Управление отчетами по управлению доступом к данным с помощью SharePoint Online PowerShell

Хотя управление доступом к данным доступно на портале Центра администрирования SharePoint, крупные организации обычно ищут поддержку PowerShell для управления масштабированием с помощью сценариев и автоматизации. В этой статье описывается использование модуля PowerShell SharePoint Online для управления отчетами по управлению доступом к данным.

Важно!

• Поддержка PowerShell для управления доступом к данным доступна в модуле Microsoft.Online.SharePoint.PowerShell и версии или более поздней версии 16.0.25409 .
• Connect-SPOService Выполните команду без параметра Credential. В соответствии с рекомендациями по безопасности вход с помощью параметра Credential не поддерживается.

Что нужно для создания отчета об управлении доступом к данным?

Каковы требования к лицензии?

Ваша организация должна иметь правильную лицензию и соответствовать определенным административным разрешениям или ролям для использования функции, описанной в этой статье.

Во-первых, ваша организация должна иметь одну из следующих базовых лицензий:

• Office 365 E3, E5 или A5
• Microsoft 365 E1, E3, E5 или A5

Кроме того, вам потребуется по крайней мере одна из следующих лицензий:

• Microsoft 365 Copilot лицензия. По крайней мере одному пользователю в вашей организации должна быть назначена лицензия Copilot (этот пользователь не должен быть администратором SharePoint).
• Лицензия на расширенное управление Microsoft SharePoint: Доступно как отдельная покупка.

Требования к администратору

Вы должны быть администратором SharePoint или иметь эквивалентные разрешения.

Дополнительные сведения

Если в вашей организации есть лицензия Copilot и по крайней мере одному сотруднику вашей организации назначена лицензия Copilot, администраторы SharePoint автоматически получают доступ к функциям расширенного управления SharePoint, необходимым для развертывания Copilot.

Для организаций без лицензии Copilot можно использовать функции расширенного управления SharePoint, приобретя автономную лицензию на расширенное управление SharePoint.

Что нужно иметь перед началом работы?

Для выполнения сценариев администрирования PowerShell необходимо быть администратором SharePoint или иметь эквивалентные разрешения в Microsoft 365.

Прежде чем использовать скрипты PowerShell, описанные в этой статье, необходимо выполнить следующие действия.

1. Если вы еще не сделали этого, скачайте последнюю командная консоль SharePoint Online.

   Примечание.

   Если вы установили предыдущую версию командная консоль SharePoint Online, перейдите в раздел Установка и удаление программ и удаление командная консоль SharePoint Online.

2. В консоли PowerShell подключитесь к SharePoint. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

Разделы справки создавать все отчеты с помощью PowerShell?

Используйте команду Start-SPODataAccessGovernanceInsight , чтобы создать все отчеты с соответствующими фильтрами и параметрами.

Разделы справки создать отчет о состоянии разрешений сайта с помощью PowerShell?

Вы должны понимать настройку разрешений в вашей организации, особенно после внедрения Copilot, так как она учитывает разрешения пользователей и содержимого. Риск раскрытия данных Copilot увеличивается с числом пользователей, имеющих разрешения и доступ. Отчет о состоянии разрешений сайта содержит подробные сведения о потенциальной уязвимости на основе уникального числа пользователей, имеющих разрешения на каждый сайт SharePoint и OneDrive в вашей организации.

Рекомендуется сначала запустить этот отчет, чтобы получить краткий обзор разрешений в организации. Этот отчет представляет собой snapshot отчет. Он предоставляет последнюю snapshot или состояние всей организации на дату создания отчета.

Чтобы создать отчет для всех сайтов SharePoint, выполните следующую команду:

Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 0  -Name "OrgWidePermissionedUsersReportSharePoint"

Чтобы создать отчет для всех учетных записей OneDrive для бизнеса, выполните следующую команду:

Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload OneDriveForBusiness -CountOfUsersMoreThan 0  -Name "OrgWidePermissionedUsersReportODB"

Учитывайте следующие важные моменты в отчете:

• Поскольку эти отчеты являются исчерпывающими и, скорее всего, охватывают все данные в клиенте, максимально допустимое количество отчетов составляет 2; по одному на рабочую нагрузку.
• Создание первого отчета всегда занимает до пяти дней, независимо от размера организации. Последующие отчеты будут завершены в течение 24 часов.
• Эти отчеты собирают данные за 48 часов до создания отчета.
• После создания отчеты могут выполняться снова каждые 30 дней.

Эти команды создают список всех сайтов, где по крайней мере один пользователь может получить доступ к любому содержимому на сайте. Дополнительные сведения о том, как интерпретировать отчет, см . в разделе Просмотр разрешений сайта для отчета организации.

После того как вы поймете степень чрезмерного использования в клиенте, вы можете отслеживать дальнейшие отклонения, особенно от активных сайтов за последние 28 дней. За последние 28 дней вы можете создавать отчеты о сайтах, которые активны в ключевых факторах потенциального общего доступа, таких как "Общий доступ к ссылкам" или содержимое, к которому предоставлен общий доступ всем, кроме внешних пользователей.

Разделы справки создать отчет о состоянии разрешений пользователя с помощью PowerShell?

Хотя отчет о разрешениях сайта для всей организации помогает понять текущее состояние разрешений во всем клиенте, существуют сценарии, в которых может потребоваться обнаружить сайты, доступные для данного пользователя, как описано в статье Получение базовых показателей разрешений сайта вашей организации с помощью отчета snapshot. В следующем разделе описывается, как управление доступом к данным помогает создать такой отчет с помощью PowerShell.

Во-первых, необходимо получить имя участника-пользователя или участника-пользователя , для которого необходимо создать отчет с помощью команды Get-MgUser. Затем выполните следующую команду PowerShell, которая активирует отчет со списком сайтов SharePoint, доступных для этих пользователей.

Start-SPODataAccessGovernanceInsight -ReportEntity PermissionsReport -ReportType Snapshot -Workload SharePoint -Name "UserSharePointReport" -UserEmailList "a@contoso.com","b@contoso.com"

Важно!

Хотя параметр называется UserEmailList, для отчета требуются имена субъектов-пользователей. В одном запросе можно включить до 100 пользователей.

Чтобы получить список учетных записей OneDrive, доступных для указанных пользователей, укажите рабочую нагрузку как OneDriveForBusiness.

Start-SPODataAccessGovernanceInsight -ReportEntity PermissionsReport -ReportType Snapshot -Workload OneDriveForBusiness -Name "UserOneDriveReport" -UserEmailList "a@contoso.com","b@contoso.com"

Разделы справки создать метку конфиденциальности в отчете о файлах с помощью PowerShell?

Выполните эту команду PowerShell, чтобы запустить отчет, чтобы получить список сайтов, на которых определенные элементы были помечены заданной меткой, на дату создания отчета.

Сначала получите имя метки или GUID метки с помощью модуля PowerShell соответствия требованиям безопасности &.

Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType

Затем используйте имя и GUID, чтобы получить сайты с файлами, помеченными указанным именем метки или GUID.

Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret

Примечание.

В настоящее время отчет для OneDriveForBusiness учетных записей с помеченными файлами не поддерживается.

Разделы справки создавать отчеты об активности канала общего доступа с помощью PowerShell?

Вы можете использовать отчеты о действиях канала общего доступа для выявления сайтов, которые активны в совместной работе и нуждаются в более быстром вмешательстве для снижения потенциального риска чрезмерного использования. Эти последние отчеты на основе действий определяют сайты, которые создают наибольшее количество ссылок общего доступа за последние 28 дней.

Вы можете создать следующие отчеты о действиях канала общего доступа:

• Сайты, создавшие ссылки общего доступа "Любой пользователь" за последние 28 дней
• Сайты, создавшие ссылки для обмена "Люди в организации" за последние 28 дней
• Сайты, на которых за последние 28 дней были созданы ссылки для общего доступа "Определенные люди" (гости)

Важно!

Если у вас нет лицензии Microsoft SharePoint Advanced Management, необходимо включить сбор данных для последних отчетов на основе действий, чтобы собирать соответствующие данные аудита для создания отчета. После включения данные собираются и хранятся в течение 28 дней. Отчет можно создать через 24 часа, и он содержит данные из точки сбора. Если вы не создаете отчеты даже один раз в три месяца, сбор данных приостанавливается и его необходимо снова включить. Чтобы включить сбор данных для этих отчетов, см. статью Разделы справки управлять сбором данных для последних отчетов на основе действий?.

Разделы справки отчет о ссылках, созданных за последние 28 дней, с помощью PowerShell?

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity

Укажите значение рабочей нагрузки, чтобы OneDriveForBusiness получить все учетные записи OneDrive с одинаковыми критериями.

Разделы справки отчет о ссылках общего доступа PeopleInYourOrg, созданных за последние 28 дней?

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity

Укажите значение рабочей нагрузки, чтобы OneDriveForBusiness получить все учетные записи OneDrive с одинаковыми критериями.

Разделы справки отчет о ссылках на доступ к определенным пользователям (гостям), созданным за последние 28 дней?

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity

Укажите значение рабочей нагрузки, чтобы OneDriveForBusiness получить все учетные записи OneDrive с одинаковыми критериями.

Разделы справки определить содержимое, к которым за последние 28 дней предоставили доступ всем, кроме внешних пользователей, с помощью PowerShell?

Хотя ссылки на общий доступ являются одним из возможных участник для потенциального чрезмерного использования, другим ключевым участник является "Все, кроме внешних пользователей" (EEEU). EEEU делает содержимое общедоступным (видимым для всей организации) и позволяет другим пользователям легко обнаруживать содержимое и получать доступ. Эти отчеты определяют сайты, которые активно использовали EEEU в различных областях в течение последних 28 дней.

Можно создать следующие отчеты о действиях EEEU:

• Сайты, к которым предоставлен общий доступ всем, кроме внешних пользователей за последние 28 дней
• Элементы, к которым предоставлен общий доступ всем, кроме внешних пользователей за последние 28 дней

Важно!

В настоящее время отчет EEEU для OneDrive для бизнеса поддерживает только уровень элемента. Отчеты EEEU для OneDrive для бизнеса на уровне сайта не поддерживаются. Если у вас нет лицензии Microsoft SharePoint Advanced Management, необходимо включить сбор данных для последних отчетов на основе действий, чтобы собирать соответствующие данные аудита для создания отчета. После включения данные собираются и хранятся в течение 28 дней. Отчет можно создать через 24 часа, и он содержит данные из точки сбора. Если вы не создаете отчеты даже один раз в три месяца, сбор данных приостанавливается и его необходимо снова включить. Чтобы включить сбор данных для этих отчетов, см. статью Разделы справки управлять сбором данных для последних отчетов на основе действий?.

Разделы справки определить сайты, к которым за последние 28 дней предоставили доступ все, кроме внешних пользователей, с помощью PowerShell?

При добавлении EEEU к членству на сайте (владельцы, участники или посетители) все содержимое сайта становится общедоступным и более подвержено чрезмерному совместному доступу. Выполните следующую команду PowerShell, чтобы активировать отчет для записи таких сайтов за последние 28 дней для сайтов SharePoint:

Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"

Разделы справки определить элементы, к которым за последние 28 дней предоставили доступ всем, кроме внешних пользователей, с помощью PowerShell?

Выполните следующую команду PowerShell, чтобы активировать отчет для записи определенных элементов (файлов, папок и списков), которые были переданы EEEU за последние 28 дней для сайтов SharePoint:

Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"

Примечание.

Замените значение рабочей нагрузки на OneDriveForBusiness, чтобы элементы были доступны всем, кроме внешних пользователей, для всех учетных записей OneDrive с одинаковыми критериями.

Разделы справки управлять сбором данных для последних отчетов на основе действий?

Важно!

Если у вас нет лицензии Microsoft SharePoint Advanced Management, необходимо включить сбор данных для последних отчетов на основе действий, чтобы собирать соответствующие данные аудита для создания отчета. После включения отчет можно создать через 24 часа, и он будет содержать данные из точки сбора. Данные хранятся в течение 28 дней. Если вы не создаете отчеты даже один раз в три месяца, сбор данных приостанавливается и его необходимо снова включить.

Разделы справки включить сбор данных для последних отчетов на основе действий?

Эта команда PowerShell начинает сбор данных аудита для отчетов о действиях за последние 28 дней.

Start-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone

Применимые значения для параметра ReportEntity: SharingLinksAnyone, SharingLinksPeopleInYourOrg, SharingLinksGuests, EveryoneExceptExternalUsersAtSite, EveryoneExceptExternalUsersForItems, CopilotAppInsights

Разделы справки отключить сбор данных для последних отчетов на основе действий?

Эта команда PowerShell прекращает сбор данных аудита для отчетов о действиях за последние 28 дней.

Stop-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone

Разделы справки проверка состояние сбора данных для последних отчетов на основе действий?

После включения сбора данных отчеты можно создать через 24 часа. Чтобы проверка, можно ли создавать отчеты, используйте команду PowerShell Get-SPOAuditDataCollectionStatusForActivityInsights. Команда возвращает текущее состояние сбора данных, которое может иметь значение NotInitiated, InProgressили Paused. Отчеты могут создаваться, если состояние равно InProgress.

Get-SPOAuditDataCollectionStatusForActivityInsights -ReportEntity SharingLinks_Anyone

Разделы справки отслеживать отчеты с помощью PowerShell?

Важно!

При создании всех отчетов в качестве выходных данных используется GUID, который можно использовать для отслеживания состояния отчета.

Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret

ReportId                             Status
--------                             ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted

Используйте команду Get-SPODataAccessGovernanceInsight , чтобы получить текущее состояние определенного отчета об управлении доступом к данным с помощью идентификатора отчета.

Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1

ReportId          : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity      : SharingLinks_Anyone
Status            : InQueue
Workload          : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime   : 11/13/2024 20:09:23
ReportStartTime   : 10/17/2024 19:32:33
ReportEndTime     : 11/13/2024 19:32:33
ReportType        : RecentActivity
SitesFound        : 120

ReportEndTime И ReportStartTime указывают период данных для создания отчета. Состояние помечается как Completed по завершении создания отчета.

Вы также можете просмотреть текущее состояние отчетов DAG, используя фильтр ReportEntity вместо идентификатора. Отображается reportID в выходных данных и требуется позже для скачивания определенного отчета.

Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers

ReportId             : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName           : PermissionReportFor1AsOfSept
ReportEntity         : PermissionedUsers
Status               : Completed
Workload             : SharePoint
TriggeredDateTime    : 09/18/2024 11:06:16
CreatedDateTime      : 09/22/2024 12:12:48
ReportType           : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy              : All
Sensitivity          : {All}
Templates            : {All}

ReportId             : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName           : PermissionReportFor1AsOfOct
ReportEntity         : PermissionedUsers
Status               : Completed
Workload             : SharePoint
TriggeredDateTime    : 10/09/2024 14:15:40
CreatedDateTime      : 10/09/2024 15:18:23
ReportType           : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy              : All
Sensitivity          : {All}
Templates            : {All}

Разделы справки просматривать и скачивать отчеты с помощью PowerShell?

Чтобы скачать определенный отчет, требуется идентификатор отчета. Получите идентификатор отчета с помощью команды Get-SPODataAccessGovernanceInsight и используйте команду Export-SPODataAccessGovernanceInsight , чтобы скачать отчет по указанному пути.

Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"

Эта команда скачивает CSV-файл по указанному пути. Подробные сведения о CSV-файле или представлении для каждого отчета см. в статье Как получить доступ к отчетам по управлению доступом к данным в Центре администрирования SharePoint.

Примечание.

Путь к загрузке по умолчанию — это папка Загрузки.

Разделы справки выполнять действия по исправлению с помощью PowerShell?

После создания отчетов об управлении доступом к данным можно выполнять действия по исправлению, как описано в разделе Действия по исправлению из отчетов об управлении доступом к данным. В следующем разделе описаны команды PowerShell для активации и отслеживания проверки доступа к сайту в качестве действия по исправлению.

Разделы справки инициировать проверку доступа к сайту с помощью PowerShell?

Используйте команду Start-SPOSiteReview , чтобы инициировать проверку доступа к сайту для определенного сайта, указанного в отчете об управлении доступом к данным. Отчет об управлении доступом к данным содержит контекст, в котором следует инициировать проверку. Получите идентификатор отчета и идентификатор сайта из CSV-файла и предоставьте комментарии, чтобы дать владельцу сайта ясность относительно цели проверки.

Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity            : PermissionedUsers
Status                  : Pending
AdminComment            : Check for org wide access
SiteName                : All Company

Эта команда создает сообщения электронной почты владельцу сайта, как описано в разделе Как инициировать проверку доступа к сайту.

Разделы справки отслеживать проверки доступа к сайту с помощью PowerShell?

Используйте команду Start-SPOSiteReview для отслеживания состояния проверок доступа к сайту. Для определенных проверок можно использовать ReviewID значение, как показано в выходных данных. Чтобы получить все проверки, связанные с модулем отчетов, используйте ReportEntity параметр .

Get-SPOSiteReview -ReportEntity PermissionedUsers

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime   : 13-11-2024 23:25:41
ReportEndDateTime       : 13-11-2024 23:25:41
ReportEntity            : PermissionedUsers
Status                  : Pending
AdminComment            : Check for org wide access
SiteName                : All Company
ReviewerEmail           :
ReviewerComment         :

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime   : 15-10-2024 09:24:47
ReportEndDateTime       : 15-10-2024 11:39:52
ReportEntity            : PermissionedUsers
Status                  : Completed
AdminComment            : Check for org wide access
SiteName                : All Company
ReviewerEmail           : Jon@contosofinance.com
ReviewerComment         : Removed EEEU for sensitive documents