在审核日志中使用共享审核

共享是 SharePoint Online 和 OneDrive for Business 中的一项关键活动,在组织中广泛使用。 管理员可以使用审核日志中的共享审核来确定在其组织中如何使用共享。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

SharePoint 共享架构

共享事件 (不包括与共享策略和共享链接相关的事件,) 与文件和文件夹相关的事件有一种主要方式不同:一个用户正在执行对另一个用户产生影响的操作。 例如,当资源用户 A 向用户 B 授予对文件的访问权限时。 在此示例中,用户 A 是 操作用户 ,用户 B 是目标用户。 在 SharePoint 文件架构中,操作用户的操作仅影响文件本身。 当用户 A 打开文件时, FileAccessed 事件中唯一需要的信息是操作用户。 为了解决这种差异,有一个单独的架构,称为 SharePoint 共享架构 ,用于捕获有关共享事件的详细信息。 这可确保管理员能够了解共享资源的人员以及共享资源的用户。

共享架构在与共享事件相关的审核记录中提供了两个附加字段:

  • TargetUserOrGroupType: 标识目标用户或组是成员、来宾、SharePointGroup、SecurityGroup 还是合作伙伴。
  • TargetUserOrGroupName: 存储与上一个示例中) 用户 B 共享资源的目标用户或组的 UPN 或名称 (。

除了审核日志架构中的其他属性(如 User、Operation 和 Date)之外,这两个字段可以说明与谁以及何时共享了哪些资源的用户的完整情况。

还有另一个对共享故事很重要的架构属性。 导出审核日志搜索结果时,导出的 CSV 文件中的 AuditData 列存储有关共享事件的信息。 例如,当用户与另一个用户共享网站时,可以通过将目标用户添加到 SharePoint 组来完成此操作。 AuditData 列捕获此信息,以便为管理员提供上下文。 有关如何分析 AuditData 列中的信息的说明,请参阅步骤 2

SharePoint 共享事件

当某个用户 (该用户) 想要与另一个用户共享资源 (目标 用户) 时,共享的定义是。 与外部用户共享资源相关的审核记录 (组织外部用户,并且组织Microsoft Entra ID) 中没有来宾帐户的用户由以下事件标识,这些事件记录在审核日志中:

  • SharingInvitationCreated: 组织中的用户尝试与外部用户共享资源 (网站) 。 这会导致向目标用户发送外部共享邀请。 此时不会授予对资源的访问权限。
  • SharingInvitationAccepted: 外部用户已接受代理用户发送的共享邀请,现在有权访问资源。
  • AnonymousLinkCreated: 为资源创建匿名链接 (也称为“任何人”链接) 。 由于可以创建并复制匿名链接,因此可以合理地假设任何具有匿名链接的文档已与目标用户共享。
  • AnonymousLinkUsed: 顾名思义,使用匿名链接访问资源时,会记录此事件。
  • SecureLinkCreated: 用户已创建“特定人员链接”,以便与特定人员共享资源。 此目标用户可能是组织外部的人员。 与共享资源的人员在 AddedToSecureLink 事件的审核记录中标识。 这两个事件的时间戳几乎相同。
  • AddedToSecureLink: 用户已添加到特定人员链接。 在此事件中使用 TargetUserOrGroupName 字段标识添加到相应特定人员链接的用户。 此目标用户可能是组织外部的人员。

共享审核工作流

当用户 (操作用户) 想要与目标用户) (其他用户共享资源时,SharePoint (或 OneDrive for Business) 首先检查目标用户的电子邮件地址是否已与组织目录中的用户帐户相关联。 如果目标用户位于 (目录中,并且具有相应的来宾用户帐户) ,SharePoint 将执行以下操作:

  • 通过将目标用户添加到相应的 SharePoint 组,立即分配目标用户访问资源的权限,并记录 AddedToGroup 事件。
  • 将共享通知发送到目标用户的电子邮件地址。
  • 记录 SharingSet 事件。 此事件在审核日志搜索工具的活动选取器中的“ 共享和访问请求活动 ”下具有友好名称“共享文件、文件夹或网站”。 请参阅 步骤 1 中的屏幕截图。

