51CTO Blog地址:https://blog.51cto.com/u_13969817
对于加入到智能 Microsoft 365 Copilot 的组织来说,为 SharePoint 内容维护强大的数据治理控制对于以安全方式部署 Copilot 至关重要。
SharePoint Advanced Management 提供了防止数据过度共享和意外泄漏的功能,这对于M365版Copilot的成功推出至关重要,本指南将向您展示如何使用PowerShell管理这些设置。
SharePoint Advanced Management(SAM)是一个add-on功能,一旦启用了SAM (SharePoint高级管理)设置,如限制SharePoint站点访问Microsoft 365组和Entra安全组,限制OneDrive内容访问,限制OneDrive服务访问,SharePoint站点和OneDrive的条件访问策略,SharePoint站点的数据访问治理报告和限制内容可发现性(RCD),可以使用powershell进行管理。
Tenant Level 设置Enable Restricted Access Control的PnP Powershell:
说明:此设置为您的组织启用站点级访问限制。该命令可能需要一个小时才能生效。如果缺少适当的许可证,您将收到一条错误消息。
set-spotenant : This operation can’t be performed as the tenant doesn’t have the required license.
Restrict OneDrive Access by Security Group
将OneDrive内容的访问和共享限制给指定Microsoft Entra ID安全组中的用户。使用REST方法通过PowerShell更新此设置,使用REST方法到_api/SPOInternalUseOnly.Tenant
参考示例:
connect-PnPOnline -Url https://byronMVP-admin.sharepoint.com
-Interactive
$apiUrl = "/_api/SPOInternalUseOnly.Tenant"
$payload = @{
AllowSelectSGsInODBListInTenant =
@('c:0t.c|tenant|a50cce6c-f979-4a1a-93dd-5b8487ada96b',
'c:0t.c|tenant|c6b80bfb-2d70-424b-a3e0-7cff04dc0387')
}
Invoke-PnPSPRestMethod -Method Patch -Url $apiUrl -ContentType
"application/json;odata.metadata=minimal" -Content $payload
DisableDocumentLibraryDefaultLabeling的PnP PowerShell如下:
set-pnptenant -DisableDocumentLibraryDefaultLabeling $false #enables default sensitivity label for SharePoint document libraries
限制性内容可发现性(RCD)
受限内容可发现性(RCD)是SharePoint高级管理(SAM)的另一个特性,它可以作为受限SharePoint搜索RSS的替代品,用于在过度共享的情况下通过Copilot和组织范围内的搜索来限制内容可发现性。限制访问控制影响对最终用户的访问,而限制内容可发现性允许最终用户在文件上工作,除了使内容在M365的Copilot中不可发现外,不会影响生产力。
与SharePoint受限搜索类似的一些注意事项:
· 该设置影响了M365的租户侧搜索和副驾驶,没有选项可以仅为M365的副驾驶设置
· 所有用户都需要license
· 影响租户级数据的搜索/可查找性
· 与SharePoint限制搜索相比,它可以应用的网站数量没有限制,SharePoint限制搜索只能应用到100个网站。
Set-PnPTenantSite -Identity <site-url> -RestrictContentOrgWideSearch $true
Restrict grouped connected and non grouped connected SharePoint sites的PnP Powershell
相关参照链接:
· Restrict SharePoint site access with Microsoft 365 groups and Entra security groups
· Restrict access to a user’s OneDrive content to people in a group
· https://aka.ms/RACPolicyForSites
· Restrict discovery of SharePoint sites and content