GXO
セキュリティ

Copilot導入前にやるSharePoint権限クリーンアップ実務|過剰共有を6ステップで整理する

14分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

この記事は、M365 Copilotの展開を担当するIT管理者が「権限クリーンアップをどこから、どんな順序でやるか」を実務的に判断するためのガイドです。エージェント乱立・管理モデルの設計については姉妹記事「M365 Copilot導入後に起きるエージェント乱立問題と、その管理モデル」が扱っています。本記事はSharePoint権限の具体的な棚卸し手順に絞ります。


なぜSharePoint権限の整理がCopilot展開に不可欠か

Microsoft 365 Copilotは、ユーザーが問い合わせた内容をもとに、そのユーザーがアクセスできるすべてのSharePointコンテンツを検索・参照して回答を生成します。つまりSharePointに「全員(Everyone except external users)」権限で共有されているファイルが存在する場合、Copilotはそのファイルを全員の回答素材として使います。

Microsoftが文書化している典型的な過剰共有パターンは次の4つです。

横にスクロールして確認できます

過剰共有パターン具体例Copilotへのリスク
全員共有サイトサイトプライバシーが「組織内全員がアクセス可」役員給与・M&A文書・人事情報が全社員の回答に出る
デフォルト共有リンク共有時のデフォルトが「リンクを知っている全員」URLが流出した際に外部から参照可能になる
権限継承の破損親サイトから継承せずサブフォルダだけ広い権限監査ログでの追跡が困難
退職者アカウントのアクセス継続Entraで無効化されていない退職者がオーナーエージェントが退職者権限で稼働し続ける

Microsoftのドキュメントでは、最初の段階的緩和措置として「Restricted SharePoint Search」(テナントレベルで、権限を確認済みのサイトのみを許可リストとして指定し、Copilotや組織内検索の対象範囲を一時的に絞り込む設定)を案内しています。ただしMicrosoft自身がこれをセキュリティ境界ではない短期的な措置と位置づけており、長期的な解決は権限整理です。


AI ASSESSMENT

PoC の前に「そもそも使えるか」を30分で見極めませんか?

対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。

30分壁打ちを予約

6ステップの権限クリーンアップ手順

ステップ1:Data Access Governanceレポートの取得

SharePoint管理センター(SharePoint Advanced Management)の「Data Access Governanceレポート」を実行します。M365 Copilotのライセンス購入でSharePoint Advanced Management(SAM)が付属します。

レポートで確認する主要な出力は次の3種類です。

横にスクロールして確認できます

レポート種別確認すること
過剰共有サイト一覧全員共有・外部共有が設定されているサイト数と名称
機密度ラベル未適用コンテンツ機密情報ラベルなしで広く共有されているファイル
外部共有リンク一覧匿名リンク・組織外ゲストへのリンクの総数

ステップ2:優先度付け(高影響サイトの特定)

レポート結果から、次の条件を満たすサイトを「高影響・優先整理」と判定します。

  • 財務・人事・法務・経営情報が格納されているサイトに「全員」権限が設定されている
  • 退職者がオーナーまたはメンバーとして残存している
  • 匿名アクセスリンクが10件以上存在する

ステップ3:Restricted SharePoint Searchの一時適用

ステップ2で特定した高影響サイトの整理が完了するまで、Copilotの検索対象を承認済みサイトのみに限定するRestricted SharePoint Searchを設定します。これにより権限整理の完了前にCopilotを部分的に活用できます。ただしこれは検索範囲を絞る一時措置であり、権限そのものを変える対策ではない点に注意します。

ステップ4:「全員」権限の除去

全員共有サイトは、必要なメンバーをグループ単位(部署グループ・プロジェクトグループ)で追加し直します。「全員」という設定を残したままグループを絞ることはできないため、権限を一度外してから再付与が必要です。

作業時のポイントは、変更前の状態を記録してからロールアウトすることです。変更後に業務に必要なアクセスが遮断された場合の切り戻し手順を事前に準備します。

ステップ5:退職者アカウントのクリーンアップ

Entra IDの「無効化済みユーザー」と、SharePoint上でオーナー・メンバーになっているユーザーを照合します。無効化済みでもSharePointグループに残存しているケースがあるため、スクリプト(Microsoft Graph API)で一括確認が効率的です。

退職者がオーナーの場合は、現役担当者への再指名を先に完了してから除去します。

ステップ6:既定共有設定の変更と教育

長期的な過剰共有の再発防止として、テナントの共有リンクのデフォルトを「特定のユーザー」に変更します(現状「全員」または「組織内全員」になっているテナントが多い)。

また、共有を行う全ユーザーへの教育として「Copilot展開後は、共有した相手以外にも情報が表示される可能性がある」という認識を周知します。特に「Teams投稿のリンク共有」「外部パートナーへのゲストアクセス」は盲点になりやすい場所です。


整理の優先順位マトリクス

横にスクロールして確認できます

情報の重要度共有範囲優先度
高(財務・人事・法務・M&A)全員または外部最優先(Copilot展開前に必ず解消)
高(財務・人事・法務)組織内全員優先(Copilot展開と同時進行で解消)
中(製品・営業・プロジェクト)全員または外部高(展開後3か月以内を目標)
低(一般情報・社内報)組織内全員低(棚卸しで追跡)

FREE DOWNLOAD

中小企業のDX推進 5ステップガイド

多様な企業の導入実績から抽出した、失敗を防ぐDX推進の5つのステップを継続解説。

GXOの支援

GXOでは、SharePoint Advanced Managementのレポート取得・解析から、過剰共有サイトの優先度付け・整理作業・退職者アカウント棚卸し・Entra IDとの連携確認まで一体で支援します。Copilot展開タイムラインと権限整理工数の調整も含め、ゼロトラスト設計SSO/IdP readiness診断とあわせてM365環境のセキュリティ基盤を整えます。


GXOの見解

AI導入はツール追加ではなく、業務フロー、権限、ログ、停止条件、責任分界を同時に設計する経営課題として扱う。

GXOはPoC単体ではなく、現場業務に残る承認、例外処理、監査証跡まで見て本番運用に落とすべきだと見る。

GXOは、AI活用の構想整理から要件定義、社内ルール、システム連携、運用改善まで一気通貫で支援します。

実務判断のポイント

この記事は、経営者、DX責任者、情シス、開発責任者向けです。AI導入前の業務棚卸し、権限設計、PoC、本番運用、AI利用規程を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。

GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。Copilot導入前にやるSharePoint権限クリーンアップ実務|過剰共有を6ステップで整理するに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。

放置した場合と整備した場合の違い

横にスクロールして確認できます

観点放置した場合整備した場合
業務影響属人的な判断が増え、対応の優先順位がぶれやすい影響範囲、期限、責任者を決めて進められる
投資判断ツール導入や外注費だけが先行し、効果測定が曖昧になる売上、工数削減、リスク低減の指標にひも付けられる
現場運用例外処理や承認フローが残り、定着しにくい権限、ログ、教育、改善サイクルまで設計できる
経営報告問題が発生してから説明資料を作ることになる月次で状況、課題、次の打ち手を説明できる

導入・改善前のチェックリスト

  • 対象業務、対象部門、対象データを明文化しているか
  • 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
  • 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
  • 例外処理、承認、差し戻し、監査証跡まで確認しているか
  • 社内で判断できる範囲と外部支援が必要な範囲を分けているか
  • 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
  • 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
  • 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
  • セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
  • 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
  • 経営判断に必要な資料を1枚で説明できる状態にしているか
  • 次の90日で検証する範囲と、やらない範囲を明確にしているか

GXOの実務補足

AI導入はツール追加ではなく、業務フロー、権限、ログ、停止条件、責任分界を同時に設計する経営課題として扱う。

GXOはPoC単体ではなく、現場業務に残る承認、例外処理、監査証跡まで見て本番運用に落とすべきだと見る。

GXOは、AI活用の構想整理から要件定義、社内ルール、システム連携、運用改善まで一気通貫で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、AIアセスメント、PoC、業務システム連携、AIエージェント運用設計へ接続。さらに、診断テンプレートと標準設計を使い、短期診断から継続伴走へ展開。

実行までの進め方

  1. 現在の業務、データ、ツール、担当者を棚卸しする
  2. 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
  3. 初期対応、90日以内の改善、半年以上の投資を分ける
  4. 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
  5. 小さく検証し、効果測定後に本番化や横展開を判断する

よくある質問

Q1. Copilotを先に展開して後から権限整理は現実的ですか

Restricted SharePoint Searchを使えば、指定サイトのみCopilotに検索させる形で暫定運用は可能です。ただし経営・人事・法務情報を扱うサイトの整理は展開前に完了することを強くお勧めします。漏れが起きた後の対応コストは整理コストを大きく上回ります。

Q2. SharePoint Advanced Managementの導入に追加費用はかかりますか

M365 E3/E5または特定のビジネスプランへM365 Copilotライセンスを追加した場合、SharePoint Advanced Management(SAM)は付属します。既存のM365ライセンス構成によって異なるため、管理センターのライセンス状況を確認してください。

Q3. 退職者アカウントのSharePoint残存は自動的にクリーンアップされますか

Entra IDで無効化・削除してもSharePointのグループメンバーシップは自動削除されないケースがあります。特にセキュリティグループ経由でサイトに紐づいている場合は手動またはGraph APIスクリプトでの確認が必要です。


参考情報

Copilot展開前のSharePoint権限整理を支援します

GXOでは、Data Access Governanceレポートの取得・解析から過剰共有サイトの優先整理・退職者アカウント棚卸しまで、Copilot展開タイムラインに合わせた権限クリーンアップを支援します。

SharePoint権限整理を相談する

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK