实现 SharePoint 高级管理工具以准备智能 Microsoft 365 Copilot 副驾驶®

已完成

在组织准备启用智能 Microsoft 365 Copilot 副驾驶®时，正确管理组织的 SharePoint 数据以确保 Copilot 的结果适当、准确且合规至关重要。 了解使用 Copilot 时 SharePoint 中内容治理的重要性，首先要了解 Copilot 如何通过三个组件工作：

• 大型语言模型（LLM）
• Microsoft每天使用的 365 个生产力应用，例如Word、Excel、PowerPoint、Outlook、Teams 等。
• Microsoft图形中的内容

当用户向 Copilot 发出请求时，它会使用大型语言模型 (LLM) 处理请求。 然后，它通过使用 Microsoft Graph 中的内容和 Web 内容 (可选) 生成包含 LLM 的响应。 Microsoft Graph 中的内容包括电子邮件、文件、会议、聊天、日历和联系人。 此内容的很大一部分存储为 SharePoint 文件。

与他人共享文档时，这些文档将成为存储在 SharePoint 网站、文档库和 OneDrive 上的数据。 这些文档可以是：同事共享的Word文档、与团队一起处理的演示文稿、会议录制、在 Loop 和 OneNote 中创建的项目笔记等。 为确保 Copilot 提供的援助是适当、准确和合规的，组织必须确保其 SharePoint 数据从以下三个方面得到适当的管理：

• 管理内容蔓延。 当数字内容在组织中的各个存储位置上累积时，如果没有适当的管理，则会发生内容蔓延。 这种情况会导致难以访问信息、更高的存储费用、安全漏洞和合规性复杂性。 可以通过以下方法解决内容蔓延问题：
  • 实施治理策略并利用集中控制的工具
  • 优化存储效率
  • 维护安全数据管理做法
  • 减少内容重复
  • 确保精心策划的内容创建
  • 确保所有网站和内容都由网站所有者妥善管理
• 防止内容过度共享并控制内容访问。 Copilot 分析 SharePoint 和 OneDrive 网站中存储的数据，以提供见解，并在整个组织中自动执行任务。 来自 SharePoint 和 OneDrive 网站中内容的机密数据可能会填充 Copilot 生成的见解，从而带来安全和隐私风险。 SharePoint 管理员和网站所有者可以使用工具来防止用户过度共享内容。 管理员还可以使用用户组设置和其他工具限制 Copilot 访问内容。
• 管理内容生命周期。 有效的生命周期管理不仅可确保简化治理和增强协作，还能优化存储、维护数据完整性并支持合规性。 在此过程中，内容生命周期管理最终通过删除非活动内容和过时的内容和网站来提高效率和安全性。 这样做可确保 Copilot 访问的信息准确且最新。

Microsoft通过 Microsoft SharePoint 高级版 - SharePoint 高级管理 (SAM) 帮助组织满足其数据治理需求。 SAM 是 Microsoft 365 的基本加载项，组织在为智能 Microsoft 365 Copilot 副驾驶®做准备时应强烈考虑实施。 SAM 为 IT 管理员提供了一套功能强大的工具，用于在整个Microsoft Copilot部署过程中加强内容治理。

无论是准备 Copilot 部署还是管理实施后的内容，SAM 都提供的功能可以：

• 防止内容蔓延
• 简化 SharePoint 和 OneDrive 网站的访问管理
• 通过综合报告分析使用模式

Microsoft建议在 SharePoint 中使用 SharePoint 高级管理功能及其最佳做法，以降低过度共享的风险、控制内容扩展和管理内容生命周期。 有权访问 SharePoint 管理中心的 IT 管理员可以管理 SharePoint 高级管理功能。 网站所有者还可以访问某些 SAM 功能。

若要为组织的智能 Microsoft 365 Copilot 副驾驶®采用做好准备，可以采取一些强烈建议的步骤，主要是使用 SharePoint 高级管理工具。 以下部分介绍可以采取的具体步骤来减少意外过度共享、最大程度地减少内容治理占用量、提高 Copilot 响应质量、控制 Copilot 的内容访问，以及确保特定于业务关键型站点的数据安全。

