使用 SharePoint Online PowerShell 管理數據存取治理報告

本文中的某些功能需要Microsoft SharePoint Premium - SharePoint 進階管理

雖然 數據存取控 管可在 SharePoint 系統管理中心入口網站中使用，但大型組織通常會尋找 PowerShell 支援，以便透過腳本和自動化來管理規模。 本文件討論透過 SharePoint Online PowerShell 模組提供的所有適當 PowerShell 命令，以從資料存取控管管理報表。

重要事項

從模組 「Microsoft.Online.SharePoint.PowerShell」 和版本 「16.0.25409」 開始提供數據存取治理的 PowerShell 支援。

重要事項

執行 『Connect-SPOService』 命令，但不使用 Credential 參數。 我們不支援使用認證參數內嵌搭配最新安全 性 做法的登入。

使用 PowerShell 建立報表

使用 Start-SPODataAccessGovernanceInsight 命令來產生具有適當篩選和參數 的所有報 表

使用許可權過度共享基準報表

不同客戶的「過度共用」定義可能不同。 數據存取控管會將「用戶數目」視為建立基準的一個可能樞紐，然後追蹤潛在「過度共用」的重要參與者，例如在過去 28 天內建立的共享連結，以及與大型群組共用，例如「外部使用者以外的所有人」。 您可以定義「用戶數目」的臨界值，並在產生報表時產生許多使用者存取的網站報表。 此報表會被視為「快照集」報表。

Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"

此命令會產生所有網站的清單，其中超過100位使用者可以存取網站內的任何內容。 如需網站清單及如何解譯結果的詳細資訊，請參閱 這裡。

注意事項

報表目前包含 SharePoint 網站和 OneDrive 帳戶，最多可產生 100 萬個網站和/或帳戶。

共用連結報表

這些報告有助於識別共同作業中作用中的網站，因此需要更快速的介入來降低任何潛在的過度共享風險。 這些以 『RecentActivity』 為基礎的報表會識別在過去 28 天內產生最多共用連結數目的網站。

過去28天內建立的任何人共享連結

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity

提供工作負載值作為 『OneDriveForBusiness』，以取得所有具有相同準則的 OneDrive 帳戶。

PeopleInYourOrg 在過去 28 天內建立的共享連結

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity

提供工作負載值作為 『OneDriveForBusiness』，以取得所有具有相同準則的 OneDrive 帳戶。

特定人員 (來賓) 在過去 28 天內建立的共享連結

Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity

提供工作負載值作為 『OneDriveForBusiness』，以取得所有具有相同準則的 OneDrive 帳戶。

過去 28 天內與外部使用者以外的所有人共享的內容

雖然共用連結是潛在過度共用的可能參與者之一，但另一個重要參與者是「外部使用者以外的所有人」 (EEEU) ，讓內容「公開」為整個組織可見，並讓其他人輕鬆探索內容並取得存取權。 這些報告會識別過去 28 天內在各種範圍中主動使用 EEEU 的網站。

過去 28 天內與外部使用者以外的所有人共享的網站

當 EEEU 新增至網站成員資格 (擁有者、成員或訪客) 時，網站的整個內容會變成公用且更容易過度共用。 下列 PowerShell 命令會觸發報告，以擷取過去 28 天內的這類網站：

Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"

注意事項

目前不支援在網站層級使用 EEEU 的 OneDriveForBusiness 報告。

過去 28 天內與外部使用者以外的所有人共用的專案

下列 PowerShell 命令會觸發報表來擷取網站，其中的特定專案 (檔案/資料夾/清單) 在過去 28 天內與 EEEU 共用：

Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"

提供工作負載值作為 『OneDriveForBusiness』，以取得所有具有相同準則的 OneDrive 帳戶。

檔案報表中的敏感度標籤

此 PowerShell 命令會觸發報表，以列出從報表產生日期起，特定項目標示為指定「標籤」的網站。

首先，使用「安全性與合規性」PowerShell 模組擷取標籤名稱或標籤 GUID。

Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType

然後，使用名稱和 GUID 來擷取具有標記為指定標籤名稱或 GUID 之檔案的網站。

Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret

注意事項

目前不支援具有已標示檔案的 『OneDriveForBusiness』 帳戶報告。

使用 PowerShell 追蹤報表

重要事項

所有報表建立都會產生 GUID 作為輸出，可用來追蹤報表狀態

Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret

ReportId                             Status
--------                             ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted

使用 Get-SPODataAccessGovernanceInsight 命令，使用報表標識符擷取特定數據存取治理報告的目前狀態。

Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1

ReportId          : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity      : SharingLinks_Anyone
Status            : InQueue
Workload          : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime   : 11/13/2024 20:09:23
ReportStartTime   : 10/17/2024 19:32:33
ReportEndTime     : 11/13/2024 19:32:33
ReportType        : RecentActivity
SitesFound        : 120

ReportStartTime 和 ReportEndTime 會指出要產生報表的數據期間。 當報表產生完成時，狀態會標示為「已完成」。

您也可以使用篩選 ReportEntity 而非標識碼來檢視 DAG 報表的目前狀態。 reportID 會列在輸出中，稍後需要下載特定報表。

Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers

ReportId             : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName           : PermissionReportFor1AsOfSept
ReportEntity         : PermissionedUsers
Status               : Completed
Workload             : SharePoint
TriggeredDateTime    : 09/18/2024 11:06:16
CreatedDateTime      : 09/22/2024 12:12:48
ReportType           : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy              : All
Sensitivity          : {All}
Templates            : {All}

ReportId             : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName           : PermissionReportFor1AsOfOct
ReportEntity         : PermissionedUsers
Status               : Completed
Workload             : SharePoint
TriggeredDateTime    : 10/09/2024 14:15:40
CreatedDateTime      : 10/09/2024 15:18:23
ReportType           : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy              : All
Sensitivity          : {All}
Templates            : {All}

使用 PowerShell 檢視和下載報表

若要下載特定報表，您需要 reportID。 使用 Get-SPODataAccessGovernanceInsight 命令擷取 reportID，並使用 Export-SPODataAccessGovernanceInsight 命令將報表下載至指定的路徑。

Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"

這會將 CSV 檔案下載到指定的路徑。 這裏討論每個報表的 CSV/檢視詳細 數據。

注意事項

預設下載路徑是 [下載] 資料夾。

使用 PowerShell 的補救動作

產生數據存取治理報告之後，SharePoint 系統管理員就可以執行補救動作，如 這裡所述。 下一節說明用來觸發並追蹤「網站存取權檢閱」作為補救動作的 PowerShell 命令。

使用 PowerShell 起始網站存取權檢閱

使用 Start-SPOSiteReview 命令來起始特定網站的網站存取權檢閱，列在數據存取管理報告之下。 數據存取治理報告會提供應該起始檢閱的內容。 從 CSV 檔案擷取 reportID、網站標識符，並提供批注，讓網站擁有者清楚瞭解檢閱的目的。

Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity            : PermissionedUsers
Status                  : Pending
AdminComment            : Check for org wide access
SiteName                : All Company

這會觸發電子郵件給網站擁有者，如 這裡所述。

使用 PowerShell 追蹤網站存取權檢閱

使用 Start-SPOSiteReview 命令來追蹤網站存取權檢閱的狀態。 針對特定檢閱，您可以使用 ReviewID 輸出中所示的值。 若要擷取與報告模組相關的所有檢閱，請使用 ReportEntity 參數。

Get-SPOSiteReview -ReportEntity PermissionedUsers

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime   : 13-11-2024 23:25:41
ReportEndDateTime       : 13-11-2024 23:25:41
ReportEntity            : PermissionedUsers
Status                  : Pending
AdminComment            : Check for org wide access
SiteName                : All Company
ReviewerEmail           :
ReviewerComment         :

ReviewId                : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId                  : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime   : 15-10-2024 09:24:47
ReportEndDateTime       : 15-10-2024 11:39:52
ReportEntity            : PermissionedUsers
Status                  : Completed
AdminComment            : Check for org wide access
SiteName                : All Company
ReviewerEmail           : Jon@contosofinance.com
ReviewerComment         : Removed EEEU for sensitive documents