Verwenden der Freigabeüberwachung im Überwachungsprotokoll

Die Freigabe ist eine wichtige Aktivität in SharePoint Online und OneDrive for Business und wird in Organisationen häufig verwendet. Administratoren können die Freigabeüberwachung im Überwachungsprotokoll verwenden, um zu bestimmen, wie die Freigabe in ihren organization verwendet wird.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Das SharePoint-Freigabeschema

Freigabeereignisse (ohne Ereignisse im Zusammenhang mit Freigaberichtlinien und Freigabelinks) unterscheiden sich in erster Linie von datei- und ordnerbezogenen Ereignissen: Ein Benutzer führt eine Aktion aus, die sich auf einen anderen Benutzer auswirkt. Beispielsweise, wenn eine Ressource Benutzer A Benutzer B Zugriff auf eine Datei gewährt. In diesem Beispiel ist Benutzer A der handelnde Benutzer und Benutzer B derZielbenutzer. Im SharePoint-Dateischema wirkt sich die Aktion des handelnden Benutzers nur auf die Datei selbst aus. Wenn Benutzer A eine Datei öffnet, sind die einzigen Informationen, die im FileAccessed-Ereignis benötigt werden, der handelnde Benutzer. Um diesen Unterschied zu beheben, gibt es ein separates Schema namens SharePoint-Freigabeschema , das weitere Informationen zu Freigabeereignissen erfasst. Dadurch wird sichergestellt, dass Administratoren einblick können, wer eine Ressource freigegeben hat, und den Benutzer, für den die Ressource freigegeben wurde.

Das Freigabeschema enthält zwei zusätzliche Felder in einem Überwachungsdatensatz im Zusammenhang mit Freigabeereignissen:

• TargetUserOrGroupType: Gibt an, ob der Zielbenutzer oder die Zielgruppe Mitglied, Gast, SharePointGroup, SecurityGroup oder Partner ist.
• TargetUserOrGroupName: Speichert den UPN oder den Namen des Zielbenutzers oder der Zielgruppe, für den bzw. die eine Ressource freigegeben wurde (Benutzer B im vorherigen Beispiel).

Diese beiden Felder können zusätzlich zu anderen Eigenschaften aus dem Überwachungsprotokollschema wie Benutzer, Vorgang und Datum die vollständige Geschichte darüber erzählen, welcher Benutzer welche Ressource für wen und wann freigegeben hat.

Es gibt eine weitere Schemaeigenschaft, die für die Freigabe wichtig ist. Wenn Sie Überwachungsprotokollsuchergebnisse exportieren, speichert die Spalte AuditData in der exportierten CSV-Datei Informationen zu Freigabeereignissen. Wenn ein Benutzer beispielsweise eine Website für einen anderen Benutzer freigegeben hat, wird dies durch Hinzufügen des Zielbenutzers zu einer SharePoint-Gruppe erreicht. Die Spalte AuditData erfasst diese Informationen, um den Kontext für Administratoren bereitzustellen. Anweisungen zum Analysieren der Informationen in der Spalte AuditData finden Sie unter Schritt 2.

SharePoint-Freigabeereignisse

Die Freigabe wird durch definiert, wenn ein Benutzer (der handelnde Benutzer) eine Ressource für einen anderen Benutzer (den Zielbenutzer ) freigeben möchte. Überwachungsdatensätze im Zusammenhang mit der Freigabe einer Ressource für einen externen Benutzer (ein Benutzer, der sich außerhalb Ihrer organization befindet und kein Gastkonto im Microsoft Entra ID Ihres organization hat) werden durch die folgenden Ereignisse identifiziert, die im Überwachungsprotokoll protokolliert werden:

• SharingInvitationCreated: Ein Benutzer in Ihrem organization versucht, eine Ressource (wahrscheinlich eine Website) für einen externen Benutzer freizugeben. Dies führt zu einer externen Freigabe-Einladung, die an den Zielbenutzer gesendet wird. An diesem Punkt wird kein Zugriff auf die Ressource gewährt.
• SharingInvitationAccepted: Der externe Benutzer hat die vom handelnden Benutzer gesendete Freigabe-Einladung akzeptiert und hat nun Zugriff auf die Ressource.
• AnonymousLinkCreated: Für eine Ressource wird ein anonymer Link (auch als "Jeder"-Link bezeichnet) erstellt. Da ein anonymer Link erstellt und dann kopiert werden kann, ist es vernünftig anzunehmen, dass jedes Dokument mit einem anonymen Link für einen Zielbenutzer freigegeben wurde.
• AnonymousLinkUsed: Wie der Name schon sagt, wird dieses Ereignis protokolliert, wenn ein anonymer Link für den Zugriff auf eine Ressource verwendet wird.
• SecureLinkCreated: Ein Benutzer hat einen "Link für bestimmte Personen" erstellt, um eine Ressource für eine bestimmte Person zu freigeben. Bei diesem Zielbenutzer kann es sich um eine Person außerhalb Ihrer organization. Die Person, für die die Ressource freigegeben wird, wird im Überwachungsdatensatz für das AddedToSecureLink-Ereignis identifiziert. Die Zeitstempel für diese beiden Ereignisse sind nahezu identisch.
• AddedToSecureLink: Ein Benutzer wurde einem bestimmten Personenlink hinzugefügt. Verwenden Sie das Feld TargetUserOrGroupName in diesem Ereignis, um den Benutzer zu identifizieren, der dem entsprechenden Personenlink hinzugefügt wurde. Bei diesem Zielbenutzer kann es sich um eine Person außerhalb Ihrer organization.

Freigeben des Überwachungsarbeitsablaufs

Wenn ein Benutzer (der handelnde Benutzer) eine Ressource für einen anderen Benutzer (den Zielbenutzer) freigeben möchte, überprüft SharePoint (oder OneDrive for Business), ob die E-Mail-Adresse des Zielbenutzers bereits einem Benutzerkonto im Verzeichnis des organization zugeordnet ist. Wenn sich der Zielbenutzer im Verzeichnis befindet (und über ein entsprechendes Gastbenutzerkonto verfügt), führt SharePoint die folgenden Schritte aus:

• Weist dem Zielbenutzer sofort Berechtigungen für den Zugriff auf die Ressource zu, indem der Zielbenutzer der entsprechenden SharePoint-Gruppe hinzugefügt wird, und protokolliert ein AddedToGroup-Ereignis .
• Sendet eine Freigabebenachrichtigung an die E-Mail-Adresse des Zielbenutzers.
• Protokolliert ein SharingSet-Ereignis . Dieses Ereignis hat den Anzeigenamen "Freigegebene Datei, Ordner oder Website" unter Freigabe- und Zugriffsanforderungsaktivitäten in der Aktivitätsauswahl des Überwachungsprotokoll-Suchtools. Sehen Sie sich den Screenshot in Schritt 1 an.

Wenn sich ein Benutzerkonto für den Zielbenutzer nicht im Verzeichnis befindet, führt SharePoint folgende Aktionen aus:

• Protokolliert eines der folgenden Ereignisse, je nachdem, wie die Ressource freigegeben wird:

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (dieses Ereignis wird nur protokolliert, wenn die freigegebene Ressource eine Website ist)

• Wenn der Zielbenutzer die an ihn gesendete Freigabeeinladung akzeptiert (indem er auf den Link in der Einladung klickt), protokolliert SharePoint ein SharingInvitationAccepted-Ereignis und weist dem Zielbenutzer Berechtigungen für den Zugriff auf die Ressource zu. Wenn dem Zielbenutzer ein anonymer Link gesendet wird, wird das AnonymousLinkUsed-Ereignis protokolliert, nachdem der Zielbenutzer den Link für den Zugriff auf die Ressource verwendet hat. Bei sicheren Links wird ein FileAccessed-Ereignis protokolliert, wenn ein externer Benutzer den Link verwendet, um auf die Ressource zuzugreifen.

Weitere Informationen zum Zielbenutzer werden ebenfalls protokolliert, z. B. die Identität des Benutzers, an den die Einladung gesendet wird, und der Benutzer, der die Einladung annimmt. In einigen Fällen können sich diese Benutzer (oder E-Mail-Adressen) unterscheiden.

Identifizieren von Ressourcen, die für externe Benutzer freigegeben sind

Eine häufige Anforderung für Administratoren ist das Erstellen einer Liste aller Ressourcen, die für Benutzer außerhalb des organization freigegeben wurden. Mithilfe der Freigabeüberwachung in Office 365 können Administratoren diese Liste generieren. Die gehen so:

Schritt 1: Search zum Freigeben von Ereignissen und Exportieren der Ergebnisse in eine CSV-Datei

Der erste Schritt besteht darin, das Überwachungsprotokoll nach Freigabeereignissen zu durchsuchen. Weitere Informationen (einschließlich der erforderlichen Berechtigungen) zum Durchsuchen des Überwachungsprotokolls finden Sie unter Search des Überwachungsprotokolls.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

Führen Sie die folgenden Schritte aus, um nach Freigabeereignissen zu suchen:

1. Melden Sie sich beim Microsoft Purview-Portal an.

2. Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.

3. Wählen Sie auf der Seite Search unter Aktivitäten – Anzeigenamen die Option Freigabe- und Zugriffsanforderungsaktivitäten aus, um nach Freigabeereignissen zu suchen.

4. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Freigabeereignisse zu finden, die innerhalb dieses Zeitraums aufgetreten sind.

5. Klicken Sie auf Suchen, um die Suche durchzuführen.

6. Wenn die Suche abgeschlossen ist und die Ergebnisse angezeigt werden, wählen Sie Ergebnisse> exportierenAlle Ergebnisse herunterladen aus.

   Nachdem Sie die Exportoption ausgewählt haben, werden Sie in einer Meldung am unteren Rand des Fensters aufgefordert, die CSV-Datei zu öffnen oder zu speichern.

7. Wählen Sie Speichern>Unter speichern aus, und speichern Sie die CSV-Datei in einem Ordner auf Ihrem lokalen Computer.

Compliance-Portal

Führen Sie die folgenden Schritte aus, um nach Freigabeereignissen zu suchen:

1. Melden Sie sich beim Microsoft Purview-Portal an.

2. Wählen Sie im linken Bereich des Microsoft Purview-Complianceportal die Option Überwachen aus.

3. Wählen Sie auf der Seite Überwachung unter Aktivitäten die Option Freigabe- und Zugriffsanforderungsaktivitäten aus, um nach Freigabeereignissen zu suchen.

   

4. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Freigabeereignisse zu finden, die innerhalb dieses Zeitraums aufgetreten sind.

5. Klicken Sie auf Suchen, um die Suche durchzuführen.

6. Wenn die Suche abgeschlossen ist und die Ergebnisse angezeigt werden, wählen Sie Ergebnisse> exportierenAlle Ergebnisse herunterladen aus.

   Nachdem Sie die Exportoption ausgewählt haben, werden Sie in einer Meldung am unteren Rand des Fensters aufgefordert, die CSV-Datei zu öffnen oder zu speichern.

7. Wählen Sie Speichern>Unter speichern aus, und speichern Sie die CSV-Datei in einem Ordner auf Ihrem lokalen Computer.

Schritt 2: Verwenden der PowerQuery-Editor zum Formatieren des exportierten Überwachungsprotokolls

Der nächste Schritt besteht darin, die JSON-Transformationsfunktion im Power Query-Editor in Excel zu verwenden, um jede Eigenschaft in der AuditData-Spalte (die aus einem JSON-Objekt mit mehreren Eigenschaften besteht) in eine eigene Spalte aufzuteilen. Auf diese Weise können Sie Spalten filtern, um Datensätze im Zusammenhang mit der Freigabe anzuzeigen.

Schrittweise Anleitungen finden Sie unter "Schritt 2: Formatieren von exportierten Überwachungsprotokollen mithilfe des Power Query-Editors" in Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.

Schritt 3: Filtern der CSV-Datei nach Ressourcen, die für externe Benutzer freigegeben sind

Der nächste Schritt besteht darin, die CSV nach den verschiedenen Freigabeereignissen zu filtern, die zuvor im Abschnitt SharePoint-Freigabeereignisse beschrieben wurden. Alternativ können Sie die Spalte TargetUserOrGroupType filtern, um alle Datensätze anzuzeigen, bei denen der Wert dieser Eigenschaft Gast ist.

Nachdem Sie die Anweisungen im vorherigen Schritt zum Vorbereiten der CSV-Datei mit dem PowerQuery-Editor befolgt haben, gehen Sie wie folgt vor:

1. Öffnen Sie die Excel-Datei, die Sie in Schritt 2 erstellt haben.

2. Wählen Sie auf der Registerkarte Startdie Option Sort & Filter und dann Filter aus.

3. Deaktivieren Sie in der Dropdownliste Sort & Filter in der Spalte Vorgänge alle Auswahlen, wählen Sie dann eines oder mehrere der folgenden Freigabeereignisse aus, und wählen Sie dann OK aus.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   Excel zeigt die Zeilen für die von Ihnen ausgewählten Ereignisse an.

4. Wechseln Sie zur Spalte TargetUserOrGroupType , und wählen Sie sie aus.

5. Deaktivieren Sie in der Dropdownliste Sort & Filter alle Auswahlen, wählen Sie dann TargetUserOrGroupType:Guest aus, und klicken Sie auf OK.

   Excel zeigt nun die Zeilen für die Freigabe von Ereignissen und an, bei denen sich der Zielbenutzer außerhalb Ihrer organization befindet, da externe Benutzer durch den Wert TargetUserOrGroupType:Guest identifiziert werden.

Tipp

Für die angezeigten Überwachungsdatensätze gibt die Spalte ObjectId die Ressource an, die für den Zielbenutzer freigegeben wurde. z. B ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx. .