如果目标用户的用户帐户不在目录中,SharePoint 将执行以下操作:

  • 根据资源的共享方式记录以下事件之一:

    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink
    • SharingInvitationCreated (仅当共享资源是网站)
  • 当目标用户通过单击邀请) 中的链接 (接受发送给他们的共享邀请时,SharePoint 会记录 SharingInvitationAccepted 事件,并分配目标用户访问资源的权限。 如果向目标用户发送匿名链接,则目标用户使用该链接访问资源后,将记录 AnonymousLinkUsed 事件。 对于安全链接,当外部用户使用链接访问资源时,将记录 FileAccessed 事件。

还会记录有关目标用户的其他信息,例如邀请用户的身份和接受邀请的用户的身份。 在某些情况下,这些用户 (或电子邮件地址) 可能不同。

如何识别与外部用户共享的资源

管理员的一个常见要求是创建已与组织外部用户共享的所有资源的列表。 通过使用 Office 365 中的共享审核,管理员可以生成此列表。 方法如下:

步骤 1:搜索共享事件并将结果导出到 CSV 文件

第一步是在审核日志中搜索共享事件。 有关搜索审核日志 (包括所需权限) 的详细信息,请参阅 搜索审核日志

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规性门户

完成以下步骤以搜索共享事件:

  1. 登录到 Microsoft Purview 门户

  2. 选择“ 审核 解决方案”卡。 如果未显示“审核解决方案”卡,请选择“查看所有解决方案”,然后从“核心”部分选择“审核”。

  3. “搜索 ”页和 “活动 - 友好名称”下,选择“ 共享和访问请求活动 ”以搜索与共享相关的事件。

  4. 选择日期和时间范围,查找在该时间段内发生的共享事件。

  5. 选择“搜索”以运行搜索。

  6. 完成搜索并显示结果后,选择“ 导出结果>”“下载所有结果”。

    选择导出选项后,窗口底部会显示一条消息,提示你打开或保存 CSV 文件。

  7. 选择“另存为>”,然后将 CSV 文件保存到本地计算机上的文件夹。

步骤 2:使用 PowerQuery 编辑器设置导出的审核日志的格式

下一步是使用 Excel 中的 Power Query 编辑器中的 JSON 转换功能,将 AuditData 列中的每个属性拆分 (该列包含多属性 JSON 对象) 到其自己的列中。 这允许筛选列以查看与共享相关的记录。

有关分步说明,请参阅导出、配置和查看审核日志记录中的“步骤 2:使用 Power Query 编辑器转换 JSON 对象”。

步骤 3:筛选与外部用户共享的资源的 CSV 文件

下一步是筛选 CSV 中之前在 SharePoint 共享事件部分中介绍的不同共享相关事件。 或者,可以筛选 TargetUserOrGroupType 列,以显示此属性的值为 Guest 的所有记录。

按照上一步中的说明使用 PowerQuery 编辑器准备 CSV 文件后,执行以下操作:

  1. 打开在步骤 2 中创建的 Excel 文件。

  2. 在“ 开始 ”选项卡上,选择“ & 筛选器排序”,然后选择“ 筛选器”。

  3. “操作”列的“排序 & 筛选器”下拉列表中,清除所有选择,然后选择以下一个或多个与共享相关的事件,然后选择“确定”。

    • SharingInvitationCreated
    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink

    Excel 显示所选事件的行。

  4. 转到名为 TargetUserOrGroupType 的列并将其选中。

  5. “排序 & 筛选器 ”下拉列表中,清除所有选择,然后选择“ TargetUserOrGroupType:Guest”,然后选择“ 确定”。

    现在,Excel 会显示用于共享事件的行,目标用户位于组织外部,因为外部用户由 值 TargetUserOrGroupType:Guest 标识。

提示

对于显示的审核记录, ObjectId 列标识与目标用户共享的资源;例如 ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx