SharePoint 網站的數據存取治理報告
本文中的某些功能需要Microsoft SharePoint Premium - SharePoint 進階管理
隨著 SharePoint 網站的擴充和過度共用隨著指數數據成長而增加,組織需要管理其數據的協助。 數據存取控管報告可協助您控管對 SharePoint 數據的存取。 這些報告可讓您探索包含可能過度共用或敏感性內容的網站。 您可以使用這些報告來評估並套用適當的安全性與合規性原則。
需求
此功能需要 Microsoft 365 E5 或Microsoft SharePoint Premium - SharePoint 進階管理。
注意事項
具有 Microsoft 365 E5 授權的 IT 系統管理員可以存取數據存取治理報告,但無法檢視或利用其他 SharePoint 進階管理功能。
在 SharePoint 系統管理中心存取報告
使用組織的 SharePoint 系統管理員認證登入 SharePoint 系統管理中心。
在左窗格中,展開 [報告 ],然後選 取 [數據存取控管]。
數據存取控管登陸頁面目前提供下列報告:
- 共用連結
- 套用至檔案的敏感度標籤
- 與 「外部使用者以外的所有人」共用
現在只能透過PowerShell取得使用許可權的新過度共享基準報表。
對於不同的客戶而言,過度共用的定義可能不同。 數據存取控管會將「用戶數目」視為一個可能的數據透視表,以建立基準,然後追蹤潛在過度共享的關鍵參與者,例如,在過去 28 天內建立與共用大型群組的連結,例如[外部使用者以外的所有人]。
共用連結報表
共用連結報表可讓您顯示使用者建立最新共用連結的網站,以識別過度共用的潛在來源。 報表適用於下列連結:
| 報表名稱 | 描述 |
|---|---|
| 'Anyone' 連結 | 此報表提供建立「任何人」連結數目最高的網站清單。 「任何人」連結可讓任何人存取檔案和資料夾,而不需要登入。 |
| 「組織中 人員」連結 | 此報告提供網站清單,其中已建立「組織中 人員」連結數目最高的網站。 這些連結可以在內部轉送,並允許組織中的任何人存取檔案和資料夾。 |
| 外部共用的「特定人員」連結 | 此報告提供為組織外部人員建立最多「特定人員」連結數目的網站清單。 |
執行報表
若要取得每個報表的最新數據,請手動執行數據存取治理報告。 您可以執行所有報表,或選取要執行的個別報表。 報表可能需要數小時才能完全產生。 若要檢查報表是否已就緒或查看上次更新的時間,請參閱 [狀態] 數據 行。
注意事項
報表每月只能執行一次。
檢視報表
當報表準備就緒時,請選取報表的名稱以檢視數據。 每個共享連結報表都包含:
注意事項
現在 可透過PowerShell支援 OneDrive 資料。
下載報表
您也可以下載報告作為最多 10,000 個網站的 CSV 檔案。
重要事項
如果您有 SharePoint SharePoint Premium - SharePoint 進階管理授權,且您的租使用者是非政府雲端環境,則最多可以下載 1 百萬個網站的報告。
檔案報表的敏感度標籤
檔案報告的敏感度標籤功能可讓您藉由尋找儲存已套用 敏感度標籤之 Office 檔案的網站,來控制敏感性內容的存取。 您可以檢閱這些網站,以確保套用正確的原則。
新增報表
您可以為您想要追蹤的每個敏感度標籤新增報表。新增報表會第一次執行它。
注意事項
您只能針對包含 「檔案」範圍的敏感度標籤新增報表。
執行報告
若要取得報表的最新數據,請執行報表。 您可以執行所有報表,或選取要執行的個別報表。 報表可能需要數小時才能執行。 若要檢查報表是否就緒或上次更新的時間,請參閱 [狀態] 數據 行。
注意事項
每個報表只能在24小時內執行一次。
![標示為 [機密] 和 [高度機密] 檔案的網站報告](sharepointonline/media/sensitivity-labels-reports-link.png)
下載報告
執行報表之後,請選取要下載數據的報表。 報表包括:
