SharePoint Online PowerShell을 사용하여 데이터 액세스 거버넌스 보고서 관리
이 문서의 일부 기능에는 Microsoft SharePoint Premium - SharePoint Advanced Management가 필요합니다.
데이터 액세스 거버넌스는 SharePoint 관리 센터 포털에서 사용할 수 있지만, 대규모 조직은 일반적으로 스크립팅 및 자동화를 통해 규모를 관리하기 위해 PowerShell 지원을 찾습니다. 이 문서에서는 데이터 액세스 거버넌스의 보고서를 관리하기 위해 SharePoint Online PowerShell 모듈을 통해 사용할 수 있는 모든 적절한 PowerShell 명령에 대해 설명합니다.
중요
데이터 액세스 거버넌스에 대한 PowerShell 지원은 모듈 "Microsoft.Online.SharePoint.PowerShell" 및 버전 "16.0.25409" 이상에서 사용할 수 있습니다.
중요
자격 증명 매개 변수 없이 'Connect-SPOService' 명령을 실행합니다. 최신 보안 사례와 함께 Credential 매개 변수 인라인을 사용하는 로그인은 지원되지 않습니다.
PowerShell을 사용하여 보고서 만들기
Start-SPODataAccessGovernanceInsight 명령을 사용하여 적절한 필터 및 매개 변수를 사용하여 모든 보고서를 생성합니다.
사용 권한을 사용하여 기준 보고서 초과 공유
'초과 공유'의 정의는 고객별로 다를 수 있습니다. 데이터 액세스 거버넌스는 '사용자 수'를 하나의 가능한 피벗으로 간주하여 기준을 설정한 다음, 지난 28일 동안 만든 링크를 공유하고 '외부 사용자를 제외한 모든 사용자'와 같은 대규모 그룹에 공유하는 등 잠재적인 '초과 공유'의 주요 기여자를 추적합니다. '사용자 수'의 임계값을 정의하고 보고서 생성 시 많은 사용자가 액세스하는 사이트의 보고서를 생성할 수 있습니다. 이 보고서는 '스냅샷' 보고서로 간주됩니다.
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"
이 명령은 100명 이상의 사용자가 사이트 내의 모든 콘텐츠에 액세스할 수 있는 모든 사이트 목록을 생성합니다. 사이트 목록 및 결과를 해석하는 방법에 대한 자세한 내용은 여기를 참조 하세요.
참고
현재 보고서는 SharePoint 사이트와 OneDrive 계정으로 구성되며 최대 1M 사이트 및/또는 계정을 생성할 수 있습니다.
링크 보고서 공유
이러한 보고서는 공동 작업에서 활성 상태이므로 잠재적인 초과 공유 위험을 완화하기 위해 더 빠른 개입이 필요한 사이트를 식별하는 데 유용합니다. 이러한 'RecentActivity' 기반 보고서는 지난 28일 동안 가장 많은 공유 링크를 생성하는 사이트를 식별합니다.
지난 28일 동안 만든 링크를 공유하는 모든 사용자
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
워크로드 값을 'OneDriveForBusiness'로 제공하여 동일한 조건을 가진 모든 OneDrive 계정을 가져옵니다.
지난 28일 동안 만든 PeopleInYourOrg 공유 링크
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
워크로드 값을 'OneDriveForBusiness'로 제공하여 동일한 조건을 가진 모든 OneDrive 계정을 가져옵니다.
지난 28일 동안 만든 특정 사용자(게스트) 공유 링크
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
워크로드 값을 'OneDriveForBusiness'로 제공하여 동일한 조건을 가진 모든 OneDrive 계정을 가져옵니다.
지난 28일 동안 외부 사용자를 제외한 모든 사용자와 공유된 콘텐츠
공유 링크는 잠재적인 초과 공유를 위한 가능한 기여자 하나이지만, 또 다른 주요 기여자 '외부 사용자를 제외한 모든 사람'(EEEU)으로, 콘텐츠가 '공개'되도록 하고, 전체 organization 표시하고 다른 사용자가 콘텐츠를 검색하고 쉽게 액세스할 수 있도록 합니다. 이러한 보고서는 지난 28일 동안 다양한 범위에서 EEEU를 적극적으로 사용한 사이트를 식별합니다.
지난 28일 동안 외부 사용자를 제외한 모든 사용자와 공유된 사이트
EEEU가 사이트 멤버 자격(소유자, 구성원 또는 방문자)에 추가되면 사이트의 전체 콘텐츠가 공개되고 과도하게 공유되기 쉽습니다. 다음 PowerShell 명령은 지난 28일 동안 이러한 사이트를 캡처하도록 보고서를 트리거합니다.
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
참고
현재 사이트 수준에서 EEEU를 사용하여 OneDriveForBusiness에 대한 보고서는 지원되지 않습니다.
지난 28일 동안 외부 사용자를 제외한 모든 사용자와 공유된 항목
다음 PowerShell 명령은 지난 28일 동안 특정 항목(파일/폴더/목록)이 EEEU와 공유된 사이트를 캡처하도록 보고서를 트리거합니다.
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
워크로드 값을 'OneDriveForBusiness'로 제공하여 동일한 조건을 가진 모든 OneDrive 계정을 가져옵니다.
파일 보고서의 민감도 레이블
이 PowerShell 명령은 보고서 생성 날짜를 기준으로 특정 항목이 지정된 '레이블'로 레이블이 지정된 사이트를 나열하도록 보고서를 트리거합니다.
먼저 "보안 및 규정 준수" PowerShell 모듈을 사용하여 레이블 이름 또는 레이블 GUID를 검색합니다.
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
그런 다음 이름 및 GUID를 사용하여 지정된 레이블 이름 또는 GUID로 레이블이 지정된 파일이 있는 사이트를 검색합니다.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
참고
현재 레이블이 지정된 파일이 있는 'OneDriveForBusiness' 계정에 대한 보고서는 지원되지 않습니다.
PowerShell을 사용하여 보고서 추적
중요
모든 보고서를 만들면 보고서 상태 추적하는 데 사용할 수 있는 출력으로 GUID가 생성됩니다.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Get-SPODataAccessGovernanceInsight 명령을 사용하여 보고서 ID를 사용하여 특정 데이터 액세스 거버넌스 보고서의 현재 상태 검색합니다.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime 및 ReportEndTime은 보고서를 생성할 데이터의 기간을 나타냅니다. 보고서 생성이 완료되면 상태 '완료됨'으로 표시됩니다.
ID 대신 ReportEntity 필터를 사용하여 DAG 보고서의 현재 상태 볼 수도 있습니다. reportID는 출력에 나열되며 나중에 특정 보고서를 다운로드하는 데 필요합니다.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
PowerShell을 사용하여 보고서 보기 및 다운로드
특정 보고서를 다운로드하려면 reportID가 필요합니다. Get-SPODataAccessGovernanceInsight 명령을 사용하여 reportID를 검색하고 Export-SPODataAccessGovernanceInsight 명령을 사용하여 보고서를 지정된 경로로 다운로드합니다.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
그러면 CSV 파일이 지정된 경로로 다운로드됩니다. 각 보고서에 대한 CSV/뷰에 대한 자세한 내용은 여기에서 설명합니다.
참고
기본 다운로드 경로는 '다운로드' 폴더입니다.
PowerShell을 사용하여 수정 작업
데이터 액세스 거버넌스 보고서가 생성되면 SharePoint 관리자는 여기에 설명된 대로 수정 작업을 수행할 수 있습니다. 다음 섹션에서는 수정 작업으로 '사이트 액세스 검토'를 트리거하고 추적하는 PowerShell 명령에 대해 설명합니다.
PowerShell을 사용하여 사이트 액세스 검토 시작
Start-SPOSiteReview 명령을 사용하여 데이터 액세스 거버넌스 보고서에 나열된 특정 사이트에 대한 사이트 액세스 검토를 시작합니다. 데이터 액세스 거버넌스 보고서는 검토를 시작해야 하는 컨텍스트를 제공합니다. CSV 파일에서 reportID, 사이트 ID를 검색하고 검토 목적에 대해 사이트 소유자에게 명확하게 설명하는 주석을 제공합니다.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
여기에 설명된 대로 사이트 소유자에게 전자 메일을 트리거 합니다.
PowerShell을 사용하여 사이트 액세스 검토 추적
Start-SPOSiteReview 명령을 사용하여 사이트 액세스 검토의 상태 추적합니다. 특정 검토의 경우 출력에 ReviewID 표시된 대로 값을 사용할 수 있습니다. 보고 모듈과 관련된 모든 검토를 검색하려면 매개 변수를 ReportEntity 사용합니다.
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents