Отчеты об управлении доступом к данным для сайтов SharePoint
Для некоторых функций, приведенных в этой статье, требуется microsoft SharePoint премиум — Расширенное управление SharePoint
По мере роста и чрезмерного использования сайтов SharePoint с экспоненциальным ростом данных организациям требуется помощь в управлении своими данными. Отчеты по управлению доступом к данным помогают управлять доступом к данным SharePoint. Отчеты позволяют обнаруживать сайты, содержащие потенциально избыточное или конфиденциальное содержимое. Эти отчеты можно использовать для оценки и применения соответствующих политик безопасности и соответствия требованиям.
Требования
Для этой функции требуется Microsoft 365 E5 или Microsoft SharePoint премиум — Расширенное управление SharePoint.
Примечание.
ИТ-администраторы с лицензированием Microsoft 365 E5 могут получать доступ к отчетам по управлению доступом к данным, но не могут просматривать или использовать другие функции расширенного управления SharePoint.
Доступ к отчетам в Центре администрирования SharePoint
Войдите в Центр администрирования SharePoint , используя учетные данные администратора SharePoint для вашей организации.
В левой области разверните узел Отчеты , а затем выберите Управление доступом к данным.
В настоящее время на целевой странице управления доступом к данным доступны следующие отчеты:
- Предоставление ссылок
- Метки конфиденциальности, применяемые к файлам
- Предоставлен общий доступ для "Все, кроме внешних пользователей"
Новый базовый отчет о превышении общего доступа с разрешениями теперь доступен только через PowerShell.
Определение чрезмерного совместного использования может отличаться для разных клиентов. Управление доступом к данным рассматривает "количество пользователей" как один из возможных сводок для создания базовых показателей, а затем отслеживания ключевых участников потенциального переучета, таких как общий доступ к ссылкам, созданным и совместное использование для больших групп, таких как Все, кроме внешних пользователей, за последние 28 дней.
Отчеты о ссылках для общего доступа
Отчеты о ссылках общего доступа позволяют определить потенциальные источники чрезмерного использования, показывая сайты, на которых пользователи создали больше всего новых ссылок для общего доступа. Отчет доступен по следующим ссылкам:
| Имя отчета | Описание |
|---|---|
| Ссылки "Любой пользователь" | Этот отчет содержит список сайтов, на которых было создано наибольшее количество ссылок "Все". Ссылки "Любой пользователь" позволяют любому пользователю получать доступ к файлам и папкам без входа. |
| Ссылки Люди в организации | Этот отчет содержит список сайтов, на которых было создано наибольшее количество ссылок Люди в организации. Эти ссылки можно переадресовать внутри организации, чтобы любой пользователь в организации мог получить доступ к файлам и папкам. |
| Ссылки "Конкретные люди", к которым предоставлен общий доступ извне | Этот отчет содержит список сайтов, на которых было создано наибольшее количество ссылок "Конкретные люди" для людей за пределами организации. |
Запуск отчетов
Чтобы получить последние данные для каждого отчета, вручную запустите отчет об управлении доступом к данным. Вы можете запустить все отчеты или выбрать отдельные отчеты для запуска. Для полного создания отчетов может потребоваться несколько часов. Чтобы проверка, готов ли отчет или узнать, когда он был обновлен в последний раз, см. столбец Состояние.
Примечание.
Отчет можно запускать только один раз в месяц.
Просмотр отчетов
Когда отчет будет готов, выберите имя отчета, чтобы просмотреть данные. Каждый отчет по ссылке для общего доступа включает в себя:
- До 100 сайтов с наибольшим количеством ссылок для общего доступа , созданных за последние 30 дней.
- Типы политик, применяемые к сайтам: конфиденциальность сайта, политика неуправляемых устройств сайта и политика внешнего общего доступа к сайту.
- Имя основного администратора для каждого сайта.
Примечание.
Поддержка данных OneDrive теперь доступна через PowerShell.