步骤 1：使用 SharePoint 共享设置减少意外过度共享

若要最大程度地减少 Copilot 结果中意外的内容过度共享，实现最佳做法共享设置至关重要。 主动安全措施是关键。 若要有效地为 Copilot 准备组织，应在组织和站点级别为最终用户设置适当的共享设置。

在组织级别：

• 将 租户的共享链接默认值 从组织范围的共享更新为特定人员链接。
• 请考虑向最终用户隐藏范围广泛的权限，以降低意外滥用的风险。 此示例隐藏人员选取器控件中的“除外部用户以外的所有人”，以便最终用户无法使用它。

在站点级别：

• 请考虑对网站管理员进行网站级控制，以限制成员共享。 此处的一个关键设置可确保网站所有者是访问请求的收件人。

步骤 2：清理未使用的网站以管理内容蔓延

组织可以通过运行 SharePoint 高级管理中的 非活动 SharePoint 网站策略 功能来管理内容扩展。 此策略通过自动识别和管理非活动 SharePoint 网站来防止内容蔓延。 它使你能够定义非活动条件，例如在设定的时间段内缺少更新或用户活动。 确定此条件后，网站所有者将收到电子邮件通知，以确认网站的活动/非活动状态。

此 SAM 策略使组织能够减少其治理占用量并提高 Copilot 响应质量。 非活动网站通常包含过时的内容，使 Copilot 的数据源混乱，并导致响应不准确。 删除这些网站有助于 Copilot 专注于最新信息，从而获得更好的结果。

• 在不到 5 分钟的时间内，可以在模拟模式下设置和运行 非活动站点 ，以识别用户在一段时间内 (可配置) 未访问的站点。
• 生成报表后，选择“ 获取 AI 见解 ”按钮以获取为报表生成的 AI 见解，以帮助你识别网站问题以及解决这些问题的可能操作。
• 准备就绪后，将策略设置为 “活动 ”模式，以通知网站所有者证明是否仍需要该网站。

SharePoint 高级管理的 AI 见解功能使用语言模型来识别报告中的模式和潜在问题，并接收解决问题的可操作建议。 可以在 SharePoint 管理中心的各种报表旁边找到 “获取 AI 见解 ”按钮。 选择 “AI 见解 ”按钮后，该功能会从报表中提取模式并提供可能操作的列表。

步骤 3：识别具有可能过度共享内容的网站

如果不查看网站上的实际内容，如何快速识别具有可能过度共享内容的网站？ 如果看到具有以下共享选项之一的内容，则网站上的内容通常更有可能被过度共享：除外部用户以外的所有人、组织中的人员和任何人。 SharePoint 高级管理中以下基于活动的报表可让你快速识别最活跃的过度共享网站：

• 使用“除外部用户以外的所有人”
• 使用“组织中的人员”共享链接
• 使用“任何人”共享链接

与没有此类用法的网站相比，具有这三种类型的使用的网站面临更大的过度共享风险。 生成报表后，选择“ 获取 AI 见解 ”按钮，获取为报表生成的 AI 见解。 这些见解可帮助你识别网站问题，并提供解决这些问题的可能操作。

SharePoint 高级管理还确保只有授权用户和/或安全组才能安全地处理和访问 SharePoint 和 OneDrive 网站中的机密数据，从而保持 Copilot 生成的见解的完整性和安全性。 防止过度共享并有效管理访问权限时，可以确保 Copilot 的协作功能得到优化。 这些操作可在整个组织中更高效、更安全地使用 Copilot。 然后，遵循 SAM 工具有助于限制 Copilot 对机密数据的内容访问。

数据访问治理见解

通过数据访问治理见解功能，可以查看报表，以识别包含可能过度共享或敏感内容的站点。 可以使用这些报告来评估和应用适当的安全性和合规性策略。

SharePoint 和 OneDrive 网站的阻止下载策略

可以使用 SharePoint 高级管理中的阻止下载 SharePoint 和 OneDrive 网站策略工具阻止从 SharePoint 网站或 OneDrive 下载文件，而无需使用Microsoft Entra条件访问策略。 阻止下载文件可让用户保持工作效率，同时解决意外丢失数据的风险。 用户仅具有浏览器访问权限，无法下载、打印或同步文件。 此 SAM 策略还阻止用户通过应用（包括Microsoft Office 桌面应用）访问内容。 当 Web 访问受到限制时，用户会在网站顶部看到此消息，“组织不允许你从此网站下载、打印或同步。 如需帮助，请联系 It 部门。”

此 SAM 策略是通过 PowerShell 命令启用的，必须在 SharePoint Online 命令行管理程序中运行该命令。 必须首先以 Microsoft 365 中的 SharePoint 管理员身份连接到 SharePoint。 若要了解具体操作步骤，请参阅 SharePoint 在线管理壳入门。

连接到 SharePoint Online 命令行管理程序后，必须运行以下命令：

Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true

例如：

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -BlockDownloadPolicy $true.

也可以通过更改 URL 将此 cmdlet 应用到 OneDrive。 例如，若要为名为 John 的用户更改 OneDrive 帐户的 URL，可以使用如下 URL： https://contoso-my.sharepoint.com/personal/John。

以下参数可用于此 cmdlet 以对其进行微调：

• 此参数从策略中免除网站所有者，他们可以完全下载网站的任何内容。

  -ExcludeBlockDownloadPolicySiteOwners $true
  

• 此参数将用户从策略中排除上述组，他们可以完全下载网站的任何内容。

  -ExcludedBlockDownloadGroupIds <comma separated group IDs>
  

• 此参数将用户从策略中排除上述 SharePoint 组，他们可以完全下载网站的任何内容。

  -ExcludeBlockDownloadSharePointGroups <comma separated group names>
  

• 除了阻止下载之外，此参数还会将站点标记为只读。

  -ReadOnlyForBlockDownloadPolicy $true
  

SharePoint 和 OneDrive 网站的条件访问策略

SharePoint 高级管理还包括 SharePoint 和 OneDrive 网站的条件访问策略 ，使你可以在用户访问 SharePoint 网站时强制实施严格的访问条件。 身份验证上下文可以直接应用于网站或与敏感度标签一起使用，以将Microsoft Entra条件访问策略连接到已标记的网站。

步骤 4：控制对内容的访问

在为组织和租户启用 Copilot 之前，可以主动设置策略，以在 Copilot 和租户范围的搜索期间限制对网站的访问和管理内容可发现性。 使用 Microsoft Copilot 时，结果来自 Microsoft Graph 中的内容，具体取决于每个用户的配置文件和权限。 在步骤 3 中，你标识了具有可能过度共享内容的网站。 接下来，你需要确保 Copilot 仅在适当时有权访问内容。 目前，你可以为网站所有者启动 网站访问评审 ，以确认过度共享的内容并采取修正步骤。 同时，SharePoint 管理员可以在 SharePoint 高级管理中使用以下受限访问控制策略来限制对包含过度共享内容的网站或 OneDrive 帐户的访问。

• SharePoint 的受限访问控制。 可以通过启用 SharePoint 网站受限访问控制 策略，防止在网站级别发现网站和内容。 站点访问限制仅允许指定安全组或 Microsoft 365 组中的用户访问内容。 此策略可用于 Microsoft 365 组连接、Teams 连接和非组连接的站点。
• OneDrive 的受限访问控制。 可以将对用户的 OneDrive 共享内容的访问权限限制为仅限具有 OneDrive 受限访问控制 策略的安全组中的人员访问。 启用策略后，不在指定安全组中的任何人都无法访问该 OneDrive 中的内容，即使之前已与他们共享。 若要阻止用户访问 OneDrive 作为服务，可以启用 “限制 OneDrive 服务访问” 功能。

步骤 5：对业务关键型站点采取主动措施

对于业务关键型网站，应采取主动措施，确保内容适当共享，并且对内容的访问限制为最低级别。 可以使用以下措施锁定最重要的网站：

• 使用受限访问控制 (RAC) 主动防止过度共享。 更好的是：作为自定义网站预配过程的一部分，请从一开始在新网站上配置 RAC 策略，并主动避免永远过度共享。
• 请考虑通过阻止下载策略阻止从所选站点下载。 或者专门 阻止下载 Teams 会议录制内容和脚本。
• 最后，考虑应用加密操作，对业务关键型办公室文档强制执行“提取权限”。 点击此处了解详细信息。

即将推出新的 SharePoint 高级管理策略

以下策略目前处于预览阶段，不久将在 SharePoint 高级管理中正式发布。

使用网站所有权策略确保所有网站都有有效的所有者

网站所有者是大规模执行治理任务的关键角色。 具体而言，你需要网站所有者：

• 在步骤 2- 清理未使用的站点中，帮助证明是否仍需要非活动站点。
• 执行网站访问评审，以确认可能过度共享的内容是否确实被过度共享，并采取修正来解决步骤 4 - 控制访问中的过度共享风险。

在清理未使用的网站并要求所有者处理过度共享的内容之前，必须确认所有网站都有有效的所有者。 SharePoint 高级管理的网站所有权策略有助于识别无所有者网站，并在需要时找到适当的所有者。 可以在模拟模式下运行网站所有权策略，以标识任何没有至少两个所有者的网站。 可以在模拟模式下设置策略，以根据所需的条件标识所有者。 然后，可以将策略升级到“活动”模式，以便向网站所有者候选项启用通知。

使用非活动站点 - 只读和非活动站点 - 存档策略清理未使用的站点

确定非活动网站 (步骤 2) 后，应要求网站所有者证明是否仍需要这些网站。 如果网站所有者确认不需要这些网站，则必须将网站置于只读模式，或将网站移动到 Microsoft 365 存档。 使用此功能，可以使用 “非活动站点 - 只读 ”和“ 非活动网站 - 存档 ”功能大规模执行以下操作：

• 将网站设为只读
• 将网站移动到 Microsoft 365 存档

使用站点、OneDrive 帐户和文件过度共享基线报告策略来识别过度共享风险

步骤 3 检查了如何运行三个 SAM 使用情况报告来识别可能过度共享的内容。 借助这项即将推出的功能，可以运行单个报告来了解租户上所有站点中存在的内容过度曝光风险，而不管网站活动如何。

• 首先，可以从 SharePoint Online PowerShell 模块中的数据访问治理 (DAG) PowerShell 命令运行“站点、OneDrive 帐户和文件的过度共享基线报表”。 此报表扫描租户中的所有网站，并列出与指定数量以上的用户共享内容的网站， (指定) 。
• 您可以对报表进行排序、筛选或下载，并识别具有可能过度共享内容的网站。

使用受限内容可发现性策略进一步控制意外内容可发现性

在步骤 4 中，建议从站点访问评审策略开始，以验证步骤 3 中确定的潜在过度共享内容是否真的过度共享。 完成此步骤后，可以应用受限访问控制策略来限制对指定用户组的访问。 借助即将推出的新的受限内容可发现性策略，你可以通过阻止内容可供智能 Microsoft 365 Copilot 副驾驶®和组织范围的搜索体验来进一步控制意外内容可发现性。

受限内容可发现性策略使网站访问权限保持不变。 但是，它可以防止网站的内容出现在智能 Microsoft 365 Copilot 副驾驶®或组织范围的搜索中。 SharePoint 管理员可以在该网站上设置受限内容可发现性。

使用 AI 支持的语义匹配查找类似网站

你发现了一个站点，其中包含缺乏适当保护的关键业务数据。 是否有更多此类站点可能具有类似漏洞？ 很快，AI 驱动的语义匹配将帮助你使用你发现的网站作为示例来查找这些站点。 AI 支持的语义匹配工具可读取你拥有的所有网站，包括内容、文件、元数据，并基于示例网站提供类似网站的列表。