使用稽核記錄中的共用稽核
共用是 SharePoint Online 和商務用 OneDrive 中的重要活動,廣泛用於組織中。 系統管理員可以在稽核記錄中使用共用稽核,以判斷如何在其組織中使用共用。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
SharePoint 共享架構
共用事件 (不包括與共用原則和共用連結相關的事件) 與檔案和資料夾相關事件的主要方式不同:一個使用者正在執行對另一個使用者有影響的動作。 例如,當資源使用者 A 提供使用者 B 檔案的存取權時。 在此範例中,使用者 A 是 作用中的使用者 ,而使用者 B 是目標使用者。 在 SharePoint 檔案架構中,作用中用戶的動作只會影響檔案本身。 當使用者 A 開啟檔案時, FileAccessed 事件中唯一需要的資訊是作用中的使用者。 為了解決此差異,有一個稱為 SharePoint 共用 架構的個別架構,可擷取共用事件的詳細資訊。 這可確保系統管理員能夠看到誰共享資源,以及與資源分享的使用者。
共享架構會在與共用事件相關的稽核記錄中提供兩個額外的欄位:
- TargetUserOrGroupType: 識別目標使用者或群組是 Member、Guest、SharePointGroup、SecurityGroup 或 Partner。
- TargetUserOrGroupName: 儲存上一個範例中與 (使用者 B 共用之資源的目標使用者或群組的 UPN 或名稱) 。
除了稽核記錄架構中的其他屬性之外,這兩個字段,例如使用者、作業和日期,還可以完整說明哪些使用者與誰和何時共用哪些資源。
還有另一個對共用故事很重要的架構屬性。 當您匯出稽核記錄搜尋結果時,匯出 CSV 檔案中的 AuditData 資料行會儲存共用事件的相關信息。 例如,當使用者與另一個使用者共享網站時,這是藉由將目標使用者新增至 SharePoint 群組來完成。 AuditData 數據行會擷取此資訊,以提供系統管理員的內容。 如需如何剖析 AuditData 數據行中資訊的指示,請參閱步驟 2。
SharePoint 共用事件
當使用者 (行動 使用者) 想要與另一個使用者共用資源, (目標 使用者) 時,就會定義共用。 與外部使用者共用資源相關的稽核記錄, (組織外部且在組織Microsoft Entra ID) 中沒有來賓帳戶的使用者,會透過下列記錄在稽核記錄中的事件來識別:
- SharingInvitationCreated: 您組織中的使用者嘗試與外部使用者共享資源 (可能是網站) 。 這會導致外部共用邀請傳送給目標使用者。 此時不會授與資源的存取權。
- SharingInvitationAccepted: 外部使用者已接受由代理用戶傳送的共用邀請,現在可以存取資源。
- AnonymousLinkCreated: 為資源建立匿名連結 (也稱為「任何人」連結) 。 因為可以建立並複製匿名連結,所以合理地假設任何具有匿名連結的檔都已與目標用戶共用。
- AnonymousLinkUsed: 顧名思義,當使用匿名連結來存取資源時,會記錄此事件。
- SecureLinkCreated: 使用者已建立「特定人員連結」,以與特定人員共享資源。 此目標使用者可能是組織外部的人員。 與資源分享的人員會在 AddedToSecureLink 事件的稽核記錄中識別。 這兩個事件的時間戳幾乎完全相同。
- AddedToSecureLink: 使用者已新增至特定人員連結。 在此事件中使用 [TargetUserOrGroupName] 字 段來識別新增至對應特定人員鏈接的使用者。 此目標使用者可能是組織外部的人員。
共用稽核工作流程
當使用者 (行動使用者) 想要與目標使用者) (另一個使用者共用資源時,SharePoint (或商務用 OneDrive) 會先檢查目標使用者的電子郵件位址是否已與組織目錄中的使用者帳戶相關聯。 如果目標使用者位於目錄 (,且具有對應的來賓用戶帳戶) ,SharePoint 會執行下列動作:
- 將目標使用者新增至適當的 SharePoint 群組,並記錄 AddedToGroup 事件,立即指派存取資源的目標用戶權力。
- 將共用通知傳送至目標用戶的電子郵件位址。
- 記錄 SharingSet 事件。 此事件在稽核記錄搜尋工具之活動選擇器的 [ 共用和存取要求活動 ] 底下,有一個易記名稱「共用檔案、資料夾或網站」。 請參閱 步驟 1 中的螢幕快照。
