Använda delningsgranskning i granskningsloggen

Delning är en viktig aktivitet i SharePoint Online och OneDrive för företag och används ofta i organisationer. Administratörer kan använda delningsgranskning i granskningsloggen för att avgöra hur delning används i organisationen.

Tips

Om du inte är E5-kund kan du prova alla premiumfunktioner i Microsoft Purview kostnadsfritt. Använd den 90 dagar långa utvärderingsversionen av Purview-lösningar för att utforska hur robusta Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.

SharePoint-delningsschemat

Delningshändelser (inklusive händelser som rör delningsprinciper och delningslänkar) skiljer sig från fil- och mapprelaterade händelser på ett primärt sätt: en användare utför en åtgärd som påverkar en annan användare. Till exempel när en resurs Användare A ger användare B åtkomst till en fil. I det här exemplet är användare A den tillförordnade användaren och användare B är målanvändaren. I SharePoint-filschemat påverkar den tillförordnade användarens åtgärd endast själva filen. När användare A öppnar en fil är den enda information som behövs i händelsen FileAccessed den tillförordnade användaren. För att åtgärda den här skillnaden finns det ett separat schema, kallat SharePoint-delningsschemat, som samlar in mer information om delningshändelser. Detta säkerställer att administratörer har insyn i vem som delade en resurs och användaren som resursen delades med.

Delningsschemat innehåller ytterligare två fält i en granskningspost som rör delningshändelser:

  • TargetUserOrGroupType: Anger om målanvändaren eller gruppen är medlem, gäst, SharePointGroup, SecurityGroup eller partner.
  • TargetUserOrGroupName: Lagrar UPN eller namnet på målanvändaren eller gruppen som en resurs delades med (användare B i föregående exempel).

Dessa två fält, förutom andra egenskaper från granskningsloggschemat, till exempel Användare, Åtgärd och Datum, kan berätta hela historien om vilken användare som delade vilken resurs med vem och när.

Det finns en annan schemaegenskap som är viktig för delningsberättelsen. När du exporterar sökresultat för granskningsloggar lagrar kolumnen AuditData i den exporterade CSV-filen information om delningshändelser. När en användare till exempel delar en webbplats med en annan användare utförs detta genom att målanvändaren läggs till i en SharePoint-grupp. Kolumnen AuditData samlar in den här informationen för att tillhandahålla kontext för administratörer. Se Steg 2 för instruktioner om hur du parsar informationen i kolumnen AuditData .

SharePoint-delningshändelser

Delning definieras av när en användare (den tillförordnade användaren) vill dela en resurs med en annan användare ( målanvändaren ). Granskningsposter som rör delning av en resurs med en extern användare (en användare som är utanför organisationen och inte har ett gästkonto i organisationens Azure Active Directory) identifieras av följande händelser som loggas i granskningsloggen:

  • SharingInvitationCreated: En användare i din organisation försökte dela en resurs (troligen en webbplats) med en extern användare. Detta resulterar i en extern delningsinbjudan som skickas till målanvändaren. Ingen åtkomst till resursen beviljas just nu.
  • SharingInvitationAccepted: Den externa användaren har accepterat delningsinbjudan som skickats av den tillförordnade användaren och har nu åtkomst till resursen.
  • AnonymousLinkCreated: En anonym länk (kallas även för en "Alla"-länk) skapas för en resurs. Eftersom en anonym länk kan skapas och sedan kopieras är det rimligt att anta att alla dokument som har en anonym länk har delats med en målanvändare.
  • AnonymousLinkUsed: Som namnet antyder loggas den här händelsen när en anonym länk används för att komma åt en resurs.
  • SecureLinkCreated: En användare har skapat en "specifik personlänk" för att dela en resurs med en viss person. Den här målanvändaren kan vara någon som är extern för din organisation. Den person som resursen delas med identifieras i granskningsposten för händelsen AddedToSecureLink . Tidsstämplarna för dessa två händelser är nästan identiska.
  • AddedToSecureLink: En användare har lagts till i en specifik personlänk. Använd fältet TargetUserOrGroupName i den här händelsen för att identifiera användaren som lagts till i motsvarande specifika personlänk. Den här målanvändaren kan vara någon som är extern för din organisation.

Dela arbetsflöde för granskning

När en användare (den tillförordnade användaren) vill dela en resurs med en annan användare (målanvändaren) kontrollerar SharePoint (eller OneDrive för företag) först om målanvändarens e-postadress redan är associerad med ett användarkonto i organisationens katalog. Om målanvändaren finns i katalogen (och har ett motsvarande gästanvändarkonto) gör SharePoint följande:

  • Tilldelar omedelbart målanvändarbehörigheter för åtkomst till resursen genom att lägga till målanvändaren i lämplig SharePoint-grupp och loggar en AddedToGroup-händelse .
  • Skickar ett delningsmeddelande till målanvändarens e-postadress.
  • Loggar en SharingSet-händelse . Den här händelsen har ett eget namn på "Delad fil, mapp eller webbplats" under Aktiviteter för delnings- och åtkomstbegäran i aktivitetsväljaren för sökverktyget för granskningsloggar. Se skärmbilden i steg 1.

Om ett användarkonto för målanvändaren inte finns i katalogen gör SharePoint följande:

  • Loggar en av följande händelser baserat på hur resursen delas:

    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink
    • SharingInvitationCreated (den här händelsen loggas endast när den delade resursen är en webbplats)
  • När målanvändaren accepterar delningsinbjudan som skickas till dem (genom att klicka på länken i inbjudan) loggar SharePoint en SharingInvitationAccepted-händelse och tilldelar målanvändarens behörigheter för att komma åt resursen. Om målanvändaren får en anonym länk loggas händelsen AnonymousLinkUsed när målanvändaren använder länken för att komma åt resursen. För säkra länkar loggas en FileAccessed-händelse när en extern användare använder länken för att komma åt resursen.

Ytterligare information om målanvändaren loggas också, till exempel identiteten för den användare som inbjudan är till och den användare som accepterar inbjudan. I vissa fall kan dessa användare (eller e-postadresser) vara olika.

Så här identifierar du resurser som delas med externa användare

Ett vanligt krav för administratörer är att skapa en lista över alla resurser som har delats med användare utanför organisationen. Genom att använda delningsgranskning i Office 365 kan administratörer generera den här listan. Gör så här:

Steg 1: Sök efter delningshändelser och exportera resultatet till en CSV-fil

Det första steget är att söka i granskningsloggen efter delningshändelser. Mer information (inklusive nödvändiga behörigheter) om att söka i granskningsloggen finns i Sök i granskningsloggen.

  1. Gå till https://compliance.microsoft.com.

  2. Logga in med ditt arbets- eller skolkonto.

  3. I den vänstra rutan i efterlevnadsportal i Microsoft Purview väljer du Granska.

    Sidan Granskning visas.

  4. Under Aktiviteter väljer du Delnings- och åtkomstbegärandeaktiviteter för att söka efter delningsrelaterade händelser.

    Under Aktiviteter väljer du Aktiviteter för delning och åtkomstbegäran.

  5. Välj ett datum- och tidsintervall för att hitta de delningshändelser som inträffat inom den perioden.

  6. Välj Sök för att köra sökningen.

  7. När sökningen är klar och resultaten visas väljer du Exportera resultat>Ladda ned alla resultat.

    När du har valt exportalternativet uppmanas du att öppna eller spara CSV-filen med ett meddelande längst ned i fönstret.

  8. Välj Spara>som och spara CSV-filen i en mapp på den lokala datorn.

Steg 2: Använd PowerQuery-redigeraren för att formatera den exporterade granskningsloggen

Nästa steg är att använda JSON-transformeringsfunktionen i Power Query-redigeraren i Excel för att dela upp varje egenskap i kolumnen AuditData (som består av ett JSON-objekt med flera egenskaper) i sin egen kolumn. På så sätt kan du filtrera kolumner för att visa poster som är relaterade till delning

Stegvisa instruktioner finns i ”Steg 2: Formatera den exporterade granskningsloggen med Power Query-redigeraren” i Exportera, konfigurera och visa granskningsloggposter.

Steg 3: Filtrera CSV-filen för resurser som delas med externa användare

Nästa steg är att filtrera CSV:n för de olika delningsrelaterade händelser som tidigare beskrevs i avsnittet SharePoint-delningshändelser . Du kan också filtrera kolumnen TargetUserOrGroupType för att visa alla poster där värdet för den här egenskapen är Gäst.

När du har följt anvisningarna i föregående steg för att förbereda CSV-filen med hjälp av PowerQuery-redigeraren gör du följande:

  1. Öppna Excel-filen som du skapade i steg 2.

  2. På fliken Start väljer du Sortera & filter och sedan Filter.

  3. I listrutan Sortera & filter i kolumnen Åtgärder avmarkerar du alla val och väljer sedan en eller flera av följande delningsrelaterade händelser och väljer sedan Ok.

    • SharingInvitationCreated
    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink

    I Excel visas raderna för de händelser som du har valt.

  4. Gå till kolumnen TargetUserOrGroupType och välj den.

  5. I listrutan Sortera & filter avmarkerar du alla val och väljer sedan TargetUserOrGroupType:Guest och väljer Ok.

    Nu visar Excel raderna för delningshändelser OCH där målanvändaren befinner sig utanför organisationen, eftersom externa användare identifieras av värdet TargetUserOrGroupType:Guest.

Tips

För de granskningsposter som visas identifierar kolumnen ObjectId den resurs som delades med målanvändaren. till exempel ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.