
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
注:
現在、サイト レベルで EEEU を使用した OneDriveForBusiness のレポートはサポートされていません。
過去 28 日間に外部ユーザーを除くすべてのユーザーと共有されたアイテム
次の PowerShell コマンドは、過去 28 日間に特定のアイテム (ファイル/フォルダー/リスト) が EEEU と共有されたサイトをキャプチャするためにレポートをトリガーします。
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
ファイル レポートの秘密度ラベル
この PowerShell コマンドは、レポート生成日の時点で、特定のアイテムに特定の "ラベル" のラベルが付けられたサイトを一覧表示するようにレポートをトリガーします。
まず、"セキュリティとコンプライアンス" PowerShell モジュールを使用して、ラベル名またはラベル GUID を取得します。
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
次に、名前と GUID を使用して、指定されたラベル名または GUID でラベル付けされたファイルを含むサイトを取得します。
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
注:
現在、ラベル付きファイルを含む "OneDriveForBusiness" アカウントのレポートはサポートされていません。
PowerShell を使用したレポートの追跡
重要
すべてのレポートを作成すると、出力としての GUID が生成され、レポートの状態を追跡するために使用できます
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Get-SPODataAccessGovernanceInsight コマンドを使用して、レポート ID を使用して特定のデータ アクセス ガバナンス レポートの現在の状態を取得します。
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime と ReportEndTime は、レポートを生成するデータの期間を示します。 レポート生成が完了すると、状態は "完了" としてマークされます。
また、ID ではなく ReportEntity フィルターを使用して、DAG レポートの現在の状態を表示することもできます。 reportID は出力に一覧表示され、後で特定のレポートをダウンロードする必要があります。
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
PowerShell を使用してレポートを表示およびダウンロードする
特定のレポートをダウンロードするには、reportID が必要です。 Get-SPODataAccessGovernanceInsight コマンドを使用して reportID を取得し、Export-SPODataAccessGovernanceInsight コマンドを使用してレポートを指定したパスにダウンロードします。
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
これにより、指定したパスに CSV ファイルがダウンロードされます。 各レポートの CSV/ビューの詳細については、 こちらを参照してください。
注:
既定のダウンロード パスは 、"ダウンロード" フォルダーです。
PowerShell を使用したアクションの修復
データ アクセス ガバナンス レポートが生成されると、SharePoint 管理者は 、こちらの説明に従って修復アクションを実行できます。 次のセクションでは、修復アクションとして "サイト アクセス レビュー" をトリガーして追跡する PowerShell コマンドについて説明します。
PowerShell を使用してサイト アクセス レビューを開始する
Start-SPOSiteReview コマンドを使用して、データ アクセス ガバナンス レポートの下に一覧表示されている特定のサイトのサイト アクセス レビューを開始します。 データ アクセス ガバナンス レポートには、レビューを開始するコンテキストが用意されています。 CSV ファイルから reportID、サイト ID を取得し、レビューの目的についてサイト所有者に明確にするためのコメントを提供します。
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
これにより、サイト所有者への電子メールがトリガーされます。 これは、こちらの説明に従って行います。
PowerShell を使用してサイト アクセス レビューを追跡する
Start-SPOSiteReview コマンドを使用して、サイト アクセス レビューの状態を追跡します。 特定のレビューでは、出力に示すように ReviewID 値を使用できます。 レポート モジュールに関連するすべてのレビューを取得するには、 ReportEntity パラメーターを使用します。
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents