Utiliser le partage d’audit dans le journal d’audit
Le partage est une activité clé dans SharePoint Online et OneDrive Entreprise, et il est largement utilisé dans les organisations. Les administrateurs peuvent utiliser l’audit de partage dans le journal d’audit pour déterminer comment le partage est utilisé dans leur organization.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Schéma de partage SharePoint
Les événements de partage (à l’exception des événements liés à la stratégie de partage et aux liens de partage) sont différents des événements liés aux fichiers et aux dossiers d’une manière principale : un utilisateur effectue une action qui a un effet sur un autre utilisateur. Par exemple, lorsqu’une ressource Utilisateur A donne à l’utilisateur B l’accès à un fichier. Dans cet exemple, l’utilisateur A est l’utilisateur agissant et l’utilisateur B estl’utilisateur cible. Dans le schéma de fichier SharePoint, l’action de l’utilisateur agissant affecte uniquement le fichier lui-même. Lorsque l’utilisateur A ouvre un fichier, les seules informations nécessaires dans l’événement FileAccessed sont l’utilisateur agissant. Pour résoudre cette différence, il existe un schéma distinct, appelé schéma de partage SharePoint , qui capture plus d’informations sur les événements de partage. Cela garantit que les administrateurs ont une visibilité sur les personnes qui ont partagé une ressource et l’utilisateur avec lequel la ressource a été partagée.
Le schéma de partage fournit deux champs supplémentaires dans un enregistrement d’audit lié au partage d’événements :
- TargetUserOrGroupType : Identifie si l’utilisateur ou le groupe cible est membre, invité, SharePointGroup, SecurityGroup ou partenaire.
- TargetUserOrGroupName : Stocke l’UPN ou le nom de l’utilisateur ou du groupe cible avec lequel une ressource a été partagée (utilisateur B dans l’exemple précédent).
Ces deux champs, en plus d’autres propriétés du schéma du journal d’audit, telles que Utilisateur, Opération et Date, peuvent raconter l’histoire complète de l’utilisateur qui a partagé quelle ressource avec qui et quand.
Il existe une autre propriété de schéma qui est importante pour l’histoire de partage. Lorsque vous exportez les résultats de la recherche dans le journal d’audit, la colonne AuditData dans le fichier CSV exporté stocke des informations sur les événements de partage. Par exemple, lorsqu’un utilisateur partage un site avec un autre utilisateur, cela s’effectue en ajoutant l’utilisateur cible à un groupe SharePoint. La colonne AuditData capture ces informations pour fournir un contexte aux administrateurs. Consultez l’étape 2 pour obtenir des instructions sur l’analyse des informations dans la colonne AuditData .
Événements de partage SharePoint
Le partage est défini par quand un utilisateur (l’utilisateur agissant ) souhaite partager une ressource avec un autre utilisateur (l’utilisateur cible ). Les enregistrements d’audit liés au partage d’une ressource avec un utilisateur externe (un utilisateur qui se trouve en dehors de votre organization et qui n’a pas de compte invité dans le Microsoft Entra ID de votre organization) sont identifiés par les événements suivants, qui sont enregistrés dans le journal d’audit :
- SharingInvitationCreated : Un utilisateur de votre organization essayé de partager une ressource (probablement un site) avec un utilisateur externe. Il en résulte une invitation de partage externe envoyée à l’utilisateur cible. Aucun accès à la ressource n’est accordé à ce stade.
- SharingInvitationAccepted : L’utilisateur externe a accepté l’invitation de partage envoyée par l’utilisateur agissant et a maintenant accès à la ressource.
- AnonymousLinkCreated : Un lien anonyme (également appelé lien « Tout le monde ») est créé pour une ressource. Étant donné qu’un lien anonyme peut être créé, puis copié, il est raisonnable de supposer que tout document contenant un lien anonyme a été partagé avec un utilisateur cible.
- AnonymousLinkUsed : Comme son nom l’indique, cet événement est journalisé lorsqu’un lien anonyme est utilisé pour accéder à une ressource.
- SecureLinkCreated : Un utilisateur a créé un « lien de personnes spécifiques » pour partager une ressource avec une personne spécifique. Cet utilisateur cible peut être une personne externe à votre organization. La personne avec laquelle la ressource est partagée est identifiée dans l’enregistrement d’audit de l’événement AddedToSecureLink . Les horodatages de ces deux événements sont presque identiques.
- AddedToSecureLink : Un utilisateur a été ajouté à un lien de personnes spécifique. Utilisez le champ TargetUserOrGroupName dans cet événement pour identifier l’utilisateur ajouté au lien de personnes spécifique correspondant. Cet utilisateur cible peut être une personne externe à votre organization.
Partage du flux de travail d’audit
Lorsqu’un utilisateur (l’utilisateur agissant) souhaite partager une ressource avec un autre utilisateur (l’utilisateur cible), SharePoint (ou OneDrive Entreprise) vérifie d’abord si l’adresse e-mail de l’utilisateur cible est déjà associée à un compte d’utilisateur dans l’annuaire du organization. Si l’utilisateur cible se trouve dans le répertoire (et dispose d’un compte d’utilisateur invité correspondant), SharePoint effectue les opérations suivantes :
- Attribue immédiatement à l’utilisateur cible les autorisations d’accès à la ressource en ajoutant l’utilisateur cible au groupe SharePoint approprié et enregistre un événement AddedToGroup .
- Envoie une notification de partage à l’adresse e-mail de l’utilisateur cible.
- Enregistre un événement SharingSet . Cet événement porte le nom convivial « Fichier, dossier ou site partagé » sous Activités de demande de partage et d’accès dans le sélecteur d’activités de l’outil de recherche dans le journal d’audit. Consultez la capture d’écran de l’étape 1.
Si un compte d’utilisateur pour l’utilisateur cible n’est pas dans le répertoire, SharePoint effectue les opérations suivantes :
Enregistre l’un des événements suivants, en fonction de la façon dont la ressource est partagée :
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
- SharingInvitationCreated (cet événement est enregistré uniquement lorsque la ressource partagée est un site)
Lorsque l’utilisateur cible accepte l’invitation de partage qui lui est envoyée (en cliquant sur le lien dans l’invitation), SharePoint enregistre un événement SharingInvitationAccepted et attribue à l’utilisateur cible des autorisations pour accéder à la ressource. Si un lien anonyme est envoyé à l’utilisateur cible, l’événement AnonymousLinkUsed est journalisé après que l’utilisateur cible utilise le lien pour accéder à la ressource. Pour les liens sécurisés, un événement FileAccessed est enregistré lorsqu’un utilisateur externe utilise le lien pour accéder à la ressource.
Des informations supplémentaires sur l’utilisateur cible sont également journalisées, telles que l’identité de l’utilisateur à qui l’invitation est envoyée et de l’utilisateur qui accepte l’invitation. Dans certains cas, ces utilisateurs (ou adresses e-mail) peuvent être différents.
Comment identifier les ressources partagées avec des utilisateurs externes
Une exigence courante pour les administrateurs consiste à créer une liste de toutes les ressources qui ont été partagées avec des utilisateurs en dehors du organization. En utilisant l’audit de partage dans Office 365, les administrateurs peuvent générer cette liste. Voici comment procéder.
Étape 1 : Rechercher des événements de partage et exporter les résultats dans un fichier CSV
La première étape consiste à rechercher dans le journal d’audit des événements de partage. Pour plus d’informations (y compris les autorisations requises) sur la recherche dans le journal d’audit, consultez Rechercher dans le journal d’audit.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Selon votre plan Microsoft 365, le portail de conformité Microsoft Purview est mis hors service ou sera bientôt mis hors service.
Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Effectuez les étapes suivantes pour rechercher des événements de partage :
Connectez-vous au portail Microsoft Purview.
Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.
Dans la page Rechercher et sous Activités - noms conviviaux, sélectionnez Activités de demande de partage et d’accès pour rechercher des événements liés au partage.
Sélectionnez une plage de dates et d’heures pour rechercher les événements de partage qui se sont produits au cours de cette période.
Sélectionnez Rechercher pour exécuter la recherche.
Une fois la recherche terminée et les résultats affichés, sélectionnez Exporter les résultats>Télécharger tous les résultats.
Une fois que vous avez sélectionné l’option d’exportation, un message en bas de la fenêtre vous invite à ouvrir ou enregistrer le fichier CSV.
Sélectionnez Enregistrer>Enregistrer sous et enregistrez le fichier CSV dans un dossier sur votre ordinateur local.
Étape 2 : Utiliser le Rédacteur PowerQuery pour mettre en forme le journal d’audit exporté
L’étape suivante consiste à utiliser la fonctionnalité de transformation JSON dans le Éditeur Power Query dans Excel pour fractionner chaque propriété de la colonne AuditData (qui se compose d’un objet JSON à plusieurs propriétés) en sa propre colonne. Cela vous permet de filtrer les colonnes pour afficher les enregistrements liés au partage.
Pour obtenir des instructions détaillées, consultez « Étape 2 : mise en forme du journal d’audit exporté à l’aide de l’Éditeur Power Query » dans Exporter, configurer et afficher des enregistrements du journal d’audit.
Étape 3 : Filtrer le fichier CSV pour les ressources partagées avec des utilisateurs externes
L’étape suivante consiste à filtrer le fichier CSV pour les différents événements liés au partage qui ont été décrits précédemment dans la section Événements de partage SharePoint . Vous pouvez également filtrer la colonne TargetUserOrGroupType pour afficher tous les enregistrements dont la valeur de cette propriété est Guest.
Après avoir suivi les instructions de l’étape précédente pour préparer le fichier CSV à l’aide de l’éditeur PowerQuery, procédez comme suit :
Ouvrez le fichier Excel que vous avez créé à l’étape 2.
Sous l’onglet Accueil , sélectionnez Trier & Filtre, puis Filtrer.
Dans la liste déroulante Trier & filtre de la colonne Opérations , effacez toutes les sélections, sélectionnez un ou plusieurs événements liés au partage suivants, puis sélectionnez OK.
- SharingInvitationCreated
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
Excel affiche les lignes des événements que vous avez sélectionnés.
Accédez à la colonne nommée TargetUserOrGroupType et sélectionnez-la.
Dans la liste déroulante Trier & filtre , effacez toutes les sélections, sélectionnez TargetUserOrGroupType :Guest, puis sélectionnez OK.
À présent, Excel affiche les lignes pour le partage des événements ET où l’utilisateur cible se trouve en dehors de votre organization, car les utilisateurs externes sont identifiés par la valeur TargetUserOrGroupType :Guest.
Conseil
Pour les enregistrements d’audit affichés, la colonne ObjectId identifie la ressource qui a été partagée avec l’utilisateur cible ; par exemple ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx
.