この記事は、M365 Copilotの展開を担当するIT管理者が「権限クリーンアップをどこから、どんな順序でやるか」を実務的に判断するためのガイドです。エージェント乱立・管理モデルの設計については姉妹記事「M365 Copilot導入後に起きるエージェント乱立問題と、その管理モデル」が扱っています。本記事はSharePoint権限の具体的な棚卸し手順に絞ります。
なぜSharePoint権限の整理がCopilot展開に不可欠か
Microsoft 365 Copilotは、ユーザーが問い合わせた内容をもとに、そのユーザーがアクセスできるすべてのSharePointコンテンツを検索・参照して回答を生成します。つまりSharePointに「全員(Everyone except external users)」権限で共有されているファイルが存在する場合、Copilotはそのファイルを全員の回答素材として使います。
Microsoftが文書化している典型的な過剰共有パターンは次の4つです。
| 過剰共有パターン | 具体例 | Copilotへのリスク |
|---|---|---|
| 全員共有サイト | サイトプライバシーが「組織内全員がアクセス可」 | 役員給与・M&A文書・人事情報が全社員の回答に出る |
| デフォルト共有リンク | 共有時のデフォルトが「リンクを知っている全員」 | URLが流出した際に外部から参照可能になる |
| 権限継承の破損 | 親サイトから継承せずサブフォルダだけ広い権限 | 監査ログでの追跡が困難 |
| 退職者アカウントのアクセス継続 | Entraで無効化されていない退職者がオーナー | エージェントが退職者権限で稼働し続ける |
Microsoftのドキュメントでは、最初の段階的緩和措置として「Restricted SharePoint Search」(テナントレベルで、権限を確認済みのサイトのみを許可リストとして指定し、Copilotや組織内検索の対象範囲を一時的に絞り込む設定)を案内しています。ただしMicrosoft自身がこれをセキュリティ境界ではない短期的な措置と位置づけており、長期的な解決は権限整理です。
6ステップの権限クリーンアップ手順
ステップ1:Data Access Governanceレポートの取得
SharePoint管理センター(SharePoint Advanced Management)の「Data Access Governanceレポート」を実行します。M365 Copilotのライセンス購入でSharePoint Advanced Management(SAM)が付属します。
レポートで確認する主要な出力は次の3種類です。
| レポート種別 | 確認すること |
|---|---|
| 過剰共有サイト一覧 | 全員共有・外部共有が設定されているサイト数と名称 |
| 機密度ラベル未適用コンテンツ | 機密情報ラベルなしで広く共有されているファイル |
| 外部共有リンク一覧 | 匿名リンク・組織外ゲストへのリンクの総数 |
ステップ2:優先度付け(高影響サイトの特定)
レポート結果から、次の条件を満たすサイトを「高影響・優先整理」と判定します。
- 財務・人事・法務・経営情報が格納されているサイトに「全員」権限が設定されている
- 退職者がオーナーまたはメンバーとして残存している
- 匿名アクセスリンクが10件以上存在する
ステップ3:Restricted SharePoint Searchの一時適用
ステップ2で特定した高影響サイトの整理が完了するまで、Copilotの検索対象を承認済みサイトのみに限定するRestricted SharePoint Searchを設定します。これにより権限整理の完了前にCopilotを部分的に活用できます。ただしこれは検索範囲を絞る一時措置であり、権限そのものを変える対策ではない点に注意します。
ステップ4:「全員」権限の除去
全員共有サイトは、必要なメンバーをグループ単位(部署グループ・プロジェクトグループ)で追加し直します。「全員」という設定を残したままグループを絞ることはできないため、権限を一度外してから再付与が必要です。
作業時のポイントは、変更前の状態を記録してからロールアウトすることです。変更後に業務に必要なアクセスが遮断された場合の切り戻し手順を事前に準備します。
ステップ5:退職者アカウントのクリーンアップ
Entra IDの「無効化済みユーザー」と、SharePoint上でオーナー・メンバーになっているユーザーを照合します。無効化済みでもSharePointグループに残存しているケースがあるため、スクリプト(Microsoft Graph API)で一括確認が効率的です。
退職者がオーナーの場合は、現役担当者への再指名を先に完了してから除去します。
ステップ6:既定共有設定の変更と教育
長期的な過剰共有の再発防止として、テナントの共有リンクのデフォルトを「特定のユーザー」に変更します(現状「全員」または「組織内全員」になっているテナントが多い)。
また、共有を行う全ユーザーへの教育として「Copilot展開後は、共有した相手以外にも情報が表示される可能性がある」という認識を周知します。特に「Teams投稿のリンク共有」「外部パートナーへのゲストアクセス」は盲点になりやすい場所です。
整理の優先順位マトリクス
| 情報の重要度 | 共有範囲 | 優先度 |
|---|---|---|
| 高(財務・人事・法務・M&A) | 全員または外部 | 最優先(Copilot展開前に必ず解消) |
| 高(財務・人事・法務) | 組織内全員 | 優先(Copilot展開と同時進行で解消) |
| 中(製品・営業・プロジェクト) | 全員または外部 | 高(展開後3か月以内を目標) |
| 低(一般情報・社内報) | 組織内全員 | 低(棚卸しで追跡) |
GXOの支援
GXOでは、SharePoint Advanced Managementのレポート取得・解析から、過剰共有サイトの優先度付け・整理作業・退職者アカウント棚卸し・Entra IDとの連携確認まで一体で支援します。Copilot展開タイムラインと権限整理工数の調整も含め、ゼロトラスト設計やSSO/IdP readiness診断とあわせてM365環境のセキュリティ基盤を整えます。
よくある質問
Q1. Copilotを先に展開して後から権限整理は現実的ですか
Restricted SharePoint Searchを使えば、指定サイトのみCopilotに検索させる形で暫定運用は可能です。ただし経営・人事・法務情報を扱うサイトの整理は展開前に完了することを強くお勧めします。漏れが起きた後の対応コストは整理コストを大きく上回ります。
Q2. SharePoint Advanced Managementの導入に追加費用はかかりますか
M365 E3/E5または特定のビジネスプランへM365 Copilotライセンスを追加した場合、SharePoint Advanced Management(SAM)は付属します。既存のM365ライセンス構成によって異なるため、管理センターのライセンス状況を確認してください。
Q3. 退職者アカウントのSharePoint残存は自動的にクリーンアップされますか
Entra IDで無効化・削除してもSharePointのグループメンバーシップは自動削除されないケースがあります。特にセキュリティグループ経由でサイトに紐づいている場合は手動またはGraph APIスクリプトでの確認が必要です。
参考情報
- Microsoft Learn「Microsoft 365 Copilot blueprint for oversharing」:https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-blueprint-oversharing
- Microsoft Learn「Get ready for Microsoft 365 Copilot with SharePoint Advanced Management」:https://learn.microsoft.com/en-us/sharepoint/get-ready-copilot-sharepoint-advanced-management
- Microsoft Community Hub「Mitigate Oversharing to Govern Microsoft 365 Copilot and Agents」:https://techcommunity.microsoft.com/blog/microsoft365copilotblog/mitigate-oversharing-to-govern-microsoft-365-copilot-and-agents/4448744
Copilot展開前のSharePoint権限整理を支援します
GXOでは、Data Access Governanceレポートの取得・解析から過剰共有サイトの優先整理・退職者アカウント棚卸しまで、Copilot展開タイムラインに合わせた権限クリーンアップを支援します。