Leggere in inglese

Condividi tramite


Gestire i report di governance dell'accesso ai dati con PowerShell di SharePoint Online

Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint

Anche se la governance dell'accesso ai dati è disponibile nel portale dell'interfaccia di amministrazione di SharePoint, le organizzazioni di grandi dimensioni in genere cercano il supporto di PowerShell per gestire la scalabilità tramite script e automazione. Questo documento illustra tutti i comandi di PowerShell appropriati disponibili tramite il modulo PowerShell di SharePoint Online per gestire i report dalla governance dell'accesso ai dati.

Importante

Il supporto di PowerShell per la governance dell'accesso ai dati è disponibile dal modulo "Microsoft.Online.SharePoint.PowerShell" e dalla versione "16.0.25409" in poi.

Importante

Eseguire il comando 'Connect-SPOService' SENZA il parametro Credential . NON è possibile supportare l'accesso usando il parametro Credential inline con le procedure di sicurezza più recenti.

Creazione di report con PowerShell

Usare il comando Start-SPODataAccessGovernanceInsight per generare tutti i report con filtri e parametri appropriati

Oversharing baseline report using permissions

La definizione di "oversharing" può essere diversa per i diversi clienti. La governance dell'accesso ai dati considera il "numero di utenti" come un possibile pivot per stabilire una linea di base e quindi tenere traccia dei principali collaboratori di potenziali "oversharing", ad esempio la condivisione di collegamenti creati e la condivisione con gruppi di grandi dimensioni, ad esempio "Tutti tranne gli utenti esterni" negli ultimi 28 giorni. È possibile definire la soglia di "numero di utenti" e generare un report dei siti a cui accedono molti utenti al momento della generazione del report. Questo report viene considerato un report "snapshot".

Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"

Questo comando genera un elenco di tutti i siti in cui più di 100 utenti possono accedere a qualsiasi contenuto all'interno del sito. Altre informazioni sull'elenco dei siti e su come interpretare i risultati sono disponibili qui.

Nota

Attualmente il report è costituito da siti di SharePoint e account OneDrive e può generare fino a 1 milione di siti e/o account.

Questi report sono utili per identificare i siti che sono attivi in collaborazione e richiedono quindi un intervento più rapido per mitigare eventuali rischi di sovra-condivisione. Questi report basati su 'RecentActivity' identificano i siti che generano il maggior numero di collegamenti di condivisione negli ultimi 28 giorni.

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity

Specificare il valore del carico di lavoro come "OneDriveForBusiness" per ottenere tutti gli account OneDrive con gli stessi criteri.

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity

Specificare il valore del carico di lavoro come "OneDriveForBusiness" per ottenere tutti gli account OneDrive con gli stessi criteri.

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity

Specificare il valore del carico di lavoro come "OneDriveForBusiness" per ottenere tutti gli account OneDrive con gli stessi criteri.

Contenuto condiviso con tutti tranne gli utenti esterni negli ultimi 28 giorni

Anche se i collegamenti di condivisione sono un possibile collaboratore per la potenziale sovrascietà, un altro collaboratore chiave è "Tutti tranne gli utenti esterni" (EEEU), che rende il contenuto "pubblico", visibile all'intera organizzazione e semplifica l'individuazione del contenuto e l'accesso ad altri utenti. Questi report identificano i siti che hanno utilizzato attivamente EEEU in vari ambiti negli ultimi 28 giorni.

Siti condivisi con tutti tranne gli utenti esterni negli ultimi 28 giorni

Quando EEEU viene aggiunto a un'appartenenza a un sito (proprietari, membri o visitatori), l'intero contenuto del sito diventa pubblico e più incline alla condivisione eccessiva. Il comando di PowerShell seguente attiva il report per acquisire tali siti negli ultimi 28 giorni:

Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"

Nota

Attualmente il report per OneDriveForBusiness con EEEU a livello di sito non è supportato.

Elementi condivisi con tutti tranne gli utenti esterni negli ultimi 28 giorni

Il comando di PowerShell seguente attiva il report per acquisire i siti in cui elementi specifici (file/cartelle/elenchi) sono stati condivisi con EEEU negli ultimi 28 giorni:

Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"

Specificare il valore del carico di lavoro come "OneDriveForBusiness" per ottenere tutti gli account OneDrive con gli stessi criteri.

Report etichetta di riservatezza nei file

Questo comando di PowerShell attiva il report per elencare i siti in cui elementi specifici sono stati etichettati con una determinata "etichetta", a partire dalla data di generazione del report.

Recuperare prima di tutto il nome dell'etichetta o il GUID dell'etichetta usando il modulo PowerShell "Sicurezza e conformità".

Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType

Usare quindi il nome e il GUID per recuperare i siti con i file etichettati con il nome dell'etichetta o il GUID specificati.

Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret

Nota

Attualmente, il report per gli account "OneDriveForBusiness" con file etichettati non è supportato.

Rilevamento di report con PowerShell

Importante

Tutte le creazioni di report genereranno un GUID come output che potrebbe essere usato per tenere traccia dello stato del report

Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId                             Status
--------                             ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted

Usare il comando Get-SPODataAccessGovernanceInsight per recuperare lo stato corrente di un report di governance dell'accesso ai dati specifico usando l'ID report.

Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId          : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity      : SharingLinks_Anyone
Status            : InQueue
Workload          : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime   : 11/13/2024 20:09:23
ReportStartTime   : 10/17/2024 19:32:33
ReportEndTime     : 11/13/2024 19:32:33
ReportType        : RecentActivity
SitesFound        : 120

ReportStartTime e ReportEndTime indicano il periodo di dati per generare il report. Lo stato è contrassegnato come "Completato" al termine della generazione del report.

È anche possibile visualizzare lo stato corrente dei report del gruppo di disponibilità del database usando il filtro ReportEntity anziché l'ID. Il reportID è elencato nell'output ed è necessario in un secondo momento per scaricare un report specifico.

Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId             : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName           : PermissionReportFor1AsOfSept
ReportEntity         : PermissionedUsers
Status               : Completed
Workload             : SharePoint
TriggeredDateTime    : 09/18/2024 11:06:16
CreatedDateTime      : 09/22/2024 12:12:48
ReportType           : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy              : All
Sensitivity          : {All}
Templates            : {All}

ReportId             : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName           : PermissionReportFor1AsOfOct
ReportEntity         : PermissionedUsers
Status               : Completed
Workload             : SharePoint
TriggeredDateTime    : 10/09/2024 14:15:40
CreatedDateTime      : 10/09/2024 15:18:23
ReportType           : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy              : All
Sensitivity          : {All}
Templates            : {All}

Visualizzare e scaricare report con PowerShell

Per scaricare un report specifico, è necessario il reportID. Recuperare il reportID usando il comando Get-SPODataAccessGovernanceInsight e usare il comando Export-SPODataAccessGovernanceInsight per scaricare il report in un percorso specificato.

Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"

In questo modo viene scaricato un file CSV nel percorso specificato. I dettagli del csv/vista per ogni report sono illustrati qui.

Nota

Il percorso di download predefinito è la cartella "Download".

Azioni correttive con PowerShell

Dopo aver generato i report di governance dell'accesso ai dati, gli amministratori di SharePoint possono eseguire azioni correttive come descritto qui. La sezione seguente descrive i comandi di PowerShell per attivare e tenere traccia della "verifica dell'accesso al sito" come azione correttiva.

Avviare la verifica dell'accesso al sito con PowerShell

Usare il comando Start-SPOSiteReview per avviare una verifica di accesso al sito per un sito specifico, elencato in un report sulla governance dell'accesso ai dati. Il report sulla governance dell'accesso ai dati fornisce il contesto in cui avviare la revisione. Recuperare il reportID, l'ID sito dal file CSV e fornire commenti per fornire chiarezza al proprietario del sito in merito allo scopo della revisione.

Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity            : PermissionedUsers
Status                  : Pending
AdminComment            : Check for org wide access
SiteName                : All Company

In questo modo vengono attivati i messaggi di posta elettronica al proprietario del sito, come descritto qui.

Tenere traccia delle verifiche di accesso al sito con PowerShell

Usare il comando Start-SPOSiteReview per tenere traccia dello stato delle verifiche di accesso al sito. Per recensioni specifiche, è possibile usare il ReviewID valore come illustrato nell'output. Per recuperare tutte le revisioni correlate a un modulo di creazione di report, usare il ReportEntity parametro .

Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime   : 13-11-2024 23:25:41
ReportEndDateTime       : 13-11-2024 23:25:41
ReportEntity            : PermissionedUsers
Status                  : Pending
AdminComment            : Check for org wide access
SiteName                : All Company
ReviewerEmail           :
ReviewerComment         :

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime   : 15-10-2024 09:24:47
ReportEndDateTime       : 15-10-2024 11:39:52
ReportEntity            : PermissionedUsers
Status                  : Completed
AdminComment            : Check for org wide access
SiteName                : All Company
ReviewerEmail           : Jon@contosofinance.com
ReviewerComment         : Removed EEEU for sensitive documents