Usar a auditoria de compartilhamento no log de auditoria

A partilha é uma atividade fundamental no SharePoint Online e no OneDrive para Empresas e é amplamente utilizada nas organizações. Os administradores podem utilizar a auditoria de partilha no registo de auditoria para determinar como a partilha é utilizada na organização.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

O esquema de Partilha do SharePoint

Os eventos de partilha (sem incluir eventos relacionados com a partilha de políticas e ligações de partilha) são diferentes dos eventos relacionados com ficheiros e pastas de uma forma primária: um utilizador está a executar uma ação que tem um efeito sobre outro utilizador. Por exemplo, quando um recurso Utilizador A dá ao Utilizador B acesso a um ficheiro. Neste exemplo, o Utilizador A é o utilizador em exercício e o Utilizador B é outilizador-alvo. No esquema ficheiro do SharePoint, a ação do utilizador em exercício só afeta o próprio ficheiro. Quando o Utilizador A abre um ficheiro, a única informação necessária no evento FileAccessed é o utilizador em exercício. Para resolver esta diferença, existe um esquema separado, denominado esquema de Partilha do SharePoint , que captura mais informações sobre a partilha de eventos. Isto garante que os administradores têm visibilidade sobre quem partilhou um recurso e o utilizador com quem o recurso foi partilhado.

O Esquema de partilha fornece dois campos adicionais num registo de auditoria relacionados com eventos de partilha:

• TargetUserOrGroupType: Identifica se o utilizador ou grupo de destino é Membro, Convidado, SharePointGroup, Grupo de Segurança ou Parceiro.
• TargetUserOrGroupName: Armazena o UPN ou o nome do utilizador ou grupo de destino com o qual um recurso foi partilhado (Utilizador B no exemplo anterior).

Estes dois campos, para além de outras propriedades do esquema de registo de auditoria, como Utilizador, Operação e Data, podem contar a história completa sobre que utilizador partilhou o recurso com quem e quando.

Existe outra propriedade de esquema que é importante para a história de partilha. Quando exporta os resultados da pesquisa do registo de auditoria, a coluna AuditData no ficheiro CSV exportado armazena informações sobre eventos de partilha. Por exemplo, quando um utilizador partilha um site com outro utilizador, isto é conseguido ao adicionar o utilizador de destino a um grupo do SharePoint. A coluna AuditData captura estas informações para fornecer contexto aos administradores. Consulte o Passo 2 para obter instruções sobre como analisar as informações na coluna AuditData .

Eventos de partilha do SharePoint

A partilha é definida por quando um utilizador (o utilizador em exercício ) quer partilhar um recurso com outro utilizador (o utilizador de destino ). Os registos de auditoria relacionados com a partilha de um recurso com um utilizador externo (um utilizador fora da sua organização e que não tem uma conta de convidado no Microsoft Entra ID da sua organização) são identificados pelos seguintes eventos, que são registados no registo de auditoria:

• SharingInvitationCreated: Um utilizador na sua organização tentou partilhar um recurso (provavelmente um site) com um utilizador externo. Isto resulta num convite de partilha externo enviado ao utilizador de destino. Neste momento, não é concedido acesso ao recurso.
• SharingInvitationAccepted: O utilizador externo aceitou o convite de partilha enviado pelo utilizador em exercício e agora tem acesso ao recurso.
• AnonymousLinkCreated: É criada uma ligação anónima (também denominada ligação "Qualquer pessoa") para um recurso. Uma vez que uma ligação anónima pode ser criada e, em seguida, copiada, é razoável assumir que qualquer documento que tenha uma ligação anónima foi partilhado com um utilizador de destino.
• AnonymousLinkUsed: Como o nome indica, este evento é registado quando uma ligação anónima é utilizada para aceder a um recurso.
• SecureLinkCreated: Um utilizador criou uma "ligação de pessoas específicas" para partilhar um recurso com uma pessoa específica. Este utilizador de destino pode ser alguém externo à sua organização. A pessoa com quem o recurso é partilhado é identificada no registo de auditoria do evento AddedToSecureLink . Os carimbos de data/hora destes dois eventos são quase idênticos.
• AddedToSecureLink: Um utilizador foi adicionado a uma ligação de pessoas específica. Utilize o campo TargetUserOrGroupName neste evento para identificar o utilizador adicionado à ligação de pessoas específicas correspondente. Este utilizador de destino pode ser alguém externo à sua organização.

Partilhar fluxo de trabalho de auditoria

Quando um utilizador (o utilizador em exercício) quer partilhar um recurso com outro utilizador (o utilizador de destino), o SharePoint (ou OneDrive para Empresas) verifica primeiro se o endereço de e-mail do utilizador de destino já está associado a uma conta de utilizador no diretório da organização. Se o utilizador de destino estiver no diretório (e tiver uma conta de utilizador convidado correspondente), o SharePoint efetua as seguintes ações:

• Atribui imediatamente as permissões de utilizador de destino para aceder ao recurso ao adicionar o utilizador de destino ao grupo sharePoint adequado e regista um evento AddedToGroup .
• Envia uma notificação de partilha para o endereço de e-mail do utilizador de destino.
• Regista um evento SharingSet . Este evento tem um nome amigável de "Ficheiro partilhado, pasta ou site" em Atividades de partilha e pedido de acesso no seletor de atividades da ferramenta de pesquisa de registos de auditoria. Veja a captura de ecrã no Passo 1.

Se uma conta de utilizador do utilizador de destino não estiver no diretório, o SharePoint faz o seguinte:

• Regista um dos seguintes eventos, com base na forma como o recurso é partilhado:

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (este evento é registado apenas quando o recurso partilhado é um site)

• Quando o utilizador de destino aceita o convite de partilha que lhe é enviado (ao clicar na ligação no convite), o SharePoint regista um evento SharingInvitationAccepted e atribui as permissões de utilizador de destino para aceder ao recurso. Se o utilizador de destino for enviado uma ligação anónima, o evento AnonymousLinkUsed é registado depois de o utilizador de destino utilizar a ligação para aceder ao recurso. Para ligações seguras, é registado um evento FileAccessed quando um utilizador externo utiliza a ligação para aceder ao recurso.

Também são registadas informações adicionais sobre o utilizador de destino, como a identidade do utilizador a que se destina o convite e o utilizador que aceita o convite. Em alguns casos, estes utilizadores (ou endereços de e-mail) podem ser diferentes.

Como identificar recursos partilhados com utilizadores externos

Um requisito comum para os administradores é criar uma lista de todos os recursos que foram partilhados com utilizadores fora da organização. Ao utilizar a auditoria de partilha no Office 365, os administradores podem gerar esta lista. Veja como.

Passo 1: procurar eventos de partilha e exportar os resultados para um ficheiro CSV

O primeiro passo é procurar eventos de partilha no registo de auditoria. Para obter mais informações (incluindo as permissões necessárias) sobre a pesquisa no registo de auditoria, consulte Pesquisar o registo de auditoria.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

Conclua os seguintes passos para procurar eventos de partilha:

1. Inicie sessão no portal do Microsoft Purview.

2. Selecione o cartão Solução de auditoria. Se o cartão Solução de auditoria não for apresentado, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo .

3. Na página Procurar e em Atividades - nomes amigáveis, selecione Atividades de partilha e pedido de acesso para procurar eventos relacionados com a partilha.

4. Selecione um intervalo de datas e horas para encontrar os eventos de partilha que ocorreram nesse período.

5. Selecione Pesquisar para executar a pesquisa.

6. Quando a pesquisa estiver concluída e os resultados forem apresentados, selecione Exportar resultados>Transferir todos os resultados.

   Depois de selecionar a opção de exportação, uma mensagem na parte inferior da janela pede-lhe para abrir ou guardar o ficheiro CSV.

7. Selecione Guardar>Como e guarde o ficheiro CSV numa pasta no seu computador local.

Portal de Conformidade

Conclua os seguintes passos para procurar eventos de partilha:

1. Inicie sessão no portal do Microsoft Purview.

2. No painel esquerdo do portal de conformidade do Microsoft Purview, selecione Auditoria.

3. Na página Auditoria e em Atividades, selecione Atividades de partilha e pedido de acesso para procurar eventos relacionados com a partilha.

   

4. Selecione um intervalo de datas e horas para encontrar os eventos de partilha que ocorreram nesse período.

5. Selecione Pesquisar para executar a pesquisa.

6. Quando a pesquisa terminar de ser executada e os resultados forem apresentados, selecione Exportar resultados>Transferir todos os resultados.

   Depois de selecionar a opção de exportação, uma mensagem na parte inferior da janela pede-lhe para abrir ou guardar o ficheiro CSV.

7. Selecione Guardar>Como e guarde o ficheiro CSV numa pasta no seu computador local.

Passo 2: utilizar o Editor do PowerQuery para formatar o registo de auditoria exportado

O passo seguinte consiste em utilizar a funcionalidade de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade na coluna AuditData (que consiste num objeto JSON de várias propriedades) na sua própria coluna. Isto permite-lhe filtrar colunas para ver registos relacionados com a partilha.

Para obter instruções passo a passo, consulte "Etapa 2: formatar o registro de auditoria exportado usando o Power Query Editor" em Exportar, configurar e visualizar registros de registro de auditoria.

Passo 3: filtrar o ficheiro CSV para recursos partilhados com utilizadores externos

O passo seguinte consiste em filtrar o CSV para os diferentes eventos relacionados com a partilha que foram descritos anteriormente na secção Eventos de partilha do SharePoint . Em alternativa, pode filtrar a coluna TargetUserOrGroupType para apresentar todos os registos em que o valor desta propriedade é Convidado.

Depois de seguir as instruções no passo anterior para preparar o ficheiro CSV com o editor do PowerQuery, faça o seguinte:

1. Abra o ficheiro do Excel que criou no Passo 2.

2. No separador Base , selecione Ordenar & Filtro e, em seguida, selecione Filtrar.

3. Na lista pendente Ordenar & Filtro na coluna Operações , desmarque todas as seleções e, em seguida, selecione um ou mais dos seguintes eventos relacionados com a partilha e, em seguida, selecione Ok.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   O Excel apresenta as linhas dos eventos que selecionou.

4. Aceda à coluna denominada TargetUserOrGroupType e selecione-a.

5. Na lista pendente Ordenar & Filtro , desmarque todas as seleções e, em seguida, selecione TargetUserOrGroupType:Guest e selecione Ok.

   Agora, o Excel apresenta as linhas para partilhar eventos E onde o utilizador de destino está fora da sua organização, porque os utilizadores externos são identificados pelo valor TargetUserOrGroupType:Guest.

Dica

Para os registos de auditoria apresentados, a coluna ObjectId identifica o recurso que foi partilhado com o utilizador de destino; por exemplo ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx, .