データ アクセス ガバナンスは SharePoint 管理センター ポータルで使用できます。大規模な組織は通常、スクリプトと自動化を使用してスケールを管理するために PowerShell のサポートを探します。 このドキュメントでは、データ アクセス ガバナンスからレポートを管理するために SharePoint Online PowerShell モジュールを介して使用できるすべての適切な PowerShell コマンドについて説明します。
重要
- データ アクセス ガバナンスの PowerShell サポートは、モジュール "Microsoft.Online.SharePoint.PowerShell" およびバージョン "16.0.25409" 以降から入手できます。
- Credential パラメーターを指定せずにConnect-SPOService コマンドを実行します。 最新のセキュリティ プラクティスと共に、 Credential パラメーターをインラインで使用したサインインはサポートt_。
データ アクセス ガバナンス レポートを作成するために必要なもの
ライセンス要件とは
この記事で説明する機能を使用するには、organizationが適切なライセンスを持ち、特定の管理アクセス許可またはロールを満たしている必要があります。
まず、organizationには次のいずれかの基本ライセンスが必要です。
- Office 365 E3、E5、または A5
- Microsoft 365 E1、E3、E5、または A5
さらに、次のライセンスのうち少なくとも 1 つが必要です。
- Microsoft 365 Copilot ライセンス: organization内の少なくとも 1 人のユーザーに Copilot ライセンスを割り当てる必要があります (このユーザーは SharePoint 管理者である必要はありません)。
- Microsoft SharePoint 高度な管理ライセンス: 単体で購入できます。
管理者の要件
SharePoint 管理者であるか、同等のアクセス許可を持っている必要があります。
追加情報
組織に Copilot ライセンスがあり、組織の少なくとも 1 人に Copilot ライセンスが割り当てられている場合、SharePoint 管理者は Copilot の展開に必要なSharePoint 高度な管理機能に自動的にアクセスできます。
Copilot ライセンスをお持ちでない組織は、スタンドアロンの SharePoint 高度な管理ライセンスを購入することで、SharePoint 高度な管理機能をご利用になれます。
始める前に
PowerShell 管理者スクリプトを実行するには、 SharePoint 管理者 であるか、Microsoft 365 で同等のアクセス許可を持っている必要があります。
この記事の PowerShell スクリプトを使用する前に、次の手順を実行する必要があります。
まだダウンロードしていない場合は、最新のSharePoint Online 管理シェルをダウンロードします。
注:
SharePoint Online 管理シェルの以前のバージョンがインストールされている場合は、[プログラムの追加と削除] に移動して、"SharePoint Online 管理シェル" をアンインストールします。
SharePoint 管理者として、または Microsoft 365 の Microsoft 365 で同等のアクセス許可を持つ SharePoint に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。
PowerShell を使用したレポートの作成
Start-SPODataAccessGovernanceInsight コマンドを使用して、適切なフィルターとパラメーターを持つすべてのレポートを生成します
organization レポート全体のサイトアクセス許可
SharePoint 管理者は、特に Copilot の導入後にユーザーとコンテンツのアクセス許可を尊重するため、organizationでのアクセス許可の設定を理解することが重要です。 Copilot のデータ公開リスクは、アクセス許可/アクセス権を持つユーザーの数に伴って増加します。 このレポートでは、organization内のすべての SharePoint サイトと OneDrive サイトについて、アクセス許可を持つユーザーの一意の数である "公開" に関する詳細な分析情報を提供します。
最初にこのレポートを実行して、organizationのアクセス許可の概要を確認することをお勧めします。
このレポートは "スナップショット" レポートと見なされます。つまり、このレポートは、レポート生成日時点のorganization全体の最新のスナップショット/状態を提供します。
すべての SharePoint サイトのレポートを生成するには、次のコマンドを実行します。
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 0 -Name "OrgWidePermissionedUsersReportSharePoint"
すべての OneDrive for Business アカウントのレポートを生成するには、次のコマンドを実行します。
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload OneDriveForBusiness -CountOfUsersMoreThan 0 -Name "OrgWidePermissionedUsersReportODB"
レポートの実行に関する次の重要な情報を確認します。
- これらのレポートは包括的であり、テナント内のすべてのデータをカバーする可能性があるため、許可されるレポートの最大数は 2 です。ワークロードごとに 1 つ。
- 最初のレポートは、organizationのサイズに関係なく、完了するまでに常に最大 5 日かかります。 後続のレポートは 24 時間以内に完了します。
- これらのレポートは、レポート生成の 最大 48 時間前に データをキャプチャします。
- 生成されると、30 日ごとにもう一度実行できます。
これらのコマンドは、少なくとも 1 人のユーザーがサイト内の任意のコンテンツにアクセスできるすべてのサイトの一覧を生成します。 サイトの一覧と結果の解釈方法の詳細については、 こちらを参照してください。
テナントでのオーバーシェアリングの程度を理解したら、過去 28 日間のアクティブ サイトからのさらに逸脱を追跡できます。 過去 28 日間の "リンクの共有" や "外部ユーザーを除くすべてのユーザー" と共有されたコンテンツなど、潜在的な過共有の主な要因としてアクティブなサイトに関するレポートを生成できます。
リンク レポートの共有
これらのレポートは、コラボレーションでアクティブなサイトを特定する場合に役立ちます。そのため、潜在的な過剰共有リスクを軽減するために、より迅速な介入が必要です。 これらの "RecentActivity" ベースのレポートは、過去 28 日間に最も多くの共有リンクを生成しているサイトを識別します。
重要
Microsoft SharePoint Advanced Management ライセンスをお持ちでない場合は、"RecentActivity" ベースのレポートのデータ収集を有効にして、製品が関連する監査データを収集し始めてこのレポートを作成するように求められます。 有効にすると、データが収集され、28 日間保存されます。 レポートは 24 時間後に生成でき、収集ポイントからのデータが含まれます。 3 か月に 1 回もレポートが生成されない場合、データ収集は一時停止され、再度有効にする必要があります。 これらのレポートのデータ収集を有効にするには、 ドキュメントのこのセクションを参照してください。
過去 28 日間に作成されたリンクを共有するすべてのユーザー
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
過去 28 日間に作成された PeopleInYourOrg 共有リンク
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
過去 28 日間に作成された特定のユーザー (ゲスト) 共有リンク
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
過去 28 日間に外部ユーザーを除くすべてのユーザーと共有されたコンテンツ
共有リンクは、潜在的なオーバーシェアの 1 つの可能な共同作成者ですが、もう 1 つの重要な共同作成者は"外部ユーザーを除くすべてのユーザー" (EEEU) です。これは、コンテンツを "パブリック" にし、organization全体に表示し、他のユーザーがコンテンツを簡単に検出してアクセスできるようにします。 これらのレポートは、過去 28 日間のさまざまなスコープで EEEU を積極的に使用したサイトを特定します。
重要
Microsoft SharePoint Advanced Management ライセンスをお持ちでない場合は、"RecentActivity" ベースのレポートのデータ収集を有効にして、製品が関連する監査データを収集し始めてこのレポートを作成するように求められます。 有効にすると、データが収集され、28 日間保存されます。 レポートは 24 時間後に生成でき、収集ポイントからのデータが含まれます。 3 か月に 1 回もレポートが生成されない場合、データ収集は一時停止され、再度有効にする必要があります。 これらのレポートのデータ収集を有効にするには、以下の セクションのドキュメントを参照してください。
過去 28 日間に外部ユーザーを除くすべてのユーザーと共有されたサイト
EEEU がサイト メンバーシップ (所有者、メンバー、または訪問者) に追加されると、サイトのコンテンツ全体がパブリックになり、共有が過剰になりやすくなります。 次の PowerShell コマンドは、過去 28 日間にこのようなサイトをキャプチャするためにレポートをトリガーします。
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
注:
現在、サイト レベルで EEEU を使用した OneDriveForBusiness のレポートはサポートされていません。
過去 28 日間に外部ユーザーを除くすべてのユーザーと共有されたアイテム
次の PowerShell コマンドは、過去 28 日間に特定のアイテム (ファイル/フォルダー/リスト) が EEEU と共有されたサイトをキャプチャするためにレポートをトリガーします。
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
すべての OneDrive アカウントを同じ条件で取得するには、ワークロード値を "OneDriveForBusiness" として指定します。
ファイル レポートの秘密度ラベル
この PowerShell コマンドは、レポート生成日の時点で、特定のアイテムに特定の "ラベル" のラベルが付けられたサイトを一覧表示するようにレポートをトリガーします。
まず、"セキュリティとコンプライアンス" PowerShell モジュールを使用して、ラベル名またはラベル GUID を取得します。
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
次に、名前と GUID を使用して、指定されたラベル名または GUID でラベル付けされたファイルを含むサイトを取得します。
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
注:
現在、ラベル付きファイルを含む "OneDriveForBusiness" アカウントのレポートはサポートされていません。
最近のアクティビティ ベースのレポートのデータ収集
重要
Microsoft SharePoint Advanced Management ライセンスをお持ちでない場合は、"RecentActivity" ベースのレポートのデータ収集を有効にして、製品が関連する監査データを収集し始めてこのレポートを作成するように求められます。 有効にすると、レポートは 24 時間後に生成され、コレクションポイントのデータが含まれます。 データは 28 日間保存されます。 3 か月に 1 回もレポートが生成されない場合、データ収集は一時停止され、再度有効にする必要があります。
データ収集の有効化
この PowerShell コマンドは、過去 28 日間のアクティビティに関するレポートの監査データの収集を開始します。
Start-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone
ReportEntity パラメーターに適用できる値は、SharingLinksAnyone、SharingLinksPeopleInYourOrg、SharingLinksGuests、EveryoneExceptExternalUsersAtSite、EveryoneExceptExternalUsersForItems、CopilotAppInsights です。
データ収集の無効化
この PowerShell コマンドは、過去 28 日間のアクティビティに関するレポートの監査データの収集を停止します。
Stop-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone
データ収集の状態を確認する
データ収集が有効になると、24 時間後にレポートを生成できます。 レポートを生成できるかどうかをチェックするには、PowerShell コマンド Get-SPOAuditDataCollectionStatusForActivityInsights を使用します。 コマンドは現在のデータ収集状態を返します。 これは NotInitiated、 InProgress、または Paused です。 状態が InProgress の場合、レポートを生成できます。
Get-SPOAuditDataCollectionStatusForActivityInsights -ReportEntity SharingLinks_Anyone
PowerShell を使用したレポートの追跡
重要
すべてのレポートを作成すると、レポートの状態を追跡するために使用できる出力として GUID が生成されます。
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Get-SPODataAccessGovernanceInsight コマンドを使用して、レポート ID を使用して特定のデータ アクセス ガバナンス レポートの現在の状態を取得します。
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime と ReportEndTime は、レポートを生成するデータの期間を示します。 レポート生成が完了すると、状態は "完了" としてマークされます。
また、ID ではなく ReportEntity フィルターを使用して、DAG レポートの現在の状態を表示することもできます。 reportID は出力に一覧表示され、後で特定のレポートをダウンロードする必要があります。
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
PowerShell を使用してレポートを表示およびダウンロードする
特定のレポートをダウンロードするには、reportID が必要です。 Get-SPODataAccessGovernanceInsight コマンドを使用して reportID を取得し、Export-SPODataAccessGovernanceInsight コマンドを使用してレポートを指定したパスにダウンロードします。
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
これにより、指定したパスに CSV ファイルがダウンロードされます。 各レポートの CSV/ビューの詳細については、 こちらを参照してください。
注:
既定のダウンロード パスは 、"ダウンロード" フォルダーです。
PowerShell を使用したアクションの修復
データ アクセス ガバナンス レポートが生成されると、SharePoint 管理者は 、こちらの説明に従って修復アクションを実行できます。 次のセクションでは、修復アクションとして "サイト アクセス レビュー" をトリガーして追跡する PowerShell コマンドについて説明します。
PowerShell を使用してサイト アクセス レビューを開始する
Start-SPOSiteReview コマンドを使用して、データ アクセス ガバナンス レポートの下に一覧表示されている特定のサイトのサイト アクセス レビューを開始します。 データ アクセス ガバナンス レポートには、レビューを開始するコンテキストが用意されています。 CSV ファイルから reportID、サイト ID を取得し、レビューの目的についてサイト所有者に明確にするためのコメントを提供します。
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
これにより、サイト所有者への電子メールがトリガーされます。 これは、こちらの説明に従って行います。
PowerShell を使用してサイト アクセス レビューを追跡する
Start-SPOSiteReview コマンドを使用して、サイト アクセス レビューの状態を追跡します。 特定のレビューでは、出力に示すように ReviewID 値を使用できます。 レポート モジュールに関連するすべてのレビューを取得するには、 ReportEntity パラメーターを使用します。
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents