つい先日までは Microsoft Syntex Advanced Management としてプレビューとなっていた機能が 2023年3月1日付け(米国時間) で Microsoft Syntex - Microsoft SharePoint Advanced Managment (SAM) という名前で GA に達し一般提供開始となりました。
Microsoft Syntex – SharePoint Advanced Management (SAM) Add-on – Announcing General Availability - Microsoft Community Hub
機能概要
多くの組織で SharePoint サイトコンテンツが乱立し、不必要に過剰共有されていることが問題となっています。サイトコンテンツの乱立とは、ユーザー自身によるサイト作成を許可している場合にSharePoint サイトを大量に作成することであり、過剰共有とは、意図的または偶然に必要な閲覧すべきでない人とコンテンツを共有することを指しています。
SharePoint 管理者と IT 管理者がこうした乱立や過剰な共有に対処できるよう、高度なセキュリティとコンテンツ管理できるようにするための新機能群を含んでいるのが Microsoft SharePoint Advanced Management (SAM) アドオンです。
具体的には次のことができるようになります。
- SharePoint および OneDrive の管理と統制
- Microsoft 365 の安全なコラボレーション機能の強化
Microsoft Syntex の管理機能については去年の10月に実施された Microsoft Ingite 2022 でも発表がありました。詳しくは下記の記事も参照してください。ページの下の方に管理機能について触れています。
SharePoint Technical Notes : Microsoft Ignite 2022 Recap: 凄い! Microsoft Syntex による最新のMicrosoft 365 コンテンツ管理を学ぼう (lekumo.biz)
Microsoft Syntex はもともとは SharePoint Syntex という名称でリリースされており、AIを使ったドキュメント管理機能が主です。Microsoft Syntex は SharePoint のアドオンライセンスとしてすでに提供が開始されています。
ここに新たに管理機能が加わるということで、今回の GA により各機能群がいよいよ順次展開されてくるということなのですが、この管理機能を利用するのに SharePoint Advanced Management (SAM) アドオンというライセンスの購入が必要になります。ユーザー単位のライセンスとなるそうですが、詳しくは下記のページを確認してください。
Microsoft Syntex - SharePoint Advanced Management overview - SharePoint in Microsoft 365 | Microsoft Learn
ちなみに、SharePoint Advanced Management は2023年3月2日現在ロールアウト中です。ライセンスおよび機能は3月から4月上旬にかけて各組織で利用できるようになる見込みです。
すでに私の利用しているテナントではライセンスが購入できるようになっています。30日間のトライアル版もあるので、まずは機能を検証すべくトライアルを追加してみました。25ライセンスが利用できるようになっています。ちなみに、有償の場合の料金は一人あたり月額3ドルということで、日本価格は現時点では 330円となっています。
試しに SharePoint 管理センターを利用する管理者アカウントにライセンスを付与したところ、しばらくするとSharePoint 管理センターの左側ナビゲーションに「💎Advanced management」メニューが追加表示されます。
現時点 (2023年3月2日)ではこのページに表示される項目をクリックしても表示されるのは Microsoft Learn へのリンクなどであり、実際に何かをここから設定することはできません。各設定へのリンク集といったところです。
2つの柱
さて、SAM が提供する機能には次の2つの柱があります。
- セキュアコラボレーションのための高度なアクセスポリシー
- 高度なサイトコンテンツのライフサイクル管理
詳しくは冒頭に掲載した GA のアナウンスページに書かれていますが、各機能を簡単に要約しておきます。
セキュアコラボレーションのための高度なアクセスポリシー
これには次のものが含まれます。
- SharePoint サイトのデータアクセス ガバナンス (DAG) インサイト V1 - GA
コンテンツが過剰に共有されているサイトを見つけ出し、サイトの所有者に確認を促す。この機能は以前は E5 のライセンスがあれば使えていたものが、今後は SAM のライセンスを求められるようになる (※E5 縛りがなくなるのかは、個人的にまだ試せていません)。ちなみに、2023年3月2日現在では過去30日の間に作成された共有リンクの数が多いサイトのトップ100が表示され、リンク数は確認できるものの、サイトの所有者への確認を促す機能までは提供されていない。
- SharePoint サイトの制限されたアクセス制御ポリシー(RAC) - GA
コンテンツの共有相手を特定のユーザーに限定する (不用意な共有をしてしまった場合のセーフティネットとなる)。当面は、Microsoft 365グループに接続されたサイトのアクセスをそのグループのメンバーにのみ限定し、グループのメンバー以外からのアクセスは拒否する。2023年の第二四半期には、クラシックサイト、コミュニケーションサイト、共有チャネルなどのチャネルサイトにも拡大する予定。
- OneDrive の制限されたアクセス制御ポリシー(RAC) - GA
SharePoint だけでなく OneDrive 側の過剰なコンテンツ共有を行えないように共有相手を特定のユーザーに限定できる。たとえば、共有先は従業員だけに限定するといったことが可能になる。当面はすべてのユーザーの OneDrive に対しての設定となるが、2023年第二四半期には特定のユーザーのOneDriveに限定した設定も可能になる予定。
- SharePoint サイトおよび OneDrive の条件付きアクセス - GA
サイトごとに格納されているコンテンツのセキュリティ要件は異なるものである。そこでサイトおよびOneDrive ごとにユーザーがコンテンツにアクセスできる条件をアクセスポリシーとして SharePoint Online PowerShellコマンドレットで適用できる。例えば機密情報を含むサイトであれば、MFAを要求するといったことができる。また職位の高い管理職のユーザーの OneDrive にアクセスするには管理されたデバイスを常に要求する条件付きアクセスを構成するといったことができるようになる。秘密度ラベルをサイトやチームに適用している場合は、秘密度ラベルとポリシーを関連づけるだけでよい。
- 安全な SharePoint ドキュメントライブラリ - 2023年4月1日にGA
ドキュメントライブラリごとに既定の秘密度ラベルを適用できる。この機能は SAM がなくてもプレビューとしてすでに利用可能だが、2023年4月1日以降はSAMライセンスが必須となる。
これには次のものが含まれます。
- 非アクティブなサイトのサイトライフサイクル管理ポリシー - 2023年 第二四半期
しばらく使われていないサイトを発見して管理する機能。特定のサイトに対して独自の非アクティブ サイトポリシーを作成することで、非アクティブになっている各サイトの所有者にアラートを通知し、維持するのか削除するのか、その他のアクションを取るのか促すことができる。また非アクティブなサイトに制限されたアクセス制御ポリシーを適用して未許可のユーザーからの常時アクセスを排除できる。Microsoft Teamsのチームと接続されている場合は、サイトの所有者だけでなくチームの所有者にも非アクティブの通知が可能。
- 最近の SharePoint 管理者のアクション - GA
SharePoint 管理者が最近行った変更を一覧できるようになる。これによって意図しない変更でユーザーに迷惑をかけることを低減できる。これは SharePoint 管理センターに新たに追加される Recent admin actions パネル~30日分の変更を表示して必要に応じておく素ポートもできる。近日中に、共有設定やクォータのへ変更などの SharePoint のテナントレベルの設定もこのパネルに表示できるようになる。
- サイトの履歴 - 2023年 第二四半期
サイトの所有者やサイトの管理者が行ったすべてのアクティビティを履歴として閲覧できるようになる。これにより、例えばサイトにアクセスできなくなったサイトのトラブルシューティングなどの際にどのような設定変更が行われたのかなどの手がかりにできる。
- SharePointサイトおよび OneDriveのダウンロード禁止ポリシー - GA
組織内の重要情報、企業秘密文書、歴史的な知的財産などをホストしているサイトから情報漏えいすることがないようにファイルのダウンロードを禁止することができる。ユーザーはブラウザ上からコンテンツを閲覧できるが、 Office デスクトップアプリからの印刷、同期、ダウンロードなどはできなくなる。ただし、対象から一部のユーザーを除外することは可能。なお、Microsoft Teams によって作成された会議の録画(格納先は OneDrive または SharePoint) をテナント全体で一括してダウンロードできないように構成することもできるようになる。この機能は2023年第二四半期に提供される予定であり、SharePoint 管理シェルを使ってSet-SPOTenant -BlockDownloadFileTypePolicy $true -BlockDownloadFileTypeIds TeamsMeetingRecordingを実行するだけで済む。
今後、Microsoft Syntex にはさまざまな機能が登場する予定です。楽しみです。