Berichte zur Datenzugriffsgovernance für SharePoint-Websites
Einige Features in diesem Artikel erfordern Microsoft SharePoint Premium – SharePoint Advanced Management
Da die Zersiedelung und übermäßig viele SharePoint-Websites mit exponentiellem Datenwachstum zunehmen, benötigen Organisationen Hilfe bei der Steuerung ihrer Daten. Berichte zur Datenzugriffsgovernance können Ihnen helfen, den Zugriff auf SharePoint-Daten zu steuern. Mithilfe der Berichte können Sie Websites ermitteln, die potenziell übermäßig freigegebene oder vertrauliche Inhalte enthalten. Sie können diese Berichte verwenden, um die entsprechenden Sicherheits- und Konformitätsrichtlinien zu bewerten und anzuwenden.
Anforderungen
Dieses Feature erfordert entweder Microsoft 365 E5 oder Microsoft SharePoint Premium – SharePoint Advanced Management.
Hinweis
IT-Administratoren mit Microsoft 365 E5-Lizenzierung können auf Datenzugriffsgovernanceberichte zugreifen, können aber die anderen SharePoint Advanced Management-Features nicht anzeigen oder nutzen.
Zugreifen auf die Berichte im SharePoint Admin Center
Melden Sie sich beim SharePoint Admin Center mit den SharePoint-Administratoranmeldeinformationen für Ihre organization an.
Erweitern Sie im linken Bereich Berichte , und wählen Sie dann Datenzugriffsgovernance aus.
Die folgenden Berichte sind derzeit auf der Landing Page Datenzugriffsgovernance verfügbar:
- Freigabelinks
- Auf Dateien angewendete Vertraulichkeitsbezeichnungen
- Für "Jeder außer externen Benutzern"
Ein neuer Überfreigabe-Baselinebericht mit Berechtigungen ist jetzt nur über PowerShell verfügbar.
Die Definition von Oversharing kann für verschiedene Kunden unterschiedlich sein. Die Datenzugriffsgovernance betrachtet "Anzahl von Benutzern" als einen möglichen Pivot, um eine Baseline zu erstellen und dann wichtige Mitwirkende für potenzielle Überfreigaben nachzuverfolgen, z. B. das Freigeben von Links, die in den letzten 28 Tagen für große Gruppen wie Jeder außer externen Benutzern erstellt wurden.
Berichte zu Freigabelinks
Mithilfe von Berichten zur Freigabe von Links können Sie potenzielle Quellen der Übernutzung identifizieren, indem Sie die Websites anzeigen, auf denen Benutzer die meisten neuen Freigabelinks erstellt haben. Ein Bericht ist für die folgenden Links verfügbar:
| Name des Berichts | Beschreibung |
|---|---|
| Links zu "Jeder" | Dieser Bericht enthält eine Liste der Websites, auf denen die höchste Anzahl von "Jeder"-Links erstellt wurde. Mit "Jeder"-Links kann jeder Benutzer auf Dateien und Ordner zugreifen, ohne sich anzumelden. |
| Links zu "Personen in der organization" | Dieser Bericht enthält eine Liste der Websites, auf denen die höchste Anzahl von Links zu "Personen in der organization" erstellt wurde. Diese Links können intern weitergeleitet werden, sodass jeder im organization auf Dateien und Ordner zugreifen kann. |
| Links zu bestimmten Personen, die extern freigegeben wurden | Dieser Bericht enthält eine Liste der Websites, auf denen die höchste Anzahl von Links zu bestimmten Personen für Personen außerhalb des organization erstellt wurde. |
Ausführen der Berichte
Um die neuesten Daten für jeden Bericht zu erhalten, führen Sie den Datenzugriffsgovernancebericht manuell aus. Sie können alle Berichte ausführen oder einzelne Berichte auswählen, die ausgeführt werden sollen. Es kann einige Stunden dauern, bis Berichte vollständig generiert sind. Wenn Sie überprüfen möchten, ob ein Bericht bereit ist oder wann er zuletzt aktualisiert wurde, lesen Sie die Spalte Status .
Hinweis
Ein Bericht kann nur einmal pro Monat ausgeführt werden.
Anzeigen der Berichte
Wenn ein Bericht bereit ist, wählen Sie den Namen des Berichts aus, um die Daten anzuzeigen. Jeder Freigabelinkbericht enthält Folgendes:
- Bis zu 100 Websites mit der höchsten Anzahl von Freigabelinks , die in den letzten 30 Tagen erstellt wurden.
- Die Typen von Richtlinien, die auf die Websites angewendet werden: Standortempfindlichkeit, Richtlinie für nicht verwaltete Geräte und externe Websitefreigabe.
- Der Name des primären Administrators für jeden Standort.
Hinweis
Unterstützung für OneDrive-Daten ist jetzt über PowerShell verfügbar.
Herunterladen der Berichte
Sie können die Berichterstellung auch als CSV-Datei für bis zu 10.000 Websites herunterladen.
Wichtig
Sie können die Berichterstellung für bis zu 1 Million Websites herunterladen, wenn Sie über eine SharePoint SharePoint Premium – SharePoint Advanced Management-Lizenz verfügen und Ihr Mandant eine Nicht-Government-Cloudumgebung ist.
Vertraulichkeitsbezeichnungen für Dateiberichte
Mit dem Feature "Vertraulichkeitsbezeichnungen für Dateiberichte" können Sie den Zugriff auf vertrauliche Inhalte steuern, indem Sie Websites finden, die Office-Dateien speichern, auf die Vertraulichkeitsbezeichnungen angewendet wurden. Sie können diese Websites überprüfen, um sicherzustellen, dass die richtigen Richtlinien angewendet werden.
Hinzufügen der Berichte
Sie können einen Bericht für jede Vertraulichkeitsbezeichnung hinzufügen, die Sie nachverfolgen möchten. Wenn Sie einen Bericht hinzufügen, wird er zum ersten Mal ausgeführt.
Hinweis
Sie können Berichte nur für Vertraulichkeitsbezeichnungen mit einem Bereich hinzufügen, der "Datei" enthält.
Berichte ausführen
Führen Sie den Bericht aus, um die neuesten Daten für einen Bericht zu erhalten. Sie können alle Berichte ausführen oder einzelne Berichte auswählen, die ausgeführt werden sollen. Es kann einige Stunden dauern, bis Berichte ausgeführt werden. Informationen zum Überprüfen, ob ein Bericht bereit ist oder wann er zuletzt aktualisiert wurde, finden Sie in der Spalte Status .
Hinweis
Jeder Bericht kann nur einmal in 24 Stunden ausgeführt werden.
Herunterladen von Berichten
Nachdem Sie einen Bericht ausgeführt haben, wählen Sie den Bericht aus, um die Daten herunterzuladen. Der Bericht enthält Folgendes:
- Bis zu 10.000 Websites mit der höchsten Anzahl von Office-Dateien, auf die Vertraulichkeitsbezeichnungen angewendet wurden.
- Die Richtlinien, die auf die folgenden Websites angewendet werden: Standortempfindlichkeit, Richtlinie für nicht verwaltete Geräte und externe Websitefreigabe.
Inhalte, die für berichte "Jeder außer externen Benutzern" (EEEU) freigegeben wurden
Wichtig
Dieser Bericht ist nur verfügbar, wenn Sie über eine SharePoint Premium – SharePoint Advanced Management-Lizenz verfügen und der Mandant eine Nicht-Government-Cloudumgebung ist. Der Bericht ist derzeit für Behörden-Cloudumgebungen wie GCCH/GCC-Moderate/DoD/Gallatin nicht verfügbar, auch wenn Sie über eine Lizenz für SharePoint Premium – SharePoint Advanced Management verfügen.
Jeder außer externen Benutzern (EEEU) ist Teil einer integrierten Gruppe, die die gesamte organization ohne externe Gäste darstellt. Es wird in den folgenden Szenarien verwendet, in denen Inhalte für die gesamte organization sichtbar sein müssen:
- Öffentliche Websites: Die Website ist für Benutzer innerhalb Ihrer gesamten organization öffentlich sichtbar. Jeder außer externen Benutzern (EEEU)-Gruppe ist Teil der Websitemitgliedschaft, d. h. Websitebesitzer/Besucher/Mitglieder.
