SharePoint Advanced Management: el primer paso, no el último

 

Una de las cosas que cambió silenciosamente cuando Microsoft empezó a incluir SharePoint Advanced Management con Copilot fue que de repente todo el mundo tenía la herramienta para hacer un assessment serio. Antes era licencia aparte, costaba dinero adicional, y muchos equipos se la saltaban.

SAM no es nuevo. Lo que es nuevo es que ya no tienes excusa para no usarlo si tienes Copilot.

Para quien no lo conozca: SAM (SharePoint Advanced Management) es un paquete de capacidades de governance para SharePoint. Inactive sites detection, oversharing reports, data access governance reports, conditional access policies a nivel de site, restricted access control. Una colección de cosas que viven en distintos rincones del admin center pero apuntan al mismo problema: tu SharePoint creció sin gobierno y ahora hay que ordenarlo.

El primer reporte

Cuando lo activé por primera vez en mi tenant, el reporte inicial fue, cómo decirlo, humillante.

Sitios inactivos con datos sensibles: 1,247. Sitios con permisos rotos (heredados pero el padre se borró): 89. Sitios con “Everyone except external users” en el grupo de Members: 312. Sitios sin propietario asignado válido (el dueño ya no estaba en la empresa): 56.

Y eso solo en la primera pasada. La segunda, con filtros más finos, sacó otra capa.

 

Lo que hice con esos datos

Para sitios inactivos: política nueva. Si no se accede en 90 días, archive workflow. Si nadie reclama en 30 días más, archivado. Si nadie reclama en 180 días desde el archive, candidato a eliminación. SAM permite automatizar buena parte de eso con políticas. La parte humana — confirmar con dueños — la tienes que orquestar tú.

Para “Everyone except external users”: más doloroso. Cada uno requería un revisor. Lo que ayudó fue una matriz de criticidad de datos: qué tipo de contenido tiene cada sitio. Los críticos (legal, finanzas, RRHH) los atacamos primero, manualmente. Los menos críticos los atacamos en cohortes.

Para permisos rotos: SAM los identifica pero no los arregla. Hay que entrar uno por uno o usar PowerShell. Lo más eficiente para nosotros fue agruparlos por área y mandar un ticket por área al dueño funcional con la lista. Que ellos se hagan cargo. Y si en X días no se responde, escalado.

Lo que SAM no hace

No es DLP. SAM te dice quién tiene acceso. Purview DLP te dice qué se puede hacer con el contenido. Son complementarios.

No es scanning de contenido. SAM mira permisos y metadata. Si tienes un PDF con SSN dentro pero el archivo está en un sitio “limpio” en cuanto a permisos, SAM no te lo dice. Para eso, sensitivity labels más auto-labeling de Purview.

No es un sustituto de governance proactivo. SAM te ayuda a limpiar lo viejo. Si no cambias cómo se crean nuevos sitios — templates con permisos sensatos, dueños obligatorios, lifecycle defaults — vas a estar limpiando para siempre.

 

Mi flujo actual

Al inicio de cada quarter, corro reporte completo. Diff contra el quarter pasado. Métrica clave: ¿bajaron sitios con problemas, o subieron? Si subieron, política nueva no funcionó. Si bajaron, mantengo curso.

Mensualmente, alerta de nuevos sitios sin propietario. Estos son la fuente principal de problemas futuros. Reasignar al crear, no al limpiar.

Trimestralmente, review con cada área de sus sitios críticos. SAM da el dato, el área toma la decisión. La governance funciona si los dueños se sienten dueños.

Lo último que diría: SAM no resuelve nada por ti. Es luz, no acción. Si no asignas el tiempo a actuar sobre lo que la luz revela, mejor no la enciendas — porque entonces es solo evidencia documentada de que sabías y no hiciste nada. Y eso, en una auditoría, es peor que la ignorancia.