Развёртывание Copilot и риск избыточного доступа: почему сначала нужно навести порядок в правах доступа SharePoint

Copilot делает видимыми годами накопившиеся избыточные права доступа в SharePoint. Вот как правильно подготовить развёртывание с помощью SAM и RCD.

Рисунок от руки: открытая папка с выпадающими листами и слегка приоткрытым навесным замком сверху

Едва Microsoft 365 Copilot развёрнут, во многих ИТ-отделах начинают поступать одни и те же отзывы: сотрудники внезапно находят с помощью ИИ документы, о которых раньше ничего не знали, например списки зарплат, черновики договоров или внутренние стратегические документы.

Причина не в ошибке Copilot, а в правах доступа SharePoint, которые годами накапливались и никогда не приводились в порядок. Copilot лишь делает эту проблему видимой, а не создаёт её.

Почему Copilot вдруг показывает содержимое, которое раньше никто не находил?

Copilot обращается исключительно к содержимому, на которое у пользователя уже есть права доступа, существующие права доступа соблюдаются и не обходятся (источник: Microsoft, Copilot Search FAQ).

Настоящая проблема в том, что многие сайты SharePoint годами накапливали общий доступ для «Все, кроме внешних пользователей» (EEEU), открытые ссылки общего доступа или нарушенное наследование прав доступа, которые раньше никто не просматривал, потому что ни один человек не мог искать так эффективно, как ИИ (источник: Microsoft, Zero Trust для Copilot). Copilot находит за секунды то, на что сотруднику раньше требовались часы, и мгновенно делает доступным для поиска каждый забытый общий доступ.

Для компаний со строгими требованиями к документированию, например в сфере кадров или в государственном управлении, это больше, чем деталь комплаенса: если внутренний инструмент ИИ непреднамеренно раскрывает персональные данные, на которые вообще не должно быть прав доступа, на кону оказывается контроль над собственными данными, именно тот момент, когда автоматизация без управления превращается из облегчения в риск.

Что такое SharePoint Advanced Management и для чего он нужен при развёртывании?

SharePoint Advanced Management (SAM) объединяет инструменты, с помощью которых администраторы выявляют и устраняют избыточные права доступа перед развёртыванием Copilot, включая отчёты Data Access Governance, Content Management Assessment и Site Access Review (источник: Microsoft, Get ready for Copilot with SharePoint Advanced Management).

Site Access Review делегирует проверку сайтов с избыточными правами доступа непосредственно соответствующим владельцам сайтов, что снимает нагрузку с ИТ-отдела и закрепляет ответственность там, где находится профильная экспертиза по содержимому. Отчёты об истории изменений дополнительно показывают все действия с сайтом и изменения настроек за последние 180 дней, что демонстрирует, сколько пространства между двумя проверками возникает для незаметного разрастания прав доступа (источник: Microsoft, Change History Report).

Как Restricted Content Discovery помогает в качестве немедленной меры?

Restricted Content Discovery (RCD) предотвращает появление содержимого сайта в общекорпоративном поиске и в Copilot, не изменяя при этом базовые права доступа (источник: Microsoft, Restrict discovery of SharePoint sites and content).

Пользователи, у которых уже есть доступ к сайту, полностью сохраняют этот доступ, ограничивается только возможность его найти через поиск и Copilot, что представляет собой аккуратный промежуточный шаг для сайтов, которые как раз проверяются. Однако для очень больших сайтов с более чем 500 000 элементов обновление может занять более недели, поскольку настройка должна сначала распространиться через поисковые индексы (источник: Microsoft, Restricted Content Discovery).

Тем, кто всё ещё использует более старый Restricted SharePoint Search, следует перейти на новое решение: с 31 июля 2026 года Microsoft блокирует его новую настройку и прямо указывает на RCD как решение-преемник (источник: Microsoft, Restricted SharePoint Search).

Какие четыре шага входят в правильное развёртывание Copilot?

Собственное руководство Microsoft по развёртыванию описывает предотвращение избыточного доступа как процесс из четырёх этапов: выявление сайтов риска с помощью оценок рисков данных Purview и SAM Content Management Assessment, временная защита с помощью RCD и правил предотвращения потери данных (Data Loss Prevention) для Copilot, исправление прав доступа и наследования прав, и, наконец, постоянное ограничение доступа авторизованными группами с помощью Restricted Access Control (источник: Microsoft, Configure a secure and governed foundation for Microsoft 365 Copilot).

В проектах NordFlux этот первый шаг регулярно выполняется перед каждым лицензированием Copilot, а не после: у одного клиента из сферы государственного управления Copilot изначально планировалось активировать для всего тенанта, пока Content Management Assessment не показал, что заметная часть активных сайтов всё ещё имела общий доступ EEEU, оставшийся от более ранней миграции SharePoint. Только после устранения этой проблемы развёртывание было запущено, со значительно меньшей, но чистой поверхностью атаки.

Подробнее о нашем подходе к работе со средой Microsoft 365 вы можете прочитать в описании нашей услуги Автоматизация Microsoft 365, а о сопровождающем консультировании по управлению в рамках развёртываний Copilot в нашем разделе ИИ-консалтинг.

Коротко говоря

Copilot показывает только то, что пользователи и так имеют право видеть, но сразу выявляет годами накопившиеся избыточные права доступа в SharePoint. SharePoint Advanced Management и Restricted Content Discovery предоставляют инструменты, чтобы устранить это до развёртывания, а не объяснять постфактум.

Часто задаваемые вопросы

Изменяет ли Restricted Content Discovery существующие права доступа?

Нет. RCD влияет только на возможность найти содержимое через общекорпоративный поиск и Copilot, но не на права доступа. Пользователи с уже имеющимся доступом по-прежнему могут напрямую обращаться к содержимому.

Достаточно ли просто не лицензировать Copilot, чтобы избежать риска?

Нет, не в долгосрочной перспективе. Избыточные права доступа существуют независимо от Copilot и станут заметны точно так же не позднее следующего развёртывания или расширенной функции поиска. Устранение проблемы до развёртывания обходится дешевле, чем реагирование после него.

Сколько времени обычно занимает устранение проблемы?

Это зависит от количества и размера сайтов. Для отдельных очень крупных сайтов только техническое распространение настройки Restricted Content Discovery может занять более недели, к этому добавляется время на проверки доступа (Access Review) и исправление наследования прав доступа.

Что конкретно делает NordFlux при развёртывании Copilot?

Перед лицензированием мы с помощью отчётов SharePoint Advanced Management проверяем, какие сайты имеют избыточные права доступа, применяем Restricted Content Discovery в качестве немедленной меры для сайтов риска и сопровождаем владельцев сайтов при проведении Access Review, прежде чем Copilot будет введён в промышленную эксплуатацию.

О NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux создаёт цифровых сотрудников для организаций: автоматизации и КИ-агентов, которые берут на себя повторяющуюся работу. Вы сохраняете контроль.

Больше о нас
Читать далее

Похожие статьи

Практика

Автоматизация SharePoint: пять процессов, которые в среднем бизнесе окупаются в первую очередь

Пять процессов в SharePoint, которые в среднем бизнесе стоит автоматизировать в первую очередь, и с помощью каких инструментов это сделать.

Бесплатный первичный анализ

Хотите запустить развёртывание Copilot без риска избыточного доступа?

В рамках бесплатного первичного анализа мы с помощью отчётов SharePoint Advanced Management проверяем, какие сайты имеют избыточные права доступа, и показываем вам, как правильно устранить это перед лицензированием Copilot.

  • Проверка сайтов с помощью SharePoint Advanced Management
  • Немедленные меры, такие как Restricted Content Discovery
  • Сопровождение владельцев сайтов при проведении Access Review