Gérer les rapports de gouvernance d’accès aux données à l’aide de SharePoint Online PowerShell
Certaines fonctionnalités de cet article nécessitent Microsoft SharePoint Premium - Gestion avancée de SharePoint
Bien que la gouvernance de l’accès aux données soit disponible dans le portail du centre d’administration SharePoint, les grandes organisations recherchent généralement la prise en charge de PowerShell pour gérer la mise à l’échelle via des scripts et l’automatisation. Ce document décrit toutes les commandes PowerShell appropriées disponibles via le module PowerShell SharePoint Online pour gérer les rapports à partir de la gouvernance de l’accès aux données.
Importante
La prise en charge de PowerShell pour la gouvernance de l’accès aux données est disponible à partir du module « Microsoft.Online.SharePoint.PowerShell » et de la version « 16.0.25409 ».
Importante
Exécutez la commande « Connect-SPOService » SANS le paramètre Credential . Nous ne prenons PAS en charge la connexion à l’aide du paramètre Credential inline avec les dernières pratiques de sécurité.
Création de rapports à l’aide de PowerShell
Utilisez la commande Start-SPODataAccessGovernanceInsight pour générer tous les rapports avec les filtres et paramètres appropriés
Rapport de base de surpartage à l’aide d’autorisations
La définition de « surpartage » peut être différente pour différents clients. La gouvernance de l’accès aux données considère le « nombre d’utilisateurs » comme un pivot possible pour établir une base de référence, puis suivre les contributeurs clés de « surpartage » potentiels, tels que le partage de liens créés et le partage avec de grands groupes tels que « Tout le monde sauf les utilisateurs externes » au cours des 28 derniers jours. Vous pouvez définir votre seuil de « nombre d’utilisateurs » et générer un rapport des sites auxquels de nombreux utilisateurs accèdent, au moment de la génération du rapport. Ce rapport est considéré comme un rapport « instantané ».
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"
Cette commande génère une liste de tous les sites où plus de 100 utilisateurs peuvent accéder à n’importe quel contenu du site. Vous trouverez ici plus d’informations sur la liste des sites et sur la façon d’interpréter les résultats.
Remarque
Actuellement, le rapport se compose à la fois de sites SharePoint et de comptes OneDrive et peut générer jusqu’à 1 millions de sites et/ou de comptes.
Partage de rapports de lien
Ces rapports sont utiles pour identifier les sites qui sont actifs dans la collaboration et nécessitent donc une intervention plus rapide pour atténuer tout risque potentiel de surpartage. Ces rapports basés sur « RecentActivity » identifient les sites qui génèrent le plus de liens de partage au cours des 28 derniers jours.
Toute personne partageant des liens créés au cours des 28 derniers jours
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
Indiquez la valeur de charge de travail « OneDriveForBusiness » pour obtenir tous les comptes OneDrive avec les mêmes critères.
Liens de partage PeopleInYourOrg créés au cours des 28 derniers jours
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
Indiquez la valeur de charge de travail « OneDriveForBusiness » pour obtenir tous les comptes OneDrive avec les mêmes critères.
Liens de partage de personnes (invités) spécifiques créés au cours des 28 derniers jours
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
Indiquez la valeur de charge de travail « OneDriveForBusiness » pour obtenir tous les comptes OneDrive avec les mêmes critères.
Contenu partagé avec tout le monde sauf les utilisateurs externes au cours des 28 derniers jours
Bien que les liens de partage soient l’un des contributeur possibles pour le surpartage potentiel, un autre contributeur clé est « Tout le monde sauf les utilisateurs externes » (EEEU), qui rend le contenu « public », c’est-à-dire, visible par l’ensemble des organization et facilite la découverte du contenu et l’accès aux autres utilisateurs. Ces rapports identifient les sites qui ont activement utilisé l’EEEU à différentes étendues au cours des 28 derniers jours.
Sites partagés avec tout le monde sauf les utilisateurs externes au cours des 28 derniers jours
Lorsque l’EEEU est ajouté à une appartenance au site (propriétaires, membres ou visiteurs), l’intégralité du contenu du site devient public et plus sujette au surpartage. La commande PowerShell suivante déclenche le rapport pour capturer ces sites au cours des 28 derniers jours :
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Remarque
Actuellement, le rapport pour OneDriveForBusiness avec EEEU au niveau du site n’est pas pris en charge.
Éléments partagés avec Tout le monde sauf les utilisateurs externes au cours des 28 derniers jours
La commande PowerShell suivante déclenche le rapport pour capturer les sites où des éléments spécifiques (fichiers/dossiers/listes) ont été partagés avec EEEU au cours des 28 derniers jours :
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Indiquez la valeur de charge de travail « OneDriveForBusiness » pour obtenir tous les comptes OneDrive avec les mêmes critères.
Étiquette de confidentialité dans le rapport de fichiers
Cette commande PowerShell déclenche le rapport pour répertorier les sites où des éléments spécifiques ont été étiquetés avec une « étiquette » donnée, à la date de génération du rapport.
Tout d’abord, récupérez le nom d’étiquette ou le GUID d’étiquette à l’aide du module PowerShell « Sécurité et conformité ».
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
Ensuite, utilisez le nom et le GUID pour récupérer des sites avec des fichiers étiquetés avec le nom d’étiquette ou guid donné.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
Remarque
Actuellement, le rapport pour les comptes « OneDriveForBusiness » avec des fichiers étiquetés n’est pas pris en charge.
Suivi des rapports à l’aide de PowerShell
Importante
Toutes les créations de rapports entraînent un GUID en tant que sortie qui peut être utilisé pour suivre le rapport status
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Utilisez la commande Get-SPODataAccessGovernanceInsight pour récupérer la status actuelle d’un rapport de gouvernance d’accès aux données spécifique à l’aide de l’ID de rapport.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
Les valeurs ReportStartTime et ReportEndTime indiquent la période de données pour générer le rapport. Le status est marqué comme « Terminé » lorsque la génération du rapport est terminée.
Vous pouvez également afficher la status actuelle des rapports DAG en utilisant le filtre ReportEntity au lieu de l’ID. Le reportID est répertorié dans la sortie et est nécessaire ultérieurement pour télécharger un rapport spécifique.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
Afficher et télécharger des rapports à l’aide de PowerShell
Pour télécharger un rapport spécifique, vous avez besoin du reportID. Récupérez le reportID à l’aide de la commande Get-SPODataAccessGovernanceInsight et utilisez la commande Export-SPODataAccessGovernanceInsight pour télécharger le rapport dans un chemin d’accès spécifié.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
Cela télécharge un fichier CSV dans le chemin d’accès spécifié. Les détails du csv/de la vue pour chaque rapport sont présentés ici.
Remarque
Le chemin de téléchargement par défaut est le dossier « Téléchargements ».
Actions correctives à l’aide de PowerShell
Une fois les rapports de gouvernance d’accès aux données générés, les administrateurs SharePoint peuvent effectuer des actions correctives comme décrit ici. La section suivante décrit les commandes PowerShell pour déclencher et suivre la « révision d’accès au site » en tant qu’action corrective.
Lancer la révision d’accès au site à l’aide de PowerShell
Utilisez la commande Start-SPOSiteReview pour lancer une révision d’accès au site pour un site spécifique, répertorié sous un rapport de gouvernance de l’accès aux données. Le rapport de gouvernance de l’accès aux données fournit le contexte dans lequel la révision doit être lancée. Récupérez le reportID et l’ID de site à partir du fichier CSV et fournissez des commentaires pour clarifier l’objectif de la révision au propriétaire du site.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
Cela déclenche des e-mails au propriétaire du site, comme décrit ici.
Suivre les révisions d’accès aux sites à l’aide de PowerShell
Utilisez la commande Start-SPOSiteReview pour suivre la status des révisions d’accès au site. Pour des révisions spécifiques, vous pouvez utiliser la ReviewID valeur comme indiqué dans la sortie. Pour récupérer toutes les révisions liées à un module de création de rapports, utilisez le ReportEntity paramètre .
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents