Проверки доступа к сайтам в Центре администрирования SharePoint позволяют ИТ-администраторам делегировать процесс проверки отчетов по управлению доступом к данным владельцам сайтов, которым предоставляется общий доступ.
Этот процесс проверки имеет решающее значение, так как:
ИТ-администраторы не могут получить доступ к сведениям на уровне файлов или элементов по причинам соответствия требованиям.
Владельцы сайтов лучше всего могут просматривать и устранять проблемы чрезмерного совместного доступа для своих собственных сайтов.
Предварительные условия
Перед началом проверки доступа к сайту убедитесь, что вы соответствуете следующим требованиям:
Неправовая облачная среда клиента. Проверки доступа к сайту не поддерживаются в облачных средах для государственных организаций (GCCH, GCC-Moderate, DoD, Gallatin).
Администратор учетные данные для доступа к Центру администрирования SharePoint.
Владельцы сайтов могут отвечать на запросы на проверку, выполнять необходимые действия и завершать проверку.
Как работает проверка доступа к сайту
Проверки доступа к сайтам можно инициировать для 100 лучших сайтов, перечисленных в отчетах об управлении доступом к данным. Эти проверки специально предназначены для проблем, связанных с избыточным доступом, выявленными в выбранных отчетах.
При запуске проверки система отправляет владельцу сайта сообщение электронной почты, зависят от контекста. Например, если проверка относится к категории "Содержимое, к которому предоставлен доступ всем, кроме внешних пользователей", сообщение электронной почты будет сосредоточено исключительно на проблемах с общим доступом для этого отчета.
Поддерживаемые отчеты
Проверки доступа к сайту доступны для следующих отчетов:
Отчеты по ссылке общего доступа (любой пользователь, PeopleInYourOrg, Определенные Люди совместно используются извне)
Отчеты "Содержимое предоставлено всем, кроме внешних пользователей"
Превышение общего доступа к базовому отчету с помощью разрешений
Как инициировать проверку доступа к сайту
Войдите в Центр администрирования SharePoint с учетными данными администратора.
Разверните раздел Отчеты и выберите Управление доступом к данным.
В разделе "Содержимое, к которым предоставлен доступ всем, кроме внешних пользователей", выберите Просмотреть отчеты.
Выберите отчет и сайты, которые вы хотите просмотреть.
Выберите Инициировать проверку доступа к сайту.
Добавьте комментарии в предоставленный раздел, чтобы предоставить контекст владельцам сайтов.
Нажмите кнопку Отправить , чтобы инициировать запрос на проверку.
Для отчетов, доступных только через PowerShell (например, базовый отчет о превышении общего доступа с помощью разрешений), проверки доступа к сайту также можно инициировать с помощью команд PowerShell.
Отслеживание проверок доступа к сайту
Чтобы отслеживать все инициированные проверки доступа к сайтам, перейдите на вкладку Мои запросы на проверку на целевой странице Управления доступом к данным.
После инициации проверки ее состояние остается "ожиданием" до тех пор, пока владелец сайта не завершит ее. После завершения состояние проверки и примечания будут обновлены с указанием имени рецензента, даты и времени завершения. Если проверка завершается ошибкой (например, из-за недопустимого сообщения электронной почты для владельца сайта), она помечается как неудачная.
Для отчетов, доступных с помощью PowerShell, таких как базовый отчет о превышении общего доступа, можно отслеживать проверки с помощью этой команды PowerShell.
Процесс проверки доступа к сайту для владельцев сайтов
При запуске проверки владельцы сайтов получают сообщение электронной почты, содержащее следующее:
Соответствующее название.
Ваши комментарии (если таковые есть).
Запрос на проверку разрешений сайта.
Ссылка на страницу подробной проверки доступа, относясь к обнаруженной проблеме в отчете об управлении доступом к данным.
Ниже приведены примеры различных сообщений электронной почты, которые может получать владелец сайта:
Содержимое, переданное отчету "Все, кроме внешних пользователей", за последние 28 дней:
Отчет о ссылках для общего доступа за последние 28 дней:
Превышение общего доступа к базовому отчету с помощью разрешений
Просмотр запросов на доступ к сайту "Все, кроме внешних пользователей"
Владельцы сайтов могут просматривать доступ и управлять ими в двух main областях:
Группы SharePoint:
Просмотрите, какие группы содержат "Все, кроме внешних пользователей".
Узнайте, когда и кем была добавлена группа.
При необходимости удалите "Все, кроме внешних пользователей" из групп:
Откройте страницу членства в группах SharePoint.
Выберите Все, кроме внешних пользователей, действия и Удалить пользователей из группы.
Отдельные элементы (файлы,папки/списки):
Просмотр элементов, к которым предоставлен общий доступ всем, кроме внешних пользователей, за последние 28 дней.
См. сведения о совместном доступе (кто и когда предоставил общий доступ).
Управление доступом и удаление разрешений по мере необходимости:
Когда владелец сайта откроет сообщение электронной почты, он перенаправляется в подробный отчет по ссылкам для общего доступа. В этом отчете показано следующее:
Файлы, для которых были созданы ссылки, с датой и пользователем, создавшим ссылку.
Кнопка Управление доступом позволяет владельцам сайтов удалять или изменять разрешения.
На следующем снимку экрана показан подробный отчет о ссылках для общего доступа:
Просмотр отчетов "Превышение базовых показателей с помощью разрешений"
Когда владельцы сайтов выбирают сообщение электронной почты, они перенаправляются на страницу проверки доступа к сайту, где они могут просмотреть базовый план переучета с помощью разрешений. Этот отчет помогает владельцам сайтов определять элементы с избыточными разрешениями и выполнять необходимые действия.
Администратор SharePoint просматривает количество пользователей с разрешениями на доступ к сайту в отчете об управлении доступом к данным. Владельцы сайтов могут видеть это число, а также распределение разрешений между разными элементами сайта. Элементы с наибольшим числом разрешенных пользователей отображаются первыми, что позволяет владельцу сайта обращаться к наиболее открытым элементам.
Общие сведения об отчете о разрешениях
Число разрешенных пользователей
В этом столбце показано общее число пользователей, имеющих разрешения на доступ к определенной область (сайт, список, папка или файл). Он отражает экспозицию этого элемента по сравнению с другими. Однако важно отметить, что это число не является уникальным. Если у одного и того же пользователя есть как прямые, так и косвенные разрешения, они учитываются несколько раз.
Пример.
Представьте папку "F" со следующими разрешениями:
40 пользователей из группы "A"
10 пользователей с прямыми разрешениями
20 пользователей с разрешениями через ссылки для общего доступа
Общее число разрешенных пользователей для папки "F" составит 80 (40 из группы "A" + 10 прямых + 20 через ссылки общего доступа). Дедупликация не применяется, поэтому, если один и тот же пользователь находится в группе "A" и имеет доступ через ссылку для общего доступа, они учитываются дважды.
Кроме того, общее число разрешенных пользователей во всех областях может превышать число пользователей, указанных в сообщении электронной почты или отчете об управлении доступом к данным. Это происходит из-за того, что пользователи могут иметь разрешения на несколько элементов. Хотя пользователь может быть подсчитано один раз на уровне сайта, он учитывается отдельно для каждого элемента, к который у него есть доступ.
Количество групп
В этом столбце показано, сколько групп имеют разрешения для определенного элемента или область. Часто большая часть информации приходится на разрешения, предоставленные группам, особенно группам с большим количеством участников. Уменьшить уязвимость можно путем изменения членства в группах или удаления ненужных групп из разрешений.
Выберите номер группы , чтобы просмотреть количество участников в каждой группе. Это помогает определить, на какие группы следует ориентироваться для сокращения разрешений.
Ссылки и EEEU/Все
В этом разделе отображаются:
Количество ссылок (например, "Любой пользователь" или "Люди в вашей организации"), которые были предоставлены для область.
Предоставляется ли элемент всем или EEEU (все, кроме внешних пользователей).
Если количество ссылок велико или в столбце EEEU/Все указано "Да", это является непосредственным показателем того, что элемент имеет широкую уязвимость, и владелец сайта должен сосредоточиться на сокращении разрешений для этого элемента.
Управление доступом
Кнопка "Управление доступом" позволяет владельцу сайта выполнить следующие действия:
Удаление отдельных пользователей
Изменение членства в группах
Удаление ссылок
Настройка разрешений
Для сайта SharePoint нажатие этой кнопки перенаправляется на страницу управления группами SharePoint . Для отдельных элементов открывается интерфейс управления доступом , позволяющий более детально управлять разрешениями.
Проверка доступа к сайту
После того как владелец сайта вносит необходимые изменения (например, изменение или удаление разрешений), он должен:
Выберите Завершить проверку.
Добавьте все соответствующие примечания.
Отправьте отзыв.
Комментарии отправляются ОБРАТНО ИТ-администратору, и проверка помечается как завершенная.
Управление несколькими проверками доступа к сайтам
Владельцы сайтов могут одновременно получать и обрабатывать несколько запросов на проверку доступа к сайту. Чтобы отслеживать все запросы на проверку, выполните приведенные далее действия.
Перейдите на страницу Отзывы на сайте с помощью следующих способов:
Ссылка в сообщении электронной почты для проверки.
Значок шестеренки на домашней странице сайта:
Выберите Параметры сайта.
Выберите Отзывы сайтов.
Просмотрите все ожидающие проверки доступа к сайту.
Для безопасности решения после развертывания удостоверения необходимо обеспечить правильное управление с помощью проверок доступа. Ознакомьтесь с планированием и реализацией проверок доступа.
Продемонстрировать основы безопасности данных, управления жизненным циклом, информационной безопасности и соответствия требованиям для защиты развертывания Microsoft 365.