【Copilot】Copilot Chatで社外共有を制限した後に会社データでつまずく時の既存リンクとゲスト権限の棚卸し

Copilot Chatの導入に伴い、多くの企業で社外共有の制限を強化する動きが進んでいます。しかし、制限ポリシーを適用した後も、以前に作成された共有リンクやゲストユーザーの権限が残っているために、Copilotが想定外のデータを参照してしまったり、アクセスエラーが発生するケースが少なくありません。この記事では、そうした問題を未然に防ぐために、既存の共有リンクとゲスト権限を体系的に棚卸しする方法を解説します。会社のデータガバナンスを維持しながら、Copilotの利便性を最大限に引き出すための具体的な手順を確認してください。

なぜ社外共有制限後に問題が起きるのか

Copilot Chatで社外共有を制限する設定は、新しい共有操作に対しては即座に効力を発揮します。しかし、制限前に作成された共有リンクや招待済みのゲストユーザーは、そのまま残り続けます。Copilotはこれらの既存のアクセス権限を尊重するため、制限ポリシーをすり抜けて社外ユーザーが会社データにアクセスできる状態が維持されるのです。また、リンクの有効期限やパスワード設定がない場合は、永続的にアクセス可能な状態となります。

さらに、ゲストユーザーが自分のアカウントでCopilotにアクセスした場合、共有されたファイルやサイトをCopilotが検索・参照できるようになります。その結果、制限ポリシーの意図に反して社外へ情報が漏洩するリスクが生じます。このような問題を解決するには、既存リンクとゲスト権限の棚卸しが不可欠です。

まず確認すべき既存リンクの種類と影響範囲

既存の共有リンクは、種類によって動作や影響範囲が異なります。以下の表で主なリンクタイプを比較してください。

リンクタイプ	アクセス権限	有効期限	制限後の動作
組織全体(社内全員)	組織内のすべてのユーザー	設定可能(デフォルトなし)	制限の影響を受けない
社外全体(匿名)	リンクを知っている全員	設定可能	制限後も有効(危険)
特定ユーザー(社内+社外)	指定されたユーザーのみ	設定可能	ゲスト権限がある限り有効
ゲスト権限(招待ユーザー)	Azure ADゲストアカウント	なし	削除しない限り永続

特に「社外全体(匿名)」リンクは、制限後も完全に有効なため、Copilotが社外の誰でもアクセスできるファイルとして認識する可能性があります。このようなリンクは真っ先に対処すべき対象です。

共有リンクの一覧を確認する手順

1. SharePoint管理センターにアクセスし、左メニューから「ポリシー」→「共有」を選択します。
2. 「共有リンクの設定」セクションで、デフォルトのリンク種類と有効期限の設定を確認します。
3. 各サイト(チームサイトやコミュニケーションサイト)に移動し、サイト設定の「サイトの共有」で個別のリンクポリシーを確認します。
4. PowerShellを使用して、テナント全体の共有リンクを一覧表示するには、Get-SPOSite コマンドレットでサイトを取得し、Get-SPOSiteSharingPermissions でリンク情報を取得します。
5. 特定のサイトで共有リンクを確認するには、サイトの「共有」ページを開き、共有リンクの一覧をエクスポートします。

手順の詳細は、公式ドキュメント「SharePoint 共有リンクの管理」も参照してください。

ゲスト権限の現状把握と確認手順

ゲストユーザー(外部ユーザー)の権限は、Azure ADのゲスト招待と各サイトのアクセス許可で管理されます。Copilot Chatが社外共有を制限していても、既に招待済みのゲストはそのままアクセス可能です。以下の手順で現状を把握します。

Azure ADでゲストユーザーを一覧表示する

1. Azure AD管理ポータルにサインインし、「ユーザー」→「すべてのユーザー」を開きます。
2. 「ユーザーの種類」フィルターで「ゲスト」を選択し、ゲストアカウントの一覧を表示します。
3. 各ゲストユーザーの「割り当てられたロール」や「グループメンバーシップ」を確認し、過剰な権限がないか確認します。
4. SharePoint Onlineでは、各サイトの「サイトのアクセス許可」からゲストユーザーを確認し、不要なユーザーを削除します。
5. PowerShellでゲストユーザーの一覧を取得するには、Get-AzureADUser -Filter "userType eq 'Guest'" を実行します。

棚卸しの実行手順(SharePoint管理センター/PowerShell)

実際の棚卸しを段階的に進めるための手順を説明します。最初に影響の少ないサイトから始め、段階的に全体へ展開することをお勧めします。

共有リンクの棚卸し

1. SharePoint管理センターで「サイトの一覧」を開き、各サイトの「共有」列を確認します。
2. 「詳細」をクリックし、「サイトの共有設定」で「誰でも共有できるリンク」が許可されているサイトを特定します。
3. PowerShellを使用して、すべてのサイトで「Anyone」リンクが有効なサイトを抽出します。Get-SPOSite | Where-Object {$_.SharingCapability -eq "ExternalUserAndGuestSharing"} を実行します。
4. 抽出したサイトに対して、Set-SPOSite -SharingCapability ExistingExternalUserSharingOnly などで制限を強化します。
5. 各サイトで「共有リンクのレポート」をエクスポートし、有効期限切れや未使用のリンクを削除します。

ゲスト権限の棚卸し

1. Azure ADでゲストユーザーの最終サインイン日時を確認し、長期間利用がないゲストは削除を検討します。
2. SharePoint管理センターの「アクセス許可」レポートを生成し、ゲストユーザーがメンバーとして追加されているグループやサイトを特定します。
3. Copilotのポリシーで「社外共有を禁止」している場合でも、ゲストユーザーが参加しているTeamsチームやSharePointサイトはアクセス可能なため、必要な場合のみ残します。
4. ゲストユーザーを削除する前に、当該ユーザーに関連する共有リンクやファイルの権限も併せて確認します。
5. 削除後、Copilotの動作テストを実施し、問題が解消されたか確認します。

よくある失敗パターンとその対策

棚卸しの実務で陥りがちな失敗パターンを紹介します。

• リンクの削除漏れ: サイト単位でしか確認せず、サブサイトやドキュメントライブラリ単位で残っているリンクを見落とす。対策として、PowerShellで再帰的に全アイテムのリンクを取得するスクリプトを実行します。
• ゲストユーザーの再招待: ゲストを削除しても、同ユーザーが別の経路で再度招待されるケース。対策として、Azure ADの「外部コラボレーション設定」でゲスト招待を制限し、特定の管理者のみ招待可能にする。
• ポリシーの優先順位誤認: テナントレベルとサイトレベルの共有設定が競合する場合がある。テナントの制限が厳しくても、サイトレベルで緩い設定が有効になることがあるため、一貫性を持たせる必要があります。
• Copilotのキャッシュ: リンクや権限を変更しても、Copilotが古い情報をキャッシュしている場合がある。変更後はCopilotの再起動またはキャッシュクリアを促す。

管理者が事前に確認すべき設定項目

棚卸しを始める前に、以下の設定項目を確認しておくとスムーズです。

• Microsoft 365 管理センターの外部共有設定: 組織全体の外部共有レベルと、各サービスの詳細設定を確認します。
• SharePoint管理センターの共有ポリシー: サイト作成時のデフォルトの共有設定、リンクの有効期限、パスワード要件を確認します。
• Azure ADの外部コラボレーション設定: ゲスト招待の制限、ゲストユーザーのアクセス権限(ゲストアクセス制限など)を確認します。
• Copilotのデータアクセスポリシー: Copilot Chatの設定で「外部ユーザーとの共有をブロック」が有効になっていることを確認します。ただし、この設定は新規共有のみに適用される点に注意してください。
• Teamsの外部アクセス設定: Teams経由で共有されている場合、ゲストアクセスや外部アクセス設定を確認します。

まとめ

Copilot Chatの社外共有制限だけでは既存のリンクやゲスト権限は無効化されないため、定期的な棚卸しが欠かせません。本記事で紹介した手順に従い、SharePoint管理センターやAzure AD、PowerShellを活用して、組織の共有状況を可視化し、不要なアクセス経路を閉鎖してください。棚卸しを一度実施しても、日々新しいリンクが作成されるため、継続的な監視と自動化が効果的です。Copilotの安全な運用のために、ぜひ本記事を参考に行動に移してください。

✨

Microsoft Copilot完全解決データベース 使い方が分からない、回答がおかしい、職場で使えないなど、Copilotのあらゆるトラブル・操作ガイドを網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。