如果目標使用者的使用者帳戶不在目錄中,SharePoint 會執行下列動作:
根據資源的共用方式,記錄下列其中一個事件:
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
- SharingInvitationCreated (只有當共用資源是網站時,才會記錄此事件)
當目標使用者透過單擊邀請) 中的連結來接受傳送給 (的共用邀請時,SharePoint 會記錄 SharingInvitationAccepted 事件,並指派目標使用者存取資源的許可權。 如果傳送匿名連結給目標使用者,則會在目標使用者使用連結來存取資源之後記錄 AnonymousLinkUsed 事件。 針對安全連結,當外部使用者使用連結來存取資源時,會記錄 FileAccessed 事件。
也會記錄有關目標使用者的其他資訊,例如邀請的使用者身分識別,以及接受邀請的使用者。 在某些情況下,這些使用者 (或電子郵件位址) 可能不同。
如何識別與外部使用者共享的資源
系統管理員的常見需求是建立已與組織外部用戶共用的所有資源清單。 透過在 Office 365 中使用共用稽核,系統管理員可以產生此清單。 方法如下。
步驟 1:搜尋共用事件並將結果匯出至 CSV 檔案
第一個步驟是搜尋稽核記錄以共用事件。 如需詳細資訊 (包括搜尋稽核記錄的必要許可權) ,請 參閱搜尋稽核記錄。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以搜尋共用事件:
登入 Microsoft 入口網站。
選取 [ 稽核 解決方案] 卡片。 如果未顯示稽核解決方案卡片,請選取 [檢視所有解決方案],然後從 [核心] 區段選取 [稽核]。
在 [ 搜尋] 頁面和 [ 活動 - 易記名稱] 底下,選取 [ 共用和存取要求活動 ] 來搜尋共用相關事件。
選取日期和時間範圍,以尋找該期間內發生的共用事件。
選取 [搜尋] 以執行搜尋。
當搜尋完成並顯示結果時,請選取 [ 匯出結果>][下載所有結果]。
選取匯出選項之後,視窗底部的訊息會提示您開啟或儲存 CSV 檔案。
選 取 [另存>新檔] ,並將 CSV 檔案儲存至本機電腦上的資料夾。
步驟 2:使用 PowerQuery 編輯器來格式化導出的稽核記錄
下一個步驟是使用 Excel 中 Power Query 編輯器中的 JSON 轉換功能,將 AuditData 資料行中的每個屬性分割 (其中包含多重屬性 JSON 物件,) 成自己的數據行。 這可讓您篩選數據行,以檢視與共用相關的記錄。
如需逐步指示,請參閱匯出、設定及檢視稽核記錄檔的記錄中的「步驟 2:使用 Power Query 編輯器設定匯出之稽核記錄的格式」(部分機器翻譯)。
步驟 3:針對與外部使用者共用的資源篩選 CSV 檔案
下一個步驟是篩選 CSV 中先前在 SharePoint 共用事件 一節中所述的不同共用相關事件。 或者,您可以篩選 TargetUserOrGroupType 數據行,以顯示此屬性值為 Guest 的所有記錄。
遵循上一個步驟中的指示,使用 PowerQuery 編輯器準備 CSV 檔案之後,請執行下列動作:
開啟您在步驟 2 中建立的 Excel 檔案。
在 [ 首頁] 索引標籤上,選 取 [排序 & 篩選],然後選取 [ 篩選]。
在 [作業] 數據行的 [排序 & 篩選] 下拉式清單中,清除所有選取專案,然後選取一或多個下列共用相關事件,然後選取 [確定]。
- SharingInvitationCreated
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
Excel 會顯示您所選取事件的數據列。
移至名為 TargetUserOrGroupType 的數據行並加以選取。
在 [ 排序 & 篩選] 下拉式清單中,清除所有選取專案,然後選取 [TargetUserOrGroupType:Guest],然後選取 [ 確定]。
現在 Excel 會顯示共用事件的數據列,以及目標用戶在組織外部的位置,因為外部使用者是以 TargetUserOrGroupType:Guest 值來識別。
提示
對於顯示的稽核記錄, ObjectId 數據行會識別與目標用戶共用的資源;例如 ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx
。