Управление отчетами по управлению доступом к данным с помощью SharePoint Online PowerShell
Для некоторых функций, приведенных в этой статье, требуется microsoft SharePoint премиум — Расширенное управление SharePoint
Хотя управление доступом к данным доступно на портале Центра администрирования SharePoint, крупные организации обычно ищут поддержку PowerShell для управления масштабированием с помощью сценариев и автоматизации. В этом документе рассматриваются все соответствующие команды PowerShell, доступные в модуле PowerShell SharePoint Online для управления отчетами из системы управления доступом к данным.
Важно!
Поддержка PowerShell для управления доступом к данным доступна в модуле Microsoft.Online.SharePoint.PowerShell и версии 16.0.25409.
Важно!
Выполните команду Connect-SPOService без параметра Credential . Мы не поддерживаем вход с помощью параметра Credential , встроенного в последние методики безопасности.
Создание отчетов с помощью PowerShell
Используйте команду Start-SPODataAccessGovernanceInsight для создания всех отчетов с соответствующими фильтрами и параметрами.
Превышение общего доступа к базовому отчету с помощью разрешений
Определение "oversharing" может быть разным для разных клиентов. Управление доступом к данным рассматривает "количество пользователей" в качестве одного из возможных ключевых элементов для создания базовых показателей, а затем отслеживания ключевых участников потенциального "переучета", таких как совместное использование созданных ссылок и общего доступа к большим группам, таким как "Все, кроме внешних пользователей", за последние 28 дней. Вы можете определить пороговое значение "число пользователей" и создать отчет о сайтах, к которым обращается большое количество пользователей во время создания отчета. Этот отчет считается отчетом snapshot.
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"
Эта команда создает список всех сайтов, на которых более 100 пользователей могут получить доступ к любому содержимому сайта. Дополнительные сведения о списке сайтов и способах интерпретации результатов приведены здесь.
Примечание.
В настоящее время отчет состоит из сайтов SharePoint и учетных записей OneDrive и может создавать до 1 млн сайтов и (или) учетных записей.
Общий доступ к отчетам о ссылках
Эти отчеты полезны для выявления сайтов, которые активны в совместной работе и, следовательно, нуждаются в более быстром вмешательстве, чтобы снизить любой потенциальный риск чрезмерного использования. Эти отчеты на основе RecentActivity определяют сайты, на которых за последние 28 дней создается наибольшее количество ссылок для общего доступа.
Все пользователи, использующие ссылки, созданные за последние 28 дней
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
Укажите значение рабочей нагрузки "OneDriveForBusiness", чтобы получить все учетные записи OneDrive с одинаковыми критериями.
Каналы общего доступа PeopleInYourOrg, созданные за последние 28 дней
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
Укажите значение рабочей нагрузки "OneDriveForBusiness", чтобы получить все учетные записи OneDrive с одинаковыми критериями.
Ссылки общего доступа для определенных пользователей (гостей), созданные за последние 28 дней
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
Укажите значение рабочей нагрузки "OneDriveForBusiness", чтобы получить все учетные записи OneDrive с одинаковыми критериями.
Содержимое, к которым предоставлен доступ всем, кроме внешних пользователей за последние 28 дней
Хотя ссылки на общий доступ являются одним из возможных участник для потенциального совместного использования, другой ключевой участник является "Все, кроме внешних пользователей" (EEEU), который делает содержимое общедоступным, то есть видимым для всей организации и упрощающим обнаружение содержимого и получение доступа. Эти отчеты определяют сайты, которые активно использовали EEEU в различных областях за последние 28 дней.
Сайты, к которым предоставлен общий доступ всем, кроме внешних пользователей за последние 28 дней
Когда EEEU добавляется к членству на сайте (владельцы, участники или посетители), все содержимое сайта становится общедоступным и более подвержено чрезмерному совместному доступу. Следующая команда PowerShell активирует отчет для записи таких сайтов за последние 28 дней:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Примечание.
В настоящее время отчет для OneDriveForBusiness с EEEU на уровне сайта не поддерживается.
Элементы, к которым предоставлен общий доступ всем, кроме внешних пользователей за последние 28 дней
Следующая команда PowerShell активирует отчет для записи сайтов, на которых за последние 28 дней EEEU был предоставлен общий доступ к определенным элементам (файлам, папкам и спискам):
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Укажите значение рабочей нагрузки "OneDriveForBusiness", чтобы получить все учетные записи OneDrive с одинаковыми критериями.
Метка конфиденциальности в отчете о файлах
Эта команда PowerShell активирует отчет для перечисления сайтов, на которых определенные элементы были помечены заданной меткой, на дату создания отчета.
Сначала получите имя метки или GUID метки с помощью модуля PowerShell "Безопасность и соответствие".
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
Затем используйте имя и GUID, чтобы получить сайты с файлами, помеченными указанным именем метки или GUID.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
Примечание.
В настоящее время отчет для учетных записей OneDriveForBusiness с помеченными файлами не поддерживается.
Отслеживание отчетов с помощью PowerShell
Важно!
При создании всех отчетов в качестве выходных данных будет использоваться ИДЕНТИФИКАТОР GUID, который можно использовать для отслеживания состояния отчета.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Используйте команду Get-SPODataAccessGovernanceInsight , чтобы получить текущее состояние определенного отчета об управлении доступом к данным с помощью идентификатора отчета.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime и ReportEndTime указывают период данных для создания отчета. По завершении создания отчета состояние помечается как "Завершено".
Вы также можете просмотреть текущее состояние отчетов DAG, используя фильтр ReportEntity вместо идентификатора. Идентификатор отчета отображается в выходных данных и требуется позже для скачивания определенного отчета.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
Просмотр и скачивание отчетов с помощью PowerShell
Чтобы скачать определенный отчет, требуется идентификатор отчета. Получите идентификатор отчета с помощью команды Get-SPODataAccessGovernanceInsight и используйте команду Export-SPODataAccessGovernanceInsight , чтобы скачать отчет по указанному пути.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
При этом CSV-файл загружается по указанному пути. Подробные сведения о CSV-файле или представлении для каждого отчета рассматриваются здесь.
Примечание.
Путь загрузки по умолчанию — это папка Downloads.
Действия по исправлению с помощью PowerShell
После создания отчетов по управлению доступом к данным администраторы SharePoint могут выполнять действия по исправлению, как описано здесь. В следующем разделе описаны команды PowerShell для активации и отслеживания проверки доступа к сайту в качестве действия по исправлению.
Запуск проверки доступа к сайту с помощью PowerShell
Используйте команду Start-SPOSiteReview , чтобы инициировать проверку доступа к сайту для определенного сайта, указанного в отчете об управлении доступом к данным. Отчет об управлении доступом к данным содержит контекст, в котором следует инициировать проверку. Получите идентификатор отчета, идентификатор сайта из CSV-файла и предоставьте комментарии, чтобы дать владельцу сайта ясность в отношении цели проверки.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
Это активирует сообщения электронной почты владельцу сайта, как описано здесь.
Отслеживание проверок доступа к сайту с помощью PowerShell
Используйте команду Start-SPOSiteReview для отслеживания состояния проверок доступа к сайту. Для определенных проверок можно использовать ReviewID значение, как показано в выходных данных. Чтобы получить все проверки, связанные с модулем отчетов, используйте ReportEntity параметр .
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents