Verwenden der Freigabeüberwachung im ÜberwachungsprotokollUse sharing auditing in the audit log

Die Freigabe ist eine wichtige Aktivität in SharePoint Online und OneDrive for Business und wird in Organisationen häufig verwendet.Sharing is a key activity in SharePoint Online and OneDrive for Business, and it's widely used in organizations. Administratoren können die Freigabeüberwachung im Überwachungsprotokoll verwenden, um zu bestimmen, wie die Freigabe in ihrer Organisation verwendet wird.Administrators can use sharing auditing in the audit log to determine how sharing is used in their organization.

Das SharePoint FreigabeschemaThe SharePoint Sharing schema

Freigabeereignisse (ohne Ereignisse im Zusammenhang mit Freigaberichtlinien und Freigabelinks) unterscheiden sich von datei- und ordnerbezogenen Ereignissen auf eine primäre Weise: Ein Benutzer macht eine Aktion, die auswirkungen auf einen anderen Benutzer hat.Sharing events (not including events related to sharing policy and sharing links) are different from file- and folder-related events in one primary way: one user is performing an action that has an effect on another user. Beispielsweise, wenn eine Ressource Benutzer A Benutzer B Zugriff auf eine Datei gewährt.For example, when a resource User A gives User B access to a file. In diesem Beispiel ist Benutzer A der handelnde Benutzer und Benutzer B der Zielbenutzer.In this example, User A is the acting user and User B is the target user. Im SharePoint Dateischema wirkt sich die Aktion des handelnden Benutzers nur auf die Datei selbst aus.In the SharePoint File schema, the acting user's action only affects the file itself. Wenn Benutzer A eine Datei öffnet, sind die einzigen Informationen, die im FileAccessed-Ereignis benötigt werden, der handelnde Benutzer.When User A opens a file, the only information needed in the FileAccessed event is the acting user. Um diesen Unterschied zu erkennen, gibt es ein separates Schema namens SharePoint Freigabeschema, das weitere Informationen zu Freigabeereignissen erfasst.To address this difference, there is a separate schema, called the SharePoint Sharing schema, that captures more information about sharing events. Dadurch wird sichergestellt, dass Administratoren einblicken können, wer eine Ressource freigegeben hat, und den Benutzer, für den die Ressource freigegeben wurde.This ensures that administrators have visibility into who shared a resource and the user the resource was shared with.

Das Freigabeschema stellt zwei zusätzliche Felder in einem Überwachungsdatensatz im Zusammenhang mit Freigabeereignissen zur Verfügung:The Sharing schema provides two additional fields in an audit record related to sharing events:

  • TargetUserOrGroupType: Gibt an, ob der Zielbenutzer oder die Zielgruppe Mitglied, Gast, SharePointGroup, SecurityGroup oder Partner ist.TargetUserOrGroupType: Identifies whether the target user or group is a Member, Guest, SharePointGroup, SecurityGroup, or Partner.

  • TargetUserOrGroupName: Speichert den UPN oder den Namen des Zielbenutzers oder der Gruppe, für den eine Ressource freigegeben wurde (Benutzer B im vorherigen Beispiel).TargetUserOrGroupName: Stores the UPN or name of the target user or group that a resource was shared with (User B in the previous example).

Diese beiden Felder können neben anderen Eigenschaften aus dem Überwachungsprotokollschema, z. B. Benutzer, Vorgang und Datum, den vollständigen Bericht darüber erzählen, welcher Benutzer welche Ressource für wen und wann freigegeben hat. These two fields, in addition to other properties from the audit log schema such as User, Operation, and Date can tell the full story about which user shared what resource with whom and when.

Es gibt eine weitere Schemaeigenschaft, die für die Freigabegeschichte wichtig ist.There's another schema property that's important to the sharing story. Wenn Sie Die Suchergebnisse des Überwachungsprotokolls exportieren, speichert die Spalte AuditData in der exportierten CSV-Datei Informationen zu Freigabeereignissen.When you export audit log search results, the AuditData column in the exported CSV file stores information about sharing events. Wenn ein Benutzer z. B. eine Website für einen anderen Benutzer teilt, wird dies durch Hinzufügen des Zielbenutzers zu einer gruppe SharePoint erreicht.For example, when a user shares a site with another user, this is accomplished by adding the target user to a SharePoint group. Die Spalte AuditData erfasst diese Informationen, um Kontext für Administratoren zu bieten.The AuditData column captures this information to provide context for administrators. Anweisungen zum Analysieren der Informationen in der Spalte AuditData finden Sie unter Schritt 2.See Step 2 for instructions on how to parse the information in the AuditData column.

SharePoint von FreigabeereignissenSharePoint sharing events

Die Freigabe wird definiert, wenn ein Benutzer (der handelnde Benutzer) eine Ressource für einen anderen Benutzer (den Zielbenutzer) freigeben möchte.Sharing is defined by when a user (the acting user) wants to share a resource with another user (the target user). Überwachungsdatensätze im Zusammenhang mit der Freigabe einer Ressource für einen externen Benutzer (ein Benutzer, der sich außerhalb Ihrer Organisation befindet und kein Gastkonto im Azure Active Directory Ihrer Organisation hat) werden durch die folgenden Ereignisse identifiziert, die im Überwachungsprotokoll protokolliert werden:Audit records related to sharing a resource with an external user (a user who is outside of your organization and doesn't have a guest account in your organization's Azure Active Directory) are identified by the following events, which are logged in the audit log:

  • SharingInvitationCreated: Ein Benutzer in Ihrer Organisation hat versucht, eine Ressource (wahrscheinlich eine Website) mit einem externen Benutzer zu teilen.SharingInvitationCreated: A user in your organization tried to share a resource (likely a site) with an external user. Dies führt zu einer externen Freigabeeinladung, die an den Zielbenutzer gesendet wird.This results in an external sharing invitation sent to the target user. Zu diesem Zeitpunkt wird kein Zugriff auf die Ressource gewährt.No access to the resource is granted at this point.

  • SharingInvitationAccepted: Der externe Benutzer hat die vom handelnden Benutzer gesendete Freigabeeinladung angenommen und hat nun Zugriff auf die Ressource.SharingInvitationAccepted: The external user has accepted the sharing invitation sent by the acting user and now has access to the resource.

  • AnonymousLinkCreated: Für eine Ressource wird ein anonymer Link (auch "Jeder"-Link genannt) erstellt.AnonymousLinkCreated: An anonymous link (also called an "Anyone" link) is created for a resource. Da ein anonymer Link erstellt und dann kopiert werden kann, kann davon ausgegangen werden, dass jedes Dokument mit einem anonymen Link für einen Zielbenutzer freigegeben wurde.Because an anonymous link can be created and then copied, it's reasonable to assume that any document that has an anonymous link has been shared with a target user.

  • AnonymousLinkUsed: Wie der Name schon sagt, wird dieses Ereignis protokolliert, wenn ein anonymer Link für den Zugriff auf eine Ressource verwendet wird.AnonymousLinkUsed: As the name implies, this event is logged when an anonymous link is used to access a resource.

  • SecureLinkCreated: Ein Benutzer hat einen "bestimmten Personenlink" erstellt, um eine Ressource für eine bestimmte Person zu teilen.SecureLinkCreated: A user has created a "specific people link" to share a resource with a specific person. Bei diesem Zielbenutzer kann es sich um eine Person außerhalb Ihrer Organisation handelt.This target user may be someone who is external to your organization. Die Person, für die die Ressource freigegeben ist, wird im Überwachungsdatensatz für das AddedToSecureLink-Ereignis identifiziert.The person that the resource is shared with is identified in the audit record for the AddedToSecureLink event. Die Zeitstempel für diese beiden Ereignisse sind nahezu identisch.The time stamps for these two events are nearly identical.

  • AddedToSecureLink: Einem bestimmten Personenlink wurde ein Benutzer hinzugefügt.AddedToSecureLink: A user was added to a specific people link. Verwenden Sie in diesem Ereignis das Feld TargetUserOrGroupName, um den Benutzer zu identifizieren, der dem entsprechenden bestimmten Personenlink hinzugefügt wurde.Use the TargetUserOrGroupName field in this event to identify the user added to the corresponding specific people link. Bei diesem Zielbenutzer kann es sich um eine Person außerhalb Ihrer Organisation handelt.This target user may be someone who is external to your organization.

Freigabe des ÜberwachungsarbeitsflussesSharing auditing work flow

Wenn ein Benutzer (der handelnde Benutzer) eine Ressource für einen anderen Benutzer (den Zielbenutzer) freigeben möchte, überprüft SharePoint (oder OneDrive for Business) zuerst, ob die E-Mail-Adresse des Zielbenutzers bereits einem Benutzerkonto im Verzeichnis der Organisation zugeordnet ist.When a user (the acting user) wants to share a resource with another user (the target user), SharePoint (or OneDrive for Business) first checks if the email address of the target user is already associated with a user account in the organization's directory. Wenn sich der Zielbenutzer im Verzeichnis befindet (und über ein entsprechendes Gastbenutzerkonto verfügt), führt SharePoint die folgenden Schritte aus:If the target user is in the directory (and has a corresponding guest user account), SharePoint does the following things:

  • Weist sofort den Zielbenutzerberechtigungen für den Zugriff auf die Ressource zu, indem der Zielbenutzer der entsprechenden SharePoint hinzugefügt wird, und protokolliert ein AddedToGroup-Ereignis.Immediately assigns the target user permissions to access the resource by adding the target user to the appropriate SharePoint group, and logs an AddedToGroup event.

  • Sendet eine Freigabebenachrichtigung an die E-Mail-Adresse des Zielbenutzers.Sends a sharing notification to the email address of the target user.

  • Protokolliert ein SharingSet-Ereignis.Logs a SharingSet event. Dieses Ereignis hat den Anzeigenamen "Freigegebene Datei, Ordner oder Website" unter Freigabe- und Zugriffsanforderungsaktivitäten in der Aktivitätenauswahl des Überwachungsprotokollsuchtools.This event has a friendly name of "Shared file, folder, or site" under Sharing and access request activities in the activities picker of the audit log search tool. Siehe Screenshot in Schritt 1.See the screenshot in Step 1.

Wenn sich ein Benutzerkonto für den Zielbenutzer nicht im Verzeichnis befindet, führt SharePoint die folgenden Schritte aus:If a user account for the target user isn't in the directory, SharePoint does the following:

  • Protokolliert eines der folgenden Ereignisse, je nachdem, wie die Ressource freigegeben wird:Logs one of the following events, based on how the resource is shared:

    • AnonymousLinkCreatedAnonymousLinkCreated

    • SecureLinkCreatedSecureLinkCreated

    • AddedToSecureLinkAddedToSecureLink

    • SharingInvitationCreated (dieses Ereignis wird nur protokolliert, wenn es sich bei der freigegebenen Ressource um eine Website handelt)SharingInvitationCreated (this event is logged only when the shared resource is a site)

  • Wenn der Zielbenutzer die an ihn gesendete Freigabeeinladung akzeptiert (indem er auf den Link in der Einladung klickt), protokolliert SharePoint ein SharingInvitationAccepted-Ereignis und weist den Zielbenutzerberechtigungen den Zugriff auf die Ressource zu.When the target user accepts the sharing invitation that's sent to them (by clicking the link in the invitation), SharePoint logs a SharingInvitationAccepted event and assigns the target user permissions to access the resource. Wenn dem Zielbenutzer ein anonymer Link gesendet wird, wird das AnonymousLinkUsed-Ereignis protokolliert, nachdem der Zielbenutzer den Link zum Zugriff auf die Ressource verwendet hat.If the target user is sent an anonymous link, the AnonymousLinkUsed event is logged after the target user uses the link to access the resource. Bei sicheren Links wird ein FileAccessed-Ereignis protokolliert, wenn ein externer Benutzer den Link verwendet, um auf die Ressource zuzugreifen.For secure links, a FileAccessed event is logged when an external user uses the link to access the resource.

Weitere Informationen zum Zielbenutzer werden ebenfalls protokolliert, z. B. die Identität des Benutzers, an den die Einladung eingeladen wird, und der Benutzer, der die Einladung akzeptiert.Additional information about the target user is also logged, such as the identity of the user the invitation is to and the user who accepts the invitation. In einigen Fällen können diese Benutzer (oder E-Mail-Adressen) unterschiedlich sein.In some case, these users (or email addresses) can be different.

Identifizieren von Ressourcen, die für externe Benutzer freigegeben wurdenHow to identify resources shared with external users

Eine allgemeine Anforderung für Administratoren ist das Erstellen einer Liste aller Ressourcen, die für Benutzer außerhalb der Organisation freigegeben wurden.A common requirement for administrators is creating a list of all resources that have been shared with users outside of the organization. Mithilfe der Freigabeüberwachung in Office 365 Können Administratoren diese Liste generieren.By using sharing auditing in Office 365, administrators can generate this list. Die gehen so:Here's how.

Schritt 1: Suchen nach Freigabeereignissen und Exportieren der Ergebnisse in eine CSV-DateiStep 1: Search for sharing events and export the results to a CSV file

Der erste Schritt besteht im Durchsuchen des Überwachungsprotokolls nach Freigabeereignissen.The first step is to search the audit log for sharing events. Weitere Informationen (einschließlich der erforderlichen Berechtigungen) zum Durchsuchen des Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center.For more information (including the required permissions) about searching the audit log, see Search the audit log in the Security & Compliance Center.

  1. Wechseln Sie zu https://protection.office.com.Go to https://protection.office.com.

  2. Melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto an.Sign in using your work or school account.

  3. Klicken Sie im Security & Compliance Center im linken Bereich auf Suchen > Überwachungsprotokollsuche.In the left pane of the Security & Compliance Center, click Search > Audit log search.

    Die Seite Überwachungsprotokollsuche wird angezeigt.The Audit log search page is displayed.

  4. Klicken Sie unter Aktivitäten auf Freigabe- und Zugriffsanforderungsaktivitäten, um nach Freigabeereignissen zu suchen.Under Activities, click Sharing and access request activities to search for sharing-related events.

    Wählen Sie unter Aktivitäten die Option Freigabe- und Zugriffsanforderungsaktivitäten aus.

  5. Wählen Sie einen Datums- und Zeitbereich aus, um die Freigabeereignisse zu finden, die innerhalb dieses Zeitraums aufgetreten sind.Select a date and time range to find the sharing events that occurred within that period.

  6. Klicken Sie auf Suchen, um die Suche ausführen zu können.Click Search to run the search.

  7. Wenn die Suche abgeschlossen ist und die Ergebnisse angezeigt werden, klicken Sie auf Ergebnisse exportieren Alle > Ergebnisse herunterladen.When the search is finished running and the results are displayed, click Export results > Download all results.

    Nachdem Sie die Exportoption ausgewählt haben, werden Sie in einer Meldung am unteren Rand des Fensters aufgefordert, die CSV-Datei zu öffnen oder zu speichern.After you select the export option, a message at the bottom of the window prompts you to open or save the CSV file.

  8. Klicken Sie auf Speichern unter, und speichern Sie die > CSV-Datei in einem Ordner auf Dem lokalen Computer.Click Save > Save as and save the CSV file to a folder on your local computer.

Schritt 2: Formatieren des exportierten Überwachungsprotokolls mithilfe des PowerQuery-EditorsStep 2: Use the PowerQuery Editor to format the exported audit log

Im nächsten Schritt wird das JSON-Transformationsfeature im Power Query Editor in Excel verwendet, um jede Eigenschaft in der Spalte AuditData (die aus einem JSON-Objekt mit mehreren Eigenschaften besteht) in eine eigene Spalte zu teilen.The next step is to use the JSON transform feature in the Power Query Editor in Excel to split each property in the AuditData column (which consists of a multi-property JSON object) into its own column. Auf diese Weise können Sie Spalten filtern, um Datensätze im Zusammenhang mit der Freigabe anzuzeigenThis lets you filter columns to view records related to sharing

Schrittweise Anleitungen finden Sie unter "Schritt 2: Formatieren von exportierten Überwachungsprotokollen mithilfe des Power Query-Editors" in Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.For step-by-step instructions, see "Step 2: Format the exported audit log using the Power Query Editor" in Export, configure, and view audit log records.

Schritt 3: Filtern der CSV-Datei nach Ressourcen, die für externe Benutzer freigegeben sindStep 3: Filter the CSV file for resources shared with external users

Im nächsten Schritt wird die CSV nach den verschiedenen freigabebezogenen Ereignissen gefiltert, die zuvor im Abschnitt SharePoint der Freigabeereignisse beschrieben wurden.The next step is to filter the CSV for the different sharing-related events that were previously described in the SharePoint sharing events section. Alternativ können Sie die Spalte TargetUserOrGroupType so filtern, dass alle Datensätze angezeigt werden, bei denen der Wert dieser Eigenschaft Guest ist.Alternatively, you can filter the TargetUserOrGroupType column to display all records where the value of this property is Guest.

Nachdem Sie die Anweisungen im vorherigen Schritt zum Vorbereiten der CSV-Datei mithilfe des PowerQuery-Editors befolgt haben, gehen Sie wie folgt vor:After you've followed the instructions in the previous step to prepare the CSV file by using the PowerQuery editor, do the following:

  1. Öffnen Sie Excel Datei, die Sie in Schritt 2 erstellt haben.Open the Excel file that you created in Step 2.

  2. Klicken Sie auf der Registerkarte Start auf Sortieren & Filter, und klicken Sie dann auf Filtern.On the Home tab, click Sort & Filter, and then click Filter.

  3. Löschen Sie in der Dropdownliste & Filter sortieren in der Spalte Vorgänge alle Auswahlen, wählen Sie dann ein oder mehrere der folgenden Freigabeereignisse aus, und klicken Sie dann auf Ok.In the Sort & Filter dropdown list on the Operations column, clear all selections, then select one or more the following sharing-related events and then click Ok.

    • SharingInvitationCreatedSharingInvitationCreated

    • AnonymousLinkCreatedAnonymousLinkCreated

    • SecureLinkCreatedSecureLinkCreated

    • AddedToSecureLinkAddedToSecureLink

    Excel zeigt die Zeilen für die ausgewählten Ereignisse an.Excel displays the rows for the events you selected.

  4. Wechseln Sie zur Spalte TargetUserOrGroupType, und wählen Sie sie aus.Go to the column named TargetUserOrGroupType and select it.

  5. Löschen Sie in & Dropdownliste Sortieren und Filtern alle Auswahlen, wählen Sie dann TargetUserOrGroupType:Guest aus, und klicken Sie auf Ok.In the Sort & Filter dropdown list, clear all selections, then select TargetUserOrGroupType:Guest, and click Ok.

    Jetzt Excel die Zeilen für Freigabeereignisse und für den Zielbenutzer außerhalb Ihrer Organisation angezeigt, da externe Benutzer durch den Wert TargetUserOrGroupType:Guest identifiziert werden.Now Excel displays the rows for sharing events AND where the target user is outside of your organization, because external users are identified by the value TargetUserOrGroupType:Guest.

Tipp

Für die angezeigten Überwachungsdatensätze identifiziert die Spalte ObjectId die Ressource, die für den Zielbenutzer freigegeben wurde. beispiel: ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx .For the audit records that are displayed, the ObjectId column identifies the resource that was shared with the target user; for example ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.