- 最多 10,000 個網站,其中套用 敏感度標籤的 Office 檔案數目最高。
- 下列網站上套用的原則 - 網站敏感度、 網站非受控裝置原則,以及 網站外部共享原則。
與「外部使用者以外的所有人」共用的內容 (EEEU) 報告
重要事項
只有當您有 SharePoint Premium - SharePoint 進階管理授權,且租使用者是非政府雲端環境時,才能使用此報告。 報表目前無法用於政府雲端環境,例如 GCCH/GCC-Moderate/DoD/在載入巨集,即使您有 SharePoint Premium - SharePoint 進階管理授權也一樣。
外部使用者 (EEEU) 以外的所有人都是內建群組的一部分,該群組代表不含任何外部來賓的整個組織。 它用於下列需要讓整個組織看到內容的案例:
- 公用網站 - 整個組織內的用戶會公開看到該網站 - 除了外部使用者 (EEEU) 群組以外的所有人,都是網站成員資格的一部分,也就是網站擁有者/訪客/成員。
- 公用專案 - 您可以在人員選擇器中選取 [EEEU], (檔案/資料夾) 共用特定專案,然後整個組織就會看到該專案。
現在,組織可以使用新的數據存取控管 (DAG) 報告來探索透過 EEEU 可能發生的過度共用,以擷取過去 28 天內的上述事件。
建立外部用戶報告以外的所有人
建立報表時,您可以選取各種選項,例如在報表內建立焦點報表或稍後篩選。
- 報表名稱:提供報表的唯一名稱。
- 範本:清單 傳統網站、通訊網站、小組網站 (其他網站範本) 的SharePoint網站範本類別。 您可以選擇多個值或 [所有網站]。
- 隱私權:適用於範圍內的小組網站。 您可以選取 [私人]、[ 公用 ] 或 [ 全部]。
- 網站敏感度:清單 所有敏感度標籤。 如果您想要報告要在已標記的網站範圍內執行,請選取一或多個標籤。 例如:「識別過去 28 天內與 EEEU 共用的網站內標示為「機密」的檔案。
- 報表類型:若要選取先前所討論的案例,不論您想要最近「公用網站」或最近「公用專案」的報告。
執行外部用戶報告以外的所有人
若要取得報表的最新數據,請執行報表。 您可以執行所有報表,或選取要執行的個別報表。 報表可能需要數小時才能執行。 若要檢查報表是否就緒或上次更新的時間,請參閱 [狀態] 數據 行。
注意事項
每個報表只能在24小時內執行一次。
檢視 EEEU 報告
每個 EEEU 報表都包含如下列螢幕快照所示的數據:
注意事項
現在 可透過PowerShell支援 OneDrive 資料。
下載外部用戶報告以外的所有人
執行報表之後,請選取要下載數據的報表。 在報表中:
- 與 EEEU 共用的專案/群組數目最多的網站會先出現,且報表包含多達 1 百萬個這類網站。
- 其他網站相關信息,例如主要系統管理員、系統管理員的電子郵件地址、網站範本、隱私權、敏感度標籤等。
限制或已知問題
- 如果您已為組織選取非假名的報表數據,報表就會運作。 若要變更此設定,您必須是全域管理員。 移至 Microsoft 365 系統管理中心 中的 [報表] 設定,並清除 [顯示所有報表中隱藏的使用者、群組和網站名稱]。
- 報表數據最多可以延遲 48 小時。 在新的租使用者中,可能需要幾天的時間才能成功產生數據並可供檢視。
使用許可權型報表設定過度共享基準
SharePoint 系統管理員必須瞭解其租使用者中的許可權設定,特別是在採用 Copilot 之後,因為它尊重使用者和內容許可權。 Copilot 的數據暴露風險會隨著具有存取權的用戶數目而增加。 因此,SharePoint 系統管理員必須藉由檢查專案或網站的許可權來評估敏感數據「暴露」。 數據存取控管 (DAG) 可藉由識別具有「太多」許可權用戶的網站,協助建立過度共享閾值。
建立過度共享基準報表
重要事項
SharePoint 系統管理員目前只能透過PowerShell產生報表。 租使用者的第一份報告最多可能需要5天。
注意事項
此報表每月只能執行一次。
執行過度共享基準報表
如需執行 命令以產生過度共享基準報表的詳細資訊,請參閱 PowerShell for Data Access Governance 。
檢視和下載過度共享基準報表
如需執行 命令以檢視和下載過度共享基準報表的詳細資訊,請參閱 PowerShell for Data Access Governance。
注意事項
此報表同時包含 SharePoint 和 OneDrive 數據。
瞭解過度共用基準報表
報表的輸出具有下列數據:
| 欄 | 描述 |
|---|---|
| TenantID | 識別租使用者的 GUID |
| 網站標識碼 | 識別租使用者的 GUID |
| 網站名稱 | 網站名稱 |
| 網站 URL | 網站的 URL |
| 網站範本 | 指定網站的類型。 具有通訊網站、小組網站、小組網站 (沒有Microsoft 365 群組) 、其他網站等值 |
| 主要系統管理員 | 在使用中網站頁面中標示為主要的網站管理員 |
| 主要系統管理員電子郵件 | 主要站台系統管理員的 Email |
| ExternalSharing | 指定是否可以與外部來賓共享內容。 是或否。 |
| 網站隱私權 | 適用於Microsoft 365 連線的小組網站。 指定群組的隱私權設定。 具有 [公用] 或 [私人] 值 |
| 網站敏感度 | 指定套用至網站的敏感度標籤 |
| 具有存取權的用戶數目 | 可在任何層級/範圍存取網站內容的唯一用戶數目。 最小值為 100。 |
| 人員 組織中的連結計數 | 網站中所有檔案的現有 PeopleInYourOrg 連結數目 |
| 任何人連結計數 | 網站中所有檔案的現有任何人連結數目 |
| 報表日期 | 產生報表的時間。 最多可能需要 48 小時的時間來反映報表中的任何變更 |
具有存取權的用戶數目
此數位代表有權存取網站及其內容的所有唯一使用者。
您可以在任何範圍提供網站及其內容的存取權。
- SharePoint 群組可以擁有者、成員或訪客身分存取網站內的整個內容。 您可以在 SharePoint 群組內擁有個人或 Microsoft Entra 群組。
- 存取權可以限制為透過唯一許可權/中斷繼承的幾個專案/檔案。 目標收件者可以是個別使用者和 SharePoint 群組/Entra 群組。 這些專案對於過度共用而言很重要,因為它們不在網站成員資格範圍之外。
此數字的計算方式是將所有群組和個人擴充到所有範圍、移除重複專案,以及計算唯一用戶的數目。 換句話說,這代表目前「數據曝光」的範圍。 如果您要直接新增使用者或跨任何範圍新增 Microsoft Entra 群組,則此數目會增加,對應至 Microsoft Entra 群組大小和/或新增的個人數目。 不過,建立共用連結並與「外部使用者以外的所有人」共享網站並不會自動增加此數目,因為不會直接指派任何許可權。 這些會增加網站/網站內容現在公開可見的機率,而且有更多使用者可以存取。 只有當使用者存取內容時,數位才會增加。 因此,您可以將共享連結或 EEEU 許可權的數目視為「潛在曝光」
因此,此報告會列出所有存取內容的「使用者太多」的網站,因此更容易公開 Copilot。
來自數據存取治理報告的補救動作
重要事項
數據存取治理報告的補救動作僅適用於執行非政府雲端環境的 SharePoint Premium - SharePoint 進階管理訂閱者。 即使您有 SharePoint Premium - SharePoint 進階管理授權,GCCH/GCC-Moderate/DoD/在載入巨集等政府雲端環境中目前也無法使用此功能。
一旦您執行數據存取治理報告來探索潛在的過度共用,下一個步驟是採取動作來補救這類風險。 建議您考慮內容敏感度、公開的內容量,以及現有狀態的中斷等因素。
如果需要立即採取動作,您可以設定 RAC) (限制存取控制 ,並限制目前處於預覽) 狀態的指定群組 (存取。 您也可以使用 「變更歷程記錄」報告 來識別最近可能會導致過度共享的網站屬性變更。
您也可以要求網站擁有者先檢閱許可權,再透過數據存取治理報告中提供的 網站存取權檢閱功能 採取必要的動作。