- Öffentliche Elemente: Sie können EEEU in der Personenauswahl auswählen, um ein bestimmtes Element (Datei/Ordner) freizugeben. Dieses Element ist dann für die gesamte organization sichtbar.
Organisationen können nun mithilfe des neuen Dag-Berichts (Data Access Governance, Datenzugriffsgovernance), der die oben genannten Ereignisse der letzten 28 Tage erfasst, eine potenzielle Überteilung über die EEEU entdecken.
Erstellen von Berichten "Jeder außer externen Benutzern"
Beim Erstellen eines Berichts können Sie verschiedene Optionen auswählen, z. B. fokussierte Berichte erstellen oder später innerhalb des Berichts filtern.
- Berichtsname: Geben Sie einen eindeutigen Namen für den Bericht an.
- Vorlage: Listen Kategorien von SharePoint-Websitevorlagen (klassische Websites, Kommunikationswebsites, Teamwebsites, andere). Sie können mehrere Werte oder Alle Websites auswählen.
- Datenschutz: Gilt für Teamwebsites im Bereich. Sie können Privat, Öffentlich oder Alle auswählen.
- Standortempfindlichkeit: Listen alle Vertraulichkeitsbezeichnungen. Wählen Sie eine oder mehrere Bezeichnungen aus, wenn Der Bericht innerhalb des Bereichs von bezeichneten Websites ausgeführt werden soll. Beispiel: "Identifizieren Sie Dateien innerhalb von Websites mit der Bezeichnung "Vertraulich", die in den letzten 28 Tagen für die EEEU freigegeben wurden.
- Berichtstyp: Wählen Sie das zuvor erläuterte Szenario aus, unabhängig davon, ob Sie einen Bericht für aktuelle "öffentliche Websites" oder für zuletzt verwendete "öffentliche Elemente" erstellen möchten.
Berichte "Jeder ausführen" mit Ausnahme externer Benutzer
Führen Sie den Bericht aus, um die neuesten Daten für einen Bericht zu erhalten. Sie können alle Berichte ausführen oder einzelne Berichte auswählen, die ausgeführt werden sollen. Es kann einige Stunden dauern, bis Berichte ausgeführt werden. Informationen zum Überprüfen, ob ein Bericht bereit ist oder wann er zuletzt aktualisiert wurde, finden Sie in der Spalte Status .
Hinweis
Jeder Bericht kann nur einmal in 24 Stunden ausgeführt werden.
Anzeigen von EEEU-Berichten
Jeder EEEU-Bericht enthält Daten, wie im folgenden Screenshot gezeigt:
- Bis zu 100 Websites mit der höchsten Anzahl von Elementen/Gruppen, die in den letzten 28 Tagen für das EEEU freigegeben wurden.
- Richtlinien, die auf diese Websites angewendet werden – Websiteempfindlichkeit, Websitedatenschutz und Externe Websitefreigaberichtlinie.
- Primärer Administrator für jeden Standort.
Hinweis
Unterstützung für OneDrive-Daten ist jetzt über PowerShell verfügbar.
Berichte "Jeder außer externen Benutzern" herunterladen
Wählen Sie nach dem Ausführen des Berichts den Bericht aus, um die Daten herunterzuladen. Im Bericht:
- Die Website mit der meisten Anzahl von Elementen/Gruppen, die für das EEEU freigegeben wurden, wird zuerst angezeigt, und der Bericht enthält bis zu 1 Million solcher Websites.
- Andere websitebezogene Informationen wie der primäre Administrator, die E-Mail-Adresse des Administrators, die Websitevorlage, der Datenschutz, die Vertraulichkeitsbezeichnung usw.
Einschränkungen oder bekannte Probleme
- Berichte funktionieren, wenn Sie nicht für Ihre organization ausgewählte Berichtsdaten ausgewählt haben. Um diese Einstellung zu ändern, müssen Sie ein globaler Administrator sein. Wechseln Sie im Microsoft 365 Admin Center zur Einstellung Berichte, und deaktivieren Sie Ausgeblendete Benutzer-, Gruppen- und Websitenamen in allen Berichten anzeigen.
- Berichtsdaten können bis zu 48 Stunden verzögert werden. In neuen Mandanten kann es einige Tage dauern, bis Daten erfolgreich generiert und zur Anzeige zur Verfügung stehen.
Einrichten einer Überteilungsbaseline mit einem berechtigungsbasierten Bericht
Es ist wichtig, dass SharePoint-Administratoren die Berechtigungen verstehen, die in ihrem Mandanten eingerichtet wurden, insbesondere nach der Einführung von Copilot, da benutzer- und inhaltsbezogene Berechtigungen berücksichtigt werden. Das Risiko der Datenexposition von Copilot steigt mit der Anzahl der Benutzer, die Zugriff haben. Daher müssen SharePoint-Administratoren die "Offenlegung" vertraulicher Daten bewerten, indem sie die Berechtigungen für Elemente oder Websites überprüfen. Datenzugriffsgovernance (Data Access Governance, DAG) kann dazu beitragen, Schwellenwerte für die Überschreitung der Freigabe festzulegen, indem Websites mit "zu vielen" benutzern mit Berechtigungen identifiziert werden.
Erstellen des Baselineberichts für die Überschreitung der Freigabe
Wichtig
Derzeit können SharePoint-Administratoren den Bericht nur über PowerShell generieren. Der erste Bericht für den Mandanten kann bis zu 5 Tage dauern.
Hinweis
Dieser Bericht kann nur einmal im Monat ausgeführt werden.
Ausführen des Baselineberichts für die Überschreitung der Freigabe
Unter PowerShell für Datenzugriffsgovernance finden Sie weitere Informationen zum Ausführen des Befehls zum Generieren des Berichts über die Überteilungsbaseline.
Anzeigen und Herunterladen des Baselineberichts für die Überschreitung der Freigabe
Unter PowerShell für Datenzugriffsgovernance finden Sie weitere Informationen zum Ausführen des Befehls zum Anzeigen und Herunterladen des Berichts über die Überteilungsbaseline.
Hinweis
Der Bericht enthält sowohl SharePoint- als auch OneDrive-Daten.
Grundlegendes zum Bericht über die Überteilungsbaseline
Die Ausgabe für den Bericht enthält die folgenden Daten:
| Spalte | Beschreibung |
|---|---|
| TenantID | GUID zur Identifizierung des Mandanten |
| Website-ID | GUID zur Identifizierung des Mandanten |
| Name der Website | Name der Website |
| Website-URL | URL der Website |
| Websitevorlage | Gibt den Typ der Website an. Verfügt über Werte wie Kommunikationswebsite, Teamwebsite, Teamwebsite (keine Microsoft 365-Gruppe), Andere Websites |
| Primärer Administrator | Websiteadministrator, der auf der Seite "Aktive Websites" als Primär markiert ist |
| Primäre Administrator-E-Mail | Email des Primären Standortadministrators |
| ExternalSharing | Gibt an, ob Inhalte für externe Gäste freigegeben werden können. Ja oder nein. |
| Website-Datenschutz | Gilt für verbundene Microsoft 365-Teamwebsites. Gibt die Datenschutzeinstellung der Gruppe an. Hat die Werte Öffentlich oder Privat |
| Websiteempfindlichkeit | Gibt die Vertraulichkeitsbezeichnung an, die auf die Website angewendet wird. |
| Anzahl der Benutzer mit Zugriff | Eindeutige Anzahl von Benutzern, die zugriff auf Websiteinhalte auf jeder Ebene/einem beliebigen Bereich haben. Der Mindestwert ist 100. |
| Personen In Ihrer Organisation Linkanzahl | Anzahl vorhandener PeopleInYourOrg-Links für alle Dateien auf der Website |
| Anzahl von Jeder-Links | Anzahl vorhandener Anyone-Links für alle Dateien auf der Website |
| Berichtsdatum | Zeitpunkt der Berichterstellung. Es kann bis zu 48 Stunden dauern, bis Änderungen im Bericht widerzuspiegeln sind. |
Anzahl der Benutzer mit Zugriff
Diese Zahl stellt alle eindeutigen Benutzer dar, die über die Berechtigung zum Zugriff auf die Website und deren Inhalte verfügen.
Der Zugriff auf die Website und deren Inhalt kann in jedem Bereich gewährt werden.
- SharePoint-Gruppen haben Zugriff auf den gesamten Inhalt innerhalb der Website als Besitzer, Mitglieder oder Besucher. Sie können Einzelpersonen oder Microsoft Entra Gruppen in SharePoint-Gruppen verwenden.
- Der Zugriff kann über eindeutige Berechtigungen oder fehlerhafte Vererbung auf einige wenige Elemente/Dateien beschränkt werden. Die Zielempfänger können einzelne Benutzer UND SharePoint-Gruppen/Entra-Gruppen sein. Diese sind wichtig zu kennen und zu verwalten, da sie außerhalb des Bereichs der Websitemitgliedschaft liegen.
Diese Anzahl wird berechnet, indem alle Gruppen und Einzelpersonen in allen Bereichen erweitert, Duplikate entfernt und die Anzahl eindeutiger Benutzer gezählt wird. Mit anderen Worten, dies stellt den Umfang der aktuellen "Datenexposition" dar. Wenn Sie Benutzer direkt hinzufügen ODER Microsoft Entra Gruppen in einem beliebigen Bereich hinzufügen, erhöht sich diese Anzahl entsprechend der Microsoft Entra Gruppengröße und/oder der Anzahl der hinzugefügten Personen. Durch das Erstellen von Freigabelinks und das Freigeben der Website mit "Jeder außer externen Benutzern" wird diese Anzahl jedoch nicht automatisch erhöht, da keine Berechtigungen direkt zugewiesen werden. Diese erhöhen die Wahrscheinlichkeit, dass die Website-/Websiteinhalte jetzt öffentlich sichtbar sind, und mehr Benutzer können darauf zugreifen. Die Anzahl steigt nur, wenn die Benutzer auf den Inhalt zugreifen. Daher können Sie die Anzahl der Freigabelinks oder die EEEU-Berechtigung als "potenzielle Gefährdung" anzeigen.
Dieser Bericht listet daher alle Websites auf, deren "zu viele Benutzer" auf die Inhalte zugreifen und daher anfälliger für Copilot-Exposition sind.
Korrekturaktionen aus Datenzugriffsgovernanceberichten
Wichtig
Korrekturaktionen aus Datenzugriffsgovernanceberichten sind nur für SharePoint Premium – SharePoint Advanced Management-Abonnenten verfügbar, die cloudbasierte Umgebungen ohne Regierungsbehörden ausführen. Das Feature ist derzeit nicht für Behörden-Cloudumgebungen wie GCCH/GCC-Moderate/DoD/Gallatin verfügbar, auch wenn Sie über eine lizenz für SharePoint Premium – SharePoint Advanced Management verfügen.
Nachdem Sie die Berichte zur Datenzugriffsgovernance ausgeführt haben, um eine potenzielle Überteilung zu ermitteln, besteht der nächste Schritt darin, Maßnahmen zur Behebung solcher Risiken zu ergreifen. Es wird empfohlen, Faktoren wie die Empfindlichkeit des Inhalts, die Menge der verfügbar gemachten Inhalte und die Unterbrechung vorhandener status zu berücksichtigen.
Wenn sofortige Maßnahmen ergriffen werden müssen, können Sie die eingeschränkte Zugriffssteuerung (Restricted Access Control, RAC) konfigurieren und den Zugriff auf eine angegebene Gruppe einschränken (derzeit in der Vorschauphase). Sie können auch den Bericht "Änderungsverlauf" verwenden, um aktuelle Änderungen an Websiteeigenschaften zu identifizieren, die zu einer übermäßigen Freigabe führen können.
Sie können den Websitebesitzer auch bitten, die Berechtigungen zu überprüfen, bevor Sie die erforderlichen Aktionen über das Feature "Websitezugriffsüberprüfung" ausführen, das in den Berichten zur Datenzugriffsgovernance verfügbar ist.