Скачивание отчетов
Вы также можете скачать отчеты в виде CSV-файла для до 10 000 сайтов.
Важно!
Вы можете скачать отчеты для до 1 миллиона сайтов, если у вас есть лицензия SharePoint SharePoint премиум — Расширенное управление SharePoint, а ваш клиент является неправительственной облачной средой.
Метки конфиденциальности для отчетов о файлах
Функция меток конфиденциальности для отчетов о файлах позволяет управлять доступом к конфиденциальному содержимому путем поиска сайтов, в которых хранятся файлы Office с примененными метками конфиденциальности. Вы можете просмотреть эти сайты, чтобы убедиться, что применяются правильные политики.
Добавление отчетов
Вы можете добавить отчет для каждой метки конфиденциальности, которую вы хотите отслеживать. Добавление отчета запускает его в первый раз.
Примечание.
Отчеты можно добавлять только для меток конфиденциальности с помощью область, включающей "Файл".
Запуск отчетов
Чтобы получить последние данные для отчета, запустите отчет. Вы можете запустить все отчеты или выбрать отдельные отчеты для запуска. Запуск отчетов может занять несколько часов. Чтобы проверка, готов ли отчет или когда он был обновлен в последний раз, см. столбец Состояние.
Примечание.
Каждый отчет можно запустить только один раз в 24 часа.
Скачивание отчетов
После запуска отчета выберите отчет, чтобы скачать данные. Отчет включает в себя:
- До 10 000 сайтов с наибольшим количеством файлов Office, на которых применены метки конфиденциальности.
- Политики, применяемые на следующих сайтах: конфиденциальность сайта, политика неуправляемых устройств сайта и политика внешнего общего доступа к сайту.
Содержимое, к которым предоставлен доступ для отчетов "Все, кроме внешних пользователей" (EEEU)
Важно!
Этот отчет доступен только в том случае, если у вас есть лицензия SharePoint премиум — Расширенное управление SharePoint и клиент является облачной средой, не относяющейся к государственным органам. В настоящее время отчет недоступен для облачных сред государственных организаций, таких как GCCH/GCC-Moderate/DoD/Gallatin, даже если у вас есть лицензия SharePoint премиум — SharePoint Advanced Management.
Все, кроме внешних пользователей (EEEU), являются частью встроенной группы, которая представляет всю организацию без внешних гостей. Он используется в следующих сценариях, когда содержимое должно быть видимым для всей организации:
- Общедоступные сайты. Сайт является общедоступным для пользователей во всей организации. Все, кроме группы внешних пользователей (EEEU), являются частью членства на сайте, то есть владельцев, посетителей и участников сайта.
- Общедоступные элементы. Вы можете выбрать EEEU в элементе выбора людей, чтобы предоставить общий доступ к определенному элементу (файлу или папке), после чего этот элемент будет виден всей организации.
Теперь организации могут обнаруживать потенциальное превышение общего доступа через EEEU с помощью нового отчета управления доступом к данным (DAG), который фиксирует указанные выше события за последние 28 дней.
Создание отчетов "Все, кроме внешних пользователей"
При создании отчета можно выбрать различные параметры, такие как создание ориентированных отчетов или фильтрация в отчете позже.
- Имя отчета. Укажите уникальное имя отчета.
- Шаблон: Списки категории шаблонов сайтов SharePoint (классические сайты, информационные сайты, сайты групп и т. д.). Можно выбрать несколько значений или Все сайты.
- Конфиденциальность: применимо для сайтов групп в область. Можно выбрать Частный, Общедоступный или Все.
- Конфиденциальность сайта: Списки все метки конфиденциальности. Выберите одну или несколько меток, если вы хотите, чтобы отчет выполнялся в область помеченных сайтов. Например: "Определение файлов на сайтах с меткой "Конфиденциальные", которые были переданы EEEU за последние 28 дней.
- Тип отчета: чтобы выбрать сценарий, как описано выше, независимо от того, хотите ли вы создать отчет для последних общедоступных сайтов или для последних общедоступных элементов.
Запуск отчетов "Все, кроме внешних пользователей"
Чтобы получить последние данные для отчета, запустите отчет. Вы можете запустить все отчеты или выбрать отдельные отчеты для запуска. Запуск отчетов может занять несколько часов. Чтобы проверка, готов ли отчет или когда он был обновлен в последний раз, см. столбец Состояние.
Примечание.
Каждый отчет можно запустить только один раз в 24 часа.
Просмотр отчетов EEEU
Каждый отчет EEEU содержит данные, как показано на следующем снимке экрана:
- До 100 сайтов с наибольшим количеством элементов или групп, к которым предоставлен доступ EEEU за последние 28 дней.
- Политики, применяемые к этим сайтам: конфиденциальность сайта, конфиденциальность сайта и политика внешнего общего доступа к сайту.
- Основной администратор для каждого сайта.
Примечание.
Поддержка данных OneDrive теперь доступна через PowerShell.
Скачивание отчетов "Все, кроме внешних пользователей"
После запуска отчета выберите отчет, чтобы скачать данные. В отчете:
- Сайт с наибольшим количеством элементов или групп, к которым предоставлен доступ в EEEU, появляется первым, и отчет включает до 1 миллиона таких сайтов.
- Другая информация, связанная с сайтом, например основной администратор, адрес электронной почты администратора, шаблон сайта, конфиденциальность, метка конфиденциальности и т. д.
Ограничения или известные проблемы
- Отчеты работают, если для вашей организации выбраны непсеудонимизированные данные отчета. Чтобы изменить этот параметр, необходимо быть глобальным администратором. Перейдите к параметру Отчеты в Центр администрирования Microsoft 365 и снимите флажок Отображать скрытые имена пользователей, групп и сайтов во всех отчетах.
- Данные отчета могут быть отложены до 48 часов. В новых клиентах может потребоваться несколько дней, чтобы данные были успешно сформированы и доступны для просмотра.
Настройка базового плана переувыбора с отчетом на основе разрешений
Администратору SharePoint очень важно понимать настройку разрешений в клиенте, особенно после внедрения Copilot, так как она учитывает разрешения пользователей и содержимого. Риск раскрытия данных Copilot увеличивается с числом пользователей, имеющих доступ. Следовательно, администраторам SharePoint необходимо оценить степень раскрытия конфиденциальных данных, проверив разрешения для элементов или сайтов. Управление доступом к данным (DAG) может помочь установить пороговые значения превышения общего доступа, определяя сайты с "слишком большим количеством" разрешенных пользователей.
Создание базового отчета о превышении общего доступа
Важно!
В настоящее время администраторы SharePoint могут создавать отчет только с помощью PowerShell. Создание первого отчета для клиента может занять до 5 дней.
Примечание.
Этот отчет можно запускать только один раз в месяц.
Запуск базового отчета о превышении общего доступа
Дополнительные сведения о выполнении команды для создания базового отчета о превышении общего доступа см. в разделе PowerShell для управления доступом к данным .
Просмотр и скачивание базового отчета о превышении общего доступа
Дополнительные сведения о выполнении команды для просмотра и скачивания базового отчета о превышении общего доступа см. в разделе PowerShell для управления доступом к данным .
Примечание.
Отчет содержит данные SharePoint и OneDrive.
Общие сведения о базовом отчете о превышении общего доступа
Выходные данные отчета содержат следующие данные:
| Столбец | Описание |
|---|---|
| Идентификатор клиента | GUID, определяющий клиент |
| Идентификатор сайта | GUID, определяющий клиент |
| Имя сайта | Имя сайта |
| URL-адрес сайта | URL-адрес сайта |
| Шаблон сайта | Указывает тип сайта. Имеет такие значения, как Сайт коммуникации, Сайт группы, Сайт группы (без группы Microsoft 365), Другие сайты |
| Основной администратор | Администратор сайта, помеченный как основной на странице "Активные сайты" |
| Адрес электронной почты основного администратора | Email основного администратора сайта |
| ExternalSharing | Указывает, можно ли предоставлять доступ к содержимому внешним гостям. Да или нет. |
| Конфиденциальность сайта | Применимо на сайтах групп, подключенных к Microsoft 365. Задает параметр конфиденциальности группы. Имеет значения Public или Private |
| Конфиденциальность сайта | Указывает метку конфиденциальности, применяемую к сайту. |
| Число пользователей, имеющих доступ | Уникальное количество пользователей, имеющих доступ к содержимому сайта на любом уровне или область. Минимальное значение — 100. |
| Люди количество ссылок в организации | Количество существующих ссылок PeopleInYourOrg во всех файлах на сайте |
| Количество ссылок для всех | Количество существующих ссылок на любой пользователь во всех файлах на сайте |
| Report Date (дата отчета) | Время создания отчета. На отражение любых изменений в отчете может потребоваться до 48 часов. |
Число пользователей, имеющих доступ
Это число представляет всех уникальных пользователей, имеющих разрешение на доступ к сайту и его содержимому.
Доступ к сайту и его содержимому можно предоставить в любой область.
- Группы SharePoint имеют доступ ко всему содержимому сайта в качестве владельца, участников или посетителей. Вы можете иметь отдельных пользователей или Microsoft Entra группы в группах SharePoint.
- Доступ может быть ограничен несколькими элементами или файлами с помощью уникальных разрешений или нарушенного наследования. Целевыми получателями могут быть отдельные пользователи и группы SharePoint или группы Entra. Это важно знать и управлять для переувыбора, так как они находятся за пределами членства на сайте область.
Это число вычисляется путем развертывания всех групп и отдельных пользователей во всех областях, удаления дубликатов и подсчета количества уникальных пользователей. Другими словами, это представляет степень текущего "раскрытия данных". Если вы добавляете пользователей напрямую или добавляете Microsoft Entra группы в любой область, это число увеличивается в соответствии с размером Microsoft Entra группы и (или) числом добавленных пользователей. Однако при создании общих ссылок и предоставлении общего доступа к сайту всем, кроме внешних пользователей, это число не увеличивается автоматически, так как разрешения не назначаются напрямую. Это повышает вероятность того, что содержимое сайта или сайта теперь является общедоступным, и все больше пользователей смогут получить доступ. Число увеличивается, только когда пользователи получают доступ к содержимому. Таким образом, количество ссылок общего доступа или разрешение EEEU можно просмотреть как "потенциальную уязвимость".
Таким образом, в этом отчете перечислены все сайты с "слишком много пользователей" доступ к содержимому и, следовательно, более подвержены воздействию Copilot.
Действия по исправлению из отчетов об управлении доступом к данным
Важно!
Действия по исправлению из отчетов об управлении доступом к данным доступны только для SharePoint премиум — подписчиков SharePoint Advanced Management, работающих в неправительственных облачных средах. В настоящее время эта функция недоступна для облачных сред государственных организаций, таких как GCCH/GCC-Moderate/DoD/Gallatin, даже если у вас есть лицензия SharePoint премиум — Расширенное управление SharePoint.
После запуска отчетов по управлению доступом к данным для обнаружения потенциального чрезмерного совместного доступа следующий шаг — принять меры по устранению таких рисков. Рекомендуется учитывать такие факторы, как конфиденциальность содержимого, объем содержимого и нарушение существующего состояния.
Если необходимо предпринять незамедлительные действия, можно настроить управление ограниченным доступом (RAC) и ограничить доступ к указанной группе (в настоящее время находится в предварительной версии). Отчет "Журнал изменений" также можно использовать для выявления последних изменений в свойствах сайта, которые могут привести к переучету.
Вы также можете запросить у владельца сайта проверку разрешений перед выполнением необходимых действий с помощью функции проверки доступа к сайту , доступной в отчетах об управлении доступом к данным.