Controle delen gebruiken in het auditlogboek

Delen is een belangrijke activiteit in SharePoint Online en OneDrive voor Bedrijven en wordt veel gebruikt in organisaties. Beheerders kunnen controle voor delen in het auditlogboek gebruiken om te bepalen hoe delen wordt gebruikt in hun organisatie.

Tip

Als u geen E5-klant bent, kunt u alle premium-functies in Microsoft Purview gratis uitproberen. Gebruik de 90-daagse proefversie van Purview-oplossingen om te ontdekken hoe robuuste Purview-mogelijkheden uw organisatie kunnen helpen bij het beheren van gegevensbeveiliging en nalevingsbehoeften. Begin nu bij de hub Microsoft Purview-nalevingsportal proefversies. Meer informatie over registratie- en proefvoorwaarden.

Het SharePoint-schema voor delen

Gebeurtenissen voor delen (exclusief gebeurtenissen met betrekking tot beleid voor delen en koppelingen voor delen) verschillen op één primaire manier van bestands- en mapgerelateerde gebeurtenissen: de ene gebruiker voert een actie uit die van invloed is op een andere gebruiker. Bijvoorbeeld wanneer een resourcegebruiker A gebruiker B toegang geeft tot een bestand. In dit voorbeeld is Gebruiker A de handelende gebruiker en Gebruiker B de doelgebruiker. In het SharePoint-bestandsschema is de actie van de handelende gebruiker alleen van invloed op het bestand zelf. Wanneer gebruiker A een bestand opent, is de enige informatie die nodig is in de gebeurtenis FileAccessed de actieve gebruiker. Om dit verschil te verhelpen, is er een afzonderlijk schema, het SharePoint-schema voor delen genaamd, dat meer informatie over delen van gebeurtenissen vastlegt. Dit zorgt ervoor dat beheerders inzicht hebben in wie een resource heeft gedeeld en met welke gebruiker de resource is gedeeld.

Het schema Delen bevat twee extra velden in een controlerecord met betrekking tot gebeurtenissen voor delen:

  • TargetUserOrGroupType: Hiermee wordt aangegeven of de doelgebruiker of -groep een lid, gast, SharePointGroup, SecurityGroup of partner is.
  • TargetUserOrGroupName: Slaat de UPN of naam op van de doelgebruiker of groep waarmee een resource is gedeeld (gebruiker B in het vorige voorbeeld).

Deze twee velden kunnen, naast andere eigenschappen uit het auditlogboekschema, zoals Gebruiker, Bewerking en Datum, het volledige verhaal vertellen over welke gebruiker welke resource heeft gedeeld met wie en wanneer.

Er is nog een schema-eigenschap die belangrijk is voor het verhaal over delen. Wanneer u zoekresultaten voor auditlogboeken exporteert, wordt in de kolom AuditData in het geëxporteerde CSV-bestand informatie opgeslagen over gebeurtenissen voor delen. Wanneer een gebruiker bijvoorbeeld een site deelt met een andere gebruiker, wordt dit bereikt door de doelgebruiker toe te voegen aan een SharePoint-groep. De kolom AuditData legt deze informatie vast om beheerders context te bieden. Zie Stap 2 voor instructies over het parseren van de informatie in de kolom AuditData .

SharePoint-gebeurtenissen voor delen

Delen wordt gedefinieerd door wanneer een gebruiker (de actieve gebruiker) een resource wil delen met een andere gebruiker (de doelgebruiker ). Controlerecords met betrekking tot het delen van een resource met een externe gebruiker (een gebruiker die zich buiten uw organisatie bevindt en geen gastaccount heeft in de Azure Active Directory van uw organisatie) worden geïdentificeerd door de volgende gebeurtenissen, die worden vastgelegd in het auditlogboek:

  • SharingInvitationCreated: Een gebruiker in uw organisatie heeft geprobeerd een resource (waarschijnlijk een site) te delen met een externe gebruiker. Dit resulteert in een uitnodiging voor extern delen die naar de doelgebruiker wordt verzonden. Er wordt op dit moment geen toegang tot de resource verleend.
  • SharingInvitationAccepted: De externe gebruiker heeft de uitnodiging voor delen geaccepteerd die is verzonden door de actieve gebruiker en heeft nu toegang tot de resource.
  • AnonymousLinkCreated: Er wordt een anonieme koppeling (ook wel een 'Iedereen'-koppeling genoemd) gemaakt voor een resource. Omdat een anonieme koppeling kan worden gemaakt en vervolgens kan worden gekopieerd, is het redelijk om ervan uit te gaan dat elk document met een anonieme koppeling is gedeeld met een doelgebruiker.
  • AnonymousLinkUsed: Zoals de naam al aangeeft, wordt deze gebeurtenis geregistreerd wanneer een anonieme koppeling wordt gebruikt om toegang te krijgen tot een resource.
  • SecureLinkCreated: Een gebruiker heeft een koppeling 'specifieke personen' gemaakt om een resource te delen met een specifieke persoon. Deze doelgebruiker kan iemand zijn die zich buiten uw organisatie bevindt. De persoon met wie de resource wordt gedeeld, wordt geïdentificeerd in de controlerecord voor de gebeurtenis AddedToSecureLink . De tijdstempels voor deze twee gebeurtenissen zijn bijna identiek.
  • AddedToSecureLink: Er is een gebruiker toegevoegd aan een specifieke koppeling voor personen. Gebruik het veld TargetUserOrGroupName in deze gebeurtenis om de gebruiker te identificeren die is toegevoegd aan de bijbehorende koppeling voor specifieke personen. Deze doelgebruiker kan iemand zijn die zich buiten uw organisatie bevindt.

Controlewerkstroom delen

Wanneer een gebruiker (de actieve gebruiker) een resource wil delen met een andere gebruiker (de doelgebruiker), controleert SharePoint (of OneDrive voor Bedrijven) eerst of het e-mailadres van de doelgebruiker al is gekoppeld aan een gebruikersaccount in de directory van de organisatie. Als de doelgebruiker zich in de map bevindt (en een bijbehorend gastgebruikersaccount heeft), doet SharePoint het volgende:

  • Hiermee wijst u onmiddellijk de machtigingen van de doelgebruiker toe voor toegang tot de resource door de doelgebruiker toe te voegen aan de juiste SharePoint-groep en een AddedToGroup-gebeurtenis te logboeken.
  • Hiermee wordt een melding voor delen verzonden naar het e-mailadres van de doelgebruiker.
  • Registreert een SharingSet-gebeurtenis . Deze gebeurtenis heeft de beschrijvende naam 'Gedeeld bestand, map of site' onder Activiteiten voor delen en toegangsaanvragen in de activiteitenkiezer van het zoekprogramma voor auditlogboeken. Zie de schermopname in stap 1.

Als een gebruikersaccount voor de doelgebruiker zich niet in de map bevindt, doet SharePoint het volgende:

  • Registreert een van de volgende gebeurtenissen, op basis van hoe de resource wordt gedeeld:

    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink
    • SharingInvitationCreated (deze gebeurtenis wordt alleen geregistreerd wanneer de gedeelde resource een site is)
  • Wanneer de doelgebruiker de uitnodiging voor delen accepteert die naar hen is verzonden (door op de koppeling in de uitnodiging te klikken), registreert SharePoint een SharingInvitationAccepted-gebeurtenis en wijst de doelgebruiker machtigingen toe voor toegang tot de resource. Als aan de doelgebruiker een anonieme koppeling wordt verzonden, wordt de gebeurtenis AnonymousLinkUsed geregistreerd nadat de doelgebruiker de koppeling gebruikt om toegang te krijgen tot de resource. Voor beveiligde koppelingen wordt een FileAccessed-gebeurtenis geregistreerd wanneer een externe gebruiker de koppeling gebruikt om toegang te krijgen tot de resource.

Aanvullende informatie over de doelgebruiker wordt ook geregistreerd, zoals de identiteit van de gebruiker aan wie de uitnodiging is gericht en de gebruiker die de uitnodiging accepteert. In sommige gevallen kunnen deze gebruikers (of e-mailadressen) verschillen.

Resources identificeren die zijn gedeeld met externe gebruikers

Een algemene vereiste voor beheerders is het maken van een lijst met alle resources die zijn gedeeld met gebruikers buiten de organisatie. Met behulp van controle voor delen in Office 365 kunnen beheerders deze lijst genereren. Deze zijn als volgt.

Stap 1: Zoeken naar gebeurtenissen voor delen en de resultaten exporteren naar een CSV-bestand

De eerste stap is het doorzoeken van het auditlogboek naar gebeurtenissen voor delen. Zie Het auditlogboek doorzoeken voor meer informatie (inclusief de vereiste machtigingen) over het doorzoeken van het auditlogboek.

  1. Ga naar https://compliance.microsoft.com.

  2. Meld u aan met uw werk- of schoolaccount.

  3. Selecteer audit in het linkerdeelvenster van de Microsoft Purview-nalevingsportal.

    De paginaAudit wordt weergegeven.

  4. Selecteer onder Activiteitende optie Activiteiten voor delen en toegang tot aanvragen om te zoeken naar gebeurtenissen die te maken hebben met delen.

    Selecteer onder Activiteiten de optie Activiteiten voor delen en toegang tot aanvragen.

  5. Selecteer een datum- en tijdsbereik om de gebeurtenissen voor delen te vinden die binnen die periode hebben plaatsgevonden.

  6. Selecteer Zoeken om de zoekopdracht uit te voeren.

  7. Wanneer de zoekopdracht is voltooid en de resultaten worden weergegeven, selecteert u Resultaten exporteren>Alle resultaten downloaden.

    Nadat u de exportoptie hebt geselecteerd, wordt u in een bericht onderaan het venster gevraagd het CSV-bestand te openen of op te slaan.

  8. Selecteer Opslaan>als en sla het CSV-bestand op in een map op uw lokale computer.

Stap 2: de PowerQuery-editor gebruiken om het geëxporteerde auditlogboek op te maken

De volgende stap is het gebruik van de functie JSON-transformatie in de Power Query-editor in Excel om elke eigenschap in de kolom AuditData (die bestaat uit een JSON-object met meerdere eigenschappen) te splitsen in een eigen kolom. Hiermee kunt u kolommen filteren om records weer te geven die betrekking hebben op delen

Zie "Stap 2: de geëxporteerde autditlogboeken opmaken met de Power Query Editor' voor stapsgewijze instructies in Auditlogboekrecords exporteren, configureren en bekijken.

Stap 3: het CSV-bestand filteren op resources die worden gedeeld met externe gebruikers

De volgende stap bestaat uit het filteren van het CSV-bestand op de verschillende gebeurtenissen met betrekking tot delen die eerder zijn beschreven in de sectie SharePoint-gebeurtenissen voor delen . U kunt ook de kolom TargetUserOrGroupType filteren om alle records weer te geven waarvan de waarde van deze eigenschap Gast is.

Nadat u de instructies in de vorige stap hebt gevolgd om het CSV-bestand voor te bereiden met behulp van de PowerQuery-editor, gaat u als volgt te werk:

  1. Open het Excel-bestand dat u in stap 2 hebt gemaakt.

  2. Selecteer op het tabblad Startde optie Filter sorteren &en selecteer vervolgens Filter.

  3. Schakel in de vervolgkeuzelijst Filter sorteren & in de kolom Bewerkingen alle selecties uit, selecteer een of meer van de volgende gebeurtenissen met betrekking tot delen en selecteer ok.

    • SharingInvitationCreated
    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink

    In Excel worden de rijen weergegeven voor de gebeurtenissen die u hebt geselecteerd.

  4. Ga naar de kolom met de naam TargetUserOrGroupType en selecteer deze.

  5. Wis in de vervolgkeuzelijst Sorteerfilter & alle selecties, selecteer vervolgens TargetUserOrGroupType:Guest en selecteer OK.

    Nu worden in Excel de rijen weergegeven voor het delen van gebeurtenissen EN waar de doelgebruiker zich buiten uw organisatie bevindt, omdat externe gebruikers worden geïdentificeerd door de waarde TargetUserOrGroupType:Guest.

Tip

Voor de auditrecords die worden weergegeven, identificeert de kolom ObjectId de resource die is gedeeld met de doelgebruiker; bijvoorbeeld ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.