Administración de informes de gobernanza de acceso a datos mediante PowerShell de SharePoint Online
Algunas características de este artículo requieren Microsoft SharePoint Premium: Administración avanzada de SharePoint
Aunque la gobernanza del acceso a datos está disponible en el portal del Centro de administración de SharePoint, las organizaciones grandes suelen buscar compatibilidad con PowerShell para administrar la escala mediante scripting y automatización. En este documento se describen todos los comandos de PowerShell adecuados disponibles a través del módulo de PowerShell de SharePoint Online para administrar informes desde la gobernanza del acceso a datos.
Importante
La compatibilidad de PowerShell con la gobernanza del acceso a datos está disponible desde el módulo "Microsoft.Online.SharePoint.PowerShell" y la versión "16.0.25409" en adelante.
Importante
Ejecute el comando "Connect-SPOService" SIN el parámetro Credential . NO se admite el inicio de sesión mediante el parámetro Credential alineado con los procedimientos de seguridad más recientes.
Creación de informes mediante PowerShell
Use el comando Start-SPODataAccessGovernanceInsight para generar todos los informes con los filtros y parámetros adecuados.
Uso excesivo del informe de línea base mediante permisos
La definición de "uso compartido excesivo" puede ser diferente para diferentes clientes. La gobernanza del acceso a datos considera el "número de usuarios" como un posible pivote para establecer una línea base y, a continuación, realizar un seguimiento de los colaboradores clave del posible "uso compartido excesivo", como compartir vínculos creados y compartir con grupos grandes, como "Todos excepto los usuarios externos" en los últimos 28 días. Puede definir el umbral de "número de usuarios" y generar un informe de sitios a los que acceden muchos usuarios en el momento de la generación del informe. Este informe se considera un informe de "instantánea".
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"
Este comando genera una lista de todos los sitios en los que más de 100 usuarios pueden acceder a cualquier contenido del sitio. Aquí encontrará más información sobre la lista de sitios y cómo interpretar los resultados.
Nota:
Actualmente, el informe consta de sitios de SharePoint y cuentas de OneDrive y puede generar hasta 1 M de sitios o cuentas.
Informes de vínculos de uso compartido
Estos informes son útiles para identificar sitios que están activos en colaboración y, por lo tanto, necesitan una intervención más rápida para mitigar cualquier posible riesgo de uso compartido excesivo. Estos informes basados en "RecentActivity" identifican los sitios que generan el mayor número de vínculos de uso compartido en los últimos 28 días.
Cualquier usuario que comparta vínculos creados en los últimos 28 días
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Vínculos de uso compartido de PeopleInYourOrg creados en los últimos 28 días
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Contactos específicos (invitados) que comparten vínculos creados en los últimos 28 días
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Contenido compartido con todos excepto usuarios externos en los últimos 28 días
Aunque los vínculos de uso compartido son un posible colaborador para el posible uso compartido excesivo, otro colaborador clave es "Todos excepto los usuarios externos" (EEEU), lo que hace que el contenido sea "público", es decir, sea visible para toda la organización y facilita que otros usuarios descubran contenido y obtengan acceso. Estos informes identifican los sitios que usaron activamente EEEU en diversos ámbitos en los últimos 28 días.
Sitios compartidos con todos excepto usuarios externos en los últimos 28 días
Cuando se agrega EEEU a una pertenencia al sitio (propietarios, miembros o visitantes), todo el contenido del sitio se vuelve público y es más propenso a compartir en exceso. El siguiente comando de PowerShell desencadena el informe para capturar dichos sitios en los últimos 28 días:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Nota:
Actualmente no se admite el informe de OneDriveForBusiness con EEEU en el nivel de sitio.
Elementos compartidos con todos excepto usuarios externos en los últimos 28 días
El siguiente comando de PowerShell desencadena el informe para capturar sitios donde elementos específicos (archivos, carpetas o listas) se compartieron con EEEU en los últimos 28 días:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Etiqueta de confidencialidad en el informe de archivos
Este comando de PowerShell desencadena el informe para enumerar los sitios en los que elementos específicos se etiquetaron con una "etiqueta" determinada, a partir de la fecha de generación del informe.
En primer lugar, recupere el nombre de etiqueta o el GUID de etiqueta mediante el módulo de PowerShell "Seguridad y cumplimiento".
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
A continuación, use el GUID Nombre y para recuperar sitios con archivos etiquetados con el nombre de etiqueta o GUID especificados.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
Nota:
Actualmente, no se admite el informe de las cuentas de "OneDriveForBusiness" con archivos etiquetados.
Seguimiento de informes mediante PowerShell
Importante
Todas las creaciones de informes producirán un GUID como salida que se podría usar para realizar un seguimiento del estado del informe.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Use el comando Get-SPODataAccessGovernanceInsight para recuperar el estado actual de un informe de gobernanza de acceso a datos específico mediante el identificador de informe.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime y ReportEndTime indican el período de datos para generar el informe. El estado se marca como "Completado" cuando se completa la generación del informe.
También puede ver el estado actual de los informes de DAG mediante el filtro ReportEntity en lugar de id. El id. de informe aparece en la salida y es necesario más adelante para descargar un informe específico.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
Visualización y descarga de informes mediante PowerShell
Para descargar un informe específico, necesita el id. de informe. Recupere el id. de informe mediante el comando Get-SPODataAccessGovernanceInsight y use el comando Export-SPODataAccessGovernanceInsight para descargar el informe en una ruta de acceso especificada.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
Esto descarga un archivo CSV en la ruta de acceso especificada. Aquí se describen los detalles de la vista o CSV de cada informe.
Nota:
La ruta de descarga predeterminada es la carpeta "Descargas".
Acciones correctivas mediante PowerShell
Una vez generados los informes de gobernanza de acceso a datos, los administradores de SharePoint pueden realizar acciones correctivas como se describe aquí. En la sección siguiente se describen los comandos de PowerShell para desencadenar y realizar un seguimiento de la "revisión del acceso al sitio" como una acción correctiva.
Inicio de la revisión de acceso al sitio mediante PowerShell
Use el comando Start-SPOSiteReview para iniciar una revisión de acceso al sitio para un sitio específico, que se muestra en un informe de gobernanza de acceso a datos. El informe de gobernanza del acceso a datos proporciona el contexto en el que se debe iniciar la revisión. Recupere el identificador de informe, el identificador de sitio del archivo CSV y proporcione comentarios para dar claridad al propietario del sitio con respecto al propósito de la revisión.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
Esto desencadena correos electrónicos al propietario del sitio, tal como se describe aquí.
Seguimiento de las revisiones de acceso al sitio mediante PowerShell
Use el comando Start-SPOSiteReview para realizar un seguimiento del estado de las revisiones de acceso al sitio. Para revisiones específicas, puede usar el ReviewID valor como se muestra en la salida. Para recuperar toda la revisión relacionada con un módulo de informes, use el ReportEntity parámetro .
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents