为数据访问治理报告启动站点访问评审
本文中的某些功能需要Microsoft SharePoint 高级版 - SharePoint 高级管理
SharePoint 管理中心中的网站访问评审允许 IT 管理员将查看数据访问治理报告的过程委托给过度共享网站的网站所有者。
此评审过程至关重要,因为:
- 由于符合性原因,IT 管理员无法访问文件级或项目级详细信息。
- 网站所有者最适合查看和解决自己网站的过度共享问题。
在启动站点访问评审之前,请确保满足以下要求:
- Microsoft SharePoint 高级版 - SharePoint 高级管理订阅。
- 非政府云租户环境。 政府云环境中不支持站点访问评审, (GCCH、GCC-Moderate、DoD、Gallatin) 。
- 管理员用于访问 SharePoint 管理中心的凭据。
- 网站所有者可以响应评审请求、采取必要的操作并完成评审。
可以对数据访问治理报表中列出的前 100 个站点启动网站访问评审。 这些评审专门针对所选报表中发现的过度共享问题。
启动评审时,系统会向网站所有者发送特定于上下文的电子邮件。 例如,如果评审针对“除外部用户以外的所有人共享的内容”类别,则电子邮件仅关注该报表的共享问题。
网站访问评审适用于以下报表:
- 共享链接报表 (任何人、PeopleInYourOrg、特定人员外部共享)
- “与除外部用户以外的所有人共享的内容”报表
- 使用权限的过度共享基线报表
使用管理员凭据登录到 SharePoint 管理中心。
展开 “报表 ”部分,然后选择“ 数据访问治理”。
在“与除外部用户以外的所有人共享的内容”下,选择“ 查看报表”。
选择报表并选择要查看的网站。
选择 “启动站点访问评审”。
在提供的部分中添加注释,为网站所有者提供上下文。
选择“ 发送 ”以启动评审请求。
对于只能通过 PowerShell ((例如使用权限) 的过度共享基线报表)的报表,也可以使用 PowerShell 命令启动站点访问评审。
若要跟踪所有启动的网站访问评审,请转到数据访问治理登陆页上的 “我的评审请求 ”选项卡。
启动评审后,其状态将保持“挂起”,直到网站所有者完成评审。 完成后,评审状态和批注将更新为审阅者的姓名以及完成日期和时间。 例如,如果评审 (失败,因为网站所有者) 的电子邮件无效,则会将其标记为失败。
对于通过 PowerShell 提供的报表(例如过度共享基线报表),可以使用此 PowerShell 命令跟踪评审。
启动评审时,网站所有者会收到一封电子邮件,其中包含:
- 相关标题。
- 如果有任何) , (评论。
- 查看网站权限的请求。
- 指向详细访问评审页面的链接,特定于数据访问治理报告中确定的问题。
下面是网站所有者可能收到的不同电子邮件的示例:
网站所有者可以在两个main区域查看和管理访问权限:
SharePoint 组:
文件/文件夹/列表) (单个项:
- 查看过去 28 天内与“除外部用户以外的所有人”共享的项目。
- 请参阅共享详细信息 (谁共享以及何时) 。
- 根据需要管理访问权限和删除权限:
选择 “管理访问权限”。
在“组”选项卡的“除外部用户以外的所有人”组下,选择该组,然后选择“删除访问权限”。 有关详细信息 ,请参阅停止共享 OneDrive 或 SharePoint 文件或文件夹或更改权限 。
网站所有者打开电子邮件后,会重定向到详细的共享链接报告。 此报告显示:
- 为其生成链接的文件,以及创建链接的日期和用户。
- “ 管理访问 ”按钮允许网站所有者删除或修改权限。
以下屏幕截图显示了详细的共享链接报表:
当网站所有者选择电子邮件时,他们将被重定向到网站访问评审页,他们可以在其中使用权限报告查看过度共享基线。 此报表可帮助网站所有者识别具有过多权限的项目并采取必要的操作。
SharePoint 管理员在数据访问治理报告中查看有权访问网站的用户数。 网站所有者可以看到此数字,以及权限在不同网站项之间的分配方式。 首先显示具有最多权限用户数的项目,使网站所有者能够处理公开最多的项目。
此列显示对网站、列表、文件夹或文件) (特定范围具有权限的用户总数。 它反映了该项目与其他项目相比的曝光情况。 但是,请务必注意,此数字并不唯一- 如果同一用户同时具有直接和间接权限,则会多次对其进行计数。
示例:
假设有一个具有以下权限的文件夹“F”:
- 组“A”中的 40 个用户
- 10 个具有直接权限的用户
- 通过共享链接具有权限的 20 个用户
通过共享链接) ,文件夹“F”的权限用户总数将为组“A”中的 80 (40 个直接用户 + 20 个。 不应用重复数据删除,因此,如果同一用户同时位于组“A”中,并且通过共享链接具有访问权限,则会对它们进行计数两次。
此外,跨所有范围的权限用户总数可能超过电子邮件或数据访问治理报表中显示的用户数。 这是因为用户可以对多个项目拥有权限。 虽然可能在网站级别对用户进行一次计数,但会针对他们有权访问的每个项目单独对用户进行计数。
此列显示有多少组对特定项或范围具有权限。 通常,大部分公开来自授予组的权限,尤其是具有多个成员的组。 可以通过调整组成员身份或从权限中删除不必要的组来减少暴露。
选择“ 组编号 ”以查看每个组的成员身份计数。 这有助于确定要针对哪些组来减少权限。
此部分显示:
- (范围共享的链接数,例如“任何人”或“组织中的人员”) 。
- 该项是公开给所有人还是 EEEU (除外部用户以外的所有人) 。
如果链接数较高或 EEEU/Everyone 列显示“是”,则表明该项目具有广泛公开性,网站所有者应专注于减少该项目的权限。
“管理访问权限”按钮提供了网站所有者通过以下方式采取措施的方法:
- 删除单个用户
- 修改组成员身份
- 删除链接
- 调整权限
对于 SharePoint 网站,选择此按钮会重定向到 SharePoint 组管理 页。 对于单个项,它将打开 “管理访问” 界面,以便更精细地控制权限。
网站所有者 ((如修改或删除权限) )进行必要的更改后,他们应:
- 选择“ 完成评审”。
- 添加任何相关注释。
- 提交评审。
批注将发送回 IT 管理员,评审将标记为已完成。
网站所有者可以同时接收和处理多个网站访问评审请求。 若要跟踪所有评审请求,请: