SharePoint 网站的数据访问治理报告
本文中的某些功能需要Microsoft SharePoint 高级版 - SharePoint 高级管理
随着 SharePoint 网站的扩张和过度共享随着数据呈指数级增长而增加,组织需要帮助来管理其数据。 数据访问治理报告可帮助你控制对 SharePoint 数据的访问权限。 使用报表可以发现包含可能过度共享或敏感内容的网站。 可以使用这些报告来评估和应用相应的安全性和合规性策略。
要求
此功能需要Microsoft 365 E5或Microsoft SharePoint 高级版 - SharePoint 高级管理。
注意
拥有Microsoft 365 E5许可的 IT 管理员可以访问数据访问治理报告,但无法查看或使用其他 SharePoint 高级管理功能。
访问 SharePoint 管理中心中的报表
使用组织的 SharePoint 管理员凭据登录到 SharePoint 管理中心。
在左窗格中,展开 “报表 ”,然后选择“ 数据访问治理”。
以下报告当前可从数据访问治理登陆页获取:
- 共享链接
- 应用于文件的敏感度标签
- 与“除外部用户以外的所有人共享”
现在,仅通过 PowerShell 提供使用权限的新过度共享基线报表。
对于不同的客户,过度共享的定义可能有所不同。 数据访问治理将“用户数”视为建立基线的一个可能透视点,然后跟踪潜在过度共享的关键参与者,例如共享创建的链接以及共享到过去 28 天内除外部用户以外的所有人等大型组。
共享链接报表
通过共享链接报表,可以通过显示用户在其中创建了最多新共享链接的网站来识别过度共享的潜在来源。 报告可用于以下链接:
| 报表名称 | 说明 |
|---|---|
| “任何人”链接 | 此报表提供在其中创建了最多“任何人”链接的网站列表。 “任何人”链接允许任何人在不登录的情况下访问文件和文件夹。 |
| “组织中的人员”链接 | 此报表提供在其中创建了最多“组织中人员”链接的网站列表。 这些链接可以在内部转发,并允许组织中的任何人访问文件和文件夹。 |
| 外部共享的“特定人员”链接 | 此报表提供网站列表,其中为组织外部的人员创建了最多数量的“特定人员”链接。 |
运行报表
若要获取每个报表的最新数据,请手动运行数据访问治理报告。 可以运行所有报表或选择要运行的单个报表。 可能需要几个小时才能完全生成报表。 若要检查报表是否已准备就绪或查看上次更新的时间,请参阅“状态”列。
注意
一个报表每月只能运行一次。
查看报表
报表准备就绪后,选择报表的名称以查看数据。 每个共享链接报告包括:
注意
现在 可通过 PowerShell 支持 OneDrive 数据。
下载报表
还可以将报告下载为最多 10,000 个站点的 CSV 文件。
重要
如果您有 SharePoint SharePoint 高级版 - SharePoint 高级管理许可证,并且租户是非政府云环境,则可以下载最多 100 万个网站的报告。
文件报表的敏感度标签
文件报表的敏感度标签功能使你可以通过查找存储 应用敏感度标签的 Office 文件的网站来控制对敏感内容的访问。 可以查看这些网站,确保应用正确的策略。
添加报表
可以为要跟踪的每个敏感度标签添加报表。添加报表会首次运行它。
注意
只能为范围包含“文件”的敏感度标签添加报表。
运行报表
若要获取报表的最新数据,请运行报表。 可以运行所有报表或选择要运行的单个报表。 运行报表可能需要几个小时。 若要检查报表是否已准备就绪或上次更新,请参阅“状态”列。
注意
每个报表在 24 小时内只能运行一次。
下载报表
运行报表后,选择报表以下载数据。 报告包括:
- 最多 10,000 个网站,其中 应用了敏感度标签的 Office 文件数最多。
- 在以下站点上应用的策略 - 站点敏感度、 站点非托管设备策略和 站点外部共享策略。
与“除外部用户以外的所有人”共享的内容 (EEEU) 报表
重要
仅当具有 SharePoint 高级版 - SharePoint 高级管理许可证且租户是非政府云环境时,此报告才可用。 此报告目前不适用于政府云环境(如 GCCH/GCC-Moderate/DoD/Gallatin),即使你有SharePoint 高级版 - SharePoint 高级管理许可证也是如此。
除 EEEU) (外部用户以外的所有人都是代表整个组织且没有任何外部来宾的内置组的一部分。 它用于以下需要对整个组织可见的内容的情况:
- 公共网站 - 网站对整个组织中的用户公开可见 - 除外部用户 (EEEU) 组以外的所有人都是网站成员身份的一部分,即网站所有者/访问者/成员。
- 公共项目 - 可以在人员选取器中选择“EEEU”,以 (文件/文件夹) 共享特定项目,然后该项目对整个组织可见。
现在,组织可以使用新的数据访问治理 (DAG) 报告发现通过 EEEU 发生的潜在过度共享,该报表捕获了过去 28 天内的上述事件。
创建除外部用户报表以外的所有人
创建报表时,可以选择各种选项,例如创建重点报表或在报表中稍后进行筛选。
- 报表名称:提供报表的唯一名称。
- 模板:Lists类别的 SharePoint 网站模板 (经典网站、通信网站、团队网站和其他) 。 可以选择多个值或 “所有站点”。
- 隐私:适用于范围内的团队网站。 可以选择 “专用”、“ 公共” 或“ 全部”。
- 网站敏感度:Lists所有敏感度标签。 如果要报告在已标记的网站范围内运行,请选择一个或多个标签。 例如:“识别网站中标记为”机密“的文件,这些文件在过去 28 天内与 EEEU 共享。
- 报告类型:选择前面讨论的方案,是针对最近的“公共网站”还是最近的“公共项目”提供报表。
运行除外部用户报表以外的所有人
若要获取报表的最新数据,请运行报表。 可以运行所有报表或选择要运行的单个报表。 运行报表可能需要几个小时。 若要检查报表是否已准备就绪或上次更新,请参阅“状态”列。
注意
每个报表在 24 小时内只能运行一次。
查看 EEEU 报告
每个 EEEU 报表都包含数据,如以下屏幕截图所示:
注意
现在 可通过 PowerShell 支持 OneDrive 数据。
下载除外部用户报表以外的所有人
运行报表后,选择要下载数据的报表。 在报表中:
- 首先显示与 EEEU 共享的项/组数最多的网站,报告包含多达 100 万个此类网站。
- 其他网站相关信息,例如主管理员、管理员的电子邮件地址、网站模板、隐私、敏感度标签等。
限制或已知问题
- 如果为组织选择了非非特定化报表数据,则报表将正常工作。 若要更改此设置,你必须是全局管理员。 转到Microsoft 365 管理中心中的“报表”设置,并清除“在所有报表中显示隐藏的用户、组和网站名称”。
- 报表数据最多可以延迟 48 小时。 在新租户中,成功生成数据并可供查看可能需要几天时间。
使用基于权限的报告设置过度共享基线
SharePoint 管理员必须了解其租户中的权限设置,尤其是在 Copilot 采用后,因为它尊重用户和内容权限。 Copilot 的数据泄露风险随着有权访问的用户数而增加。 因此,SharePoint 管理员需要通过检查对项目或网站的权限来评估敏感数据的“公开”。 数据访问治理 (DAG) 可以通过标识具有“过多”权限用户的站点来帮助建立过度共享阈值。
创建过度共享基线报告
重要
目前,SharePoint 管理员只能通过 PowerShell 生成报表。 租户的第一个报表最多可能需要 5 天。
注意
此报表每月只能运行一次。
运行过度共享基线报告
有关运行命令以生成过度共享基线报告的详细信息,请参阅 用于数据访问治理的 PowerShell 。
查看和下载过度共享基线报告
有关运行命令以查看和下载过度共享基线报表的详细信息,请参阅 用于数据访问治理的 PowerShell 。
注意
报表包括 SharePoint 和 OneDrive 数据。
了解过度共享基线报告
报表的输出具有以下数据:
| 列 | 说明 |
|---|---|
| TenantID | 标识租户的 GUID |
| 站点 ID | 标识租户的 GUID |
| 网站名称 | 站点名称 |
| 网站 URL | 网站的 URL |
| 网站模板 | 指定网站的类型。 具有通信网站、工作组网站、工作组网站 (无Microsoft 365 组) 、其他网站等值 |
| 主管理员 | “活动网站”页中标记为“主站点”的站点管理员 |
| 主管理员电子邮件 | 主站点管理员Email |
| ExternalSharing | 指定是否可以与外部来宾共享内容。 Yes 或 No。 |
| 网站隐私 | 适用于 Microsoft 365 连接的团队网站。 指定组的隐私设置。 具有“公共”或“专用”值 |
| 站点敏感度 | 指定应用于网站的敏感度标签 |
| 有权访问的用户数 | 在任何级别/范围内有权访问网站内容的用户数的唯一数量。 最小值为 100。 |
| 组织链接计数中的人员 | 网站中所有文件的现有 PeopleInYourOrg 链接数 |
| 任何人链接计数 | 网站中所有文件的现有“任何人”链接数 |
| 报表日期 | 生成报表的时间。 最多可能需要 48 小时才能反映报表中的任何更改 |
有权访问的用户数
此数字表示有权访问网站及其内容的所有唯一用户。
可以在任何范围内授予对网站及其内容的访问权限。
- SharePoint 组作为所有者、成员或访问者有权访问网站中的全部内容。 可以在 SharePoint 组中具有单个或Microsoft Entra组。
- 通过唯一权限/中断的继承,访问权限可以限制为几个项目/文件。 目标收件人可以是单个用户和 SharePoint 组/Entra 组。 这些内容对于了解和管理过度共享非常重要,因为它们不在网站成员身份范围之外。
通过跨所有范围扩展所有组和个人、删除重复项以及计算唯一用户数来计算此数字。 换句话说,这表示当前“数据泄露”的范围。 如果要直接添加用户或跨任何范围添加Microsoft Entra组,则此数字会相应增加Microsoft Entra组大小和/或添加的个人数。 但是,创建共享链接并与“除外部用户以外的所有人”共享网站不会自动增加此数字,因为不会直接分配任何权限。 这会增加网站/网站内容现在公开可见的概率,并且更多的用户可以访问。 仅当用户访问内容时,该数字才会增加。 因此,可以将共享链接或 EEEU 权限的数量视为“潜在暴露”
因此,此报告列出了访问内容“用户过多”的所有网站,因此更容易出现 Copilot 曝光。
数据访问治理报告中的修正操作
重要
数据访问治理报告中的修正操作仅适用于运行非政府云环境的 SharePoint 高级版 - SharePoint 高级管理订阅者。 此功能目前不适用于政府云环境(例如 GCCH/GCC-Moderate/DoD/Gallatin),即使你有SharePoint 高级版 - SharePoint 高级管理许可证也是如此。
运行数据访问治理报告以发现潜在的过度共享后,下一步是采取措施来修正此类风险。 建议考虑内容敏感度、公开的内容量和对现有状态的中断等因素。
如果需要立即采取操作,可以配置 受限访问控制 (RAC) ,并限制对当前处于预览) 的指定组 (的访问。 还可以使用 “更改历史记录”报告 来识别最近对网站属性进行的更改,这些更改可能导致过度共享。
还可以请求网站所有者在通过数据访问治理报告中提供的 站点访问评审功能 采取必要操作之前查看权限。