Usare il controllo di condivisione nel log di controllo

La condivisione è un'attività chiave in SharePoint Online e OneDrive for Business ed è ampiamente usata nelle organizzazioni. Gli amministratori possono usare il controllo della condivisione nel log di controllo per determinare come viene usata la condivisione nell'organizzazione.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Schema di condivisione di SharePoint

Gli eventi di condivisione (esclusi gli eventi correlati ai criteri di condivisione e ai collegamenti di condivisione) sono diversi dagli eventi correlati a file e cartelle in un modo primario: un utente esegue un'azione che ha un effetto su un altro utente. Ad esempio, quando un utente A della risorsa concede all'utente B l'accesso a un file. In questo esempio, l'utente A è l'utente che agisce e l'utente B èl'utente di destinazione. Nello schema file di SharePoint l'azione dell'utente che agisce influisce solo sul file stesso. Quando l'utente A apre un file, l'unica informazione necessaria nell'evento FileAccessed è l'utente che agisce. Per risolvere questa differenza, è disponibile uno schema separato, denominato schema di condivisione di SharePoint , che acquisisce altre informazioni sugli eventi di condivisione. Ciò garantisce che gli amministratori abbiano visibilità su chi ha condiviso una risorsa e sull'utente con cui è stata condivisa la risorsa.

Lo schema di condivisione fornisce due campi aggiuntivi in un record di controllo correlati agli eventi di condivisione:

• TargetUserOrGroupType: Identifica se l'utente o il gruppo di destinazione è Membro, Guest, SharePointGroup, SecurityGroup o Partner.
• TargetUserOrGroupName: Archivia l'UPN o il nome dell'utente o del gruppo di destinazione con cui è stata condivisa una risorsa (l'utente B nell'esempio precedente).

Questi due campi, oltre ad altre proprietà dello schema del log di controllo, ad esempio Utente, Operazione e Data, possono raccontare la storia completa su quale utente ha condiviso quale risorsa con chi e quando.

C'è un'altra proprietà dello schema importante per la storia di condivisione. Quando si esportano i risultati della ricerca nel log di controllo, la colonna AuditData nel file CSV esportato archivia le informazioni sugli eventi di condivisione. Ad esempio, quando un utente condivide un sito con un altro utente, questa operazione viene eseguita aggiungendo l'utente di destinazione a un gruppo di SharePoint. La colonna AuditData acquisisce queste informazioni per fornire il contesto per gli amministratori. Vedere il passaggio 2 per istruzioni su come analizzare le informazioni nella colonna AuditData .

Eventi di condivisione di SharePoint

La condivisione è definita da quando un utente (l'utente che agisce ) vuole condividere una risorsa con un altro utente (l'utente di destinazione ). I record di controllo relativi alla condivisione di una risorsa con un utente esterno (un utente esterno all'organizzazione e che non dispone di un account guest nel Microsoft Entra ID dell'organizzazione) sono identificati dagli eventi seguenti, che vengono registrati nel log di controllo:

• SharingInvitationCreated: Un utente dell'organizzazione ha provato a condividere una risorsa (probabilmente un sito) con un utente esterno. Ciò comporta l'invio di un invito di condivisione esterno all'utente di destinazione. A questo punto non viene concesso alcun accesso alla risorsa.
• SharingInvitationAccepted: L'utente esterno ha accettato l'invito alla condivisione inviato dall'utente che agisce e ora ha accesso alla risorsa.
• AnonymousLinkCreated: Per una risorsa viene creato un collegamento anonimo (detto anche collegamento "Chiunque". Poiché è possibile creare e copiare un collegamento anonimo, è ragionevole presupporre che qualsiasi documento con collegamento anonimo sia stato condiviso con un utente di destinazione.
• AnonymousLinkUsed: Come suggerisce il nome, questo evento viene registrato quando viene usato un collegamento anonimo per accedere a una risorsa.
• SecureLinkCreated: Un utente ha creato un "collegamento di persone specifiche" per condividere una risorsa con una persona specifica. Questo utente di destinazione può essere un utente esterno all'organizzazione. La persona con cui la risorsa è condivisa viene identificata nel record di controllo per l'evento AddedToSecureLink . I timestamp per questi due eventi sono quasi identici.
• AddedToSecureLink: Un utente è stato aggiunto a un collegamento utenti specifico. Usare il campo TargetUserOrGroupName in questo evento per identificare l'utente aggiunto al collegamento utenti specifico corrispondente. Questo utente di destinazione può essere un utente esterno all'organizzazione.

Condivisione del flusso di lavoro di controllo

Quando un utente (l'utente che agisce) vuole condividere una risorsa con un altro utente (l'utente di destinazione), SharePoint (o OneDrive for Business) verifica innanzitutto se l'indirizzo di posta elettronica dell'utente di destinazione è già associato a un account utente nella directory dell'organizzazione. Se l'utente di destinazione si trova nella directory (e ha un account utente guest corrispondente), SharePoint esegue le operazioni seguenti:

• Assegna immediatamente le autorizzazioni utente di destinazione per accedere alla risorsa aggiungendo l'utente di destinazione al gruppo di SharePoint appropriato e registra un evento AddedToGroup .
• Invia una notifica di condivisione all'indirizzo di posta elettronica dell'utente di destinazione.
• Registra un evento SharingSet . Questo evento ha il nome descrittivo "File condiviso, cartella o sito" in Condivisione e accesso alle attività di richiesta nella selezione attività dello strumento di ricerca del log di controllo. Vedere lo screenshot nel passaggio 1.

Se un account utente per l'utente di destinazione non è presente nella directory, SharePoint esegue le operazioni seguenti:

• Registra uno degli eventi seguenti, in base alla modalità di condivisione della risorsa:

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (questo evento viene registrato solo quando la risorsa condivisa è un sito)

• Quando l'utente di destinazione accetta l'invito alla condivisione che viene inviato a loro (facendo clic sul collegamento nell'invito), SharePoint registra un evento SharingInvitationAccepted e assegna le autorizzazioni utente di destinazione per accedere alla risorsa. Se all'utente di destinazione viene inviato un collegamento anonimo, l'evento AnonymousLinkUsed viene registrato dopo che l'utente di destinazione usa il collegamento per accedere alla risorsa. Per i collegamenti protetti, viene registrato un evento FileAccessed quando un utente esterno usa il collegamento per accedere alla risorsa.

Vengono registrate anche altre informazioni sull'utente di destinazione, ad esempio l'identità dell'utente a cui è destinato l'invito e l'utente che accetta l'invito. In alcuni casi, questi utenti (o indirizzi di posta elettronica) possono essere diversi.

Come identificare le risorse condivise con utenti esterni

Un requisito comune per gli amministratori è la creazione di un elenco di tutte le risorse condivise con utenti esterni all'organizzazione. Usando il controllo di condivisione in Office 365, gli amministratori possono generare questo elenco. Ecco come fare.

Passaggio 1: Search per la condivisione di eventi ed esportare i risultati in un file CSV

Il primo passaggio consiste nel cercare gli eventi di condivisione nel log di controllo. Per altre informazioni , incluse le autorizzazioni necessarie, sulla ricerca nel log di controllo, vedere Search log di controllo.

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

Completare la procedura seguente per cercare gli eventi di condivisione:

1. Accedere al portale di Microsoft Purview.

2. Selezionare la scheda Controlla soluzione. Se la scheda Controlla soluzione non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Controlla nella sezione Core .

3. Nella pagina Search e in Attività - Nomi descrittivi selezionare Condivisione e accesso alle attività di richiesta per cercare gli eventi correlati alla condivisione.

4. Selezionare un intervallo di data e ora per trovare gli eventi di condivisione che si sono verificati entro tale periodo.

5. Selezionare Cerca per eseguire la ricerca.

6. Al termine della ricerca e della visualizzazione dei risultati, selezionare Esporta risultati>Scarica tutti i risultati.

   Dopo aver selezionato l'opzione di esportazione, un messaggio nella parte inferiore della finestra richiede di aprire o salvare il file CSV.

7. Selezionare Salva>con nome e salvare il file CSV in una cartella nel computer locale.

Portale di conformità

Completare la procedura seguente per cercare gli eventi di condivisione:

1. Accedere al portale di Microsoft Purview.

2. Nel riquadro sinistro del Portale di conformità di Microsoft Purview selezionare Controlla.

3. Nella pagina Controllo e in Attività selezionare Condivisione e accesso alle attività di richiesta per cercare gli eventi correlati alla condivisione.

   

4. Selezionare un intervallo di data e ora per trovare gli eventi di condivisione che si sono verificati entro tale periodo.

5. Selezionare Cerca per eseguire la ricerca.

6. Al termine dell'esecuzione della ricerca e della visualizzazione dei risultati, selezionare Esporta risultati>Scarica tutti i risultati.

   Dopo aver selezionato l'opzione di esportazione, un messaggio nella parte inferiore della finestra richiede di aprire o salvare il file CSV.

7. Selezionare Salva>con nome e salvare il file CSV in una cartella nel computer locale.

Passaggio 2: Usare il Editor PowerQuery per formattare il log di controllo esportato

Il passaggio successivo consiste nell'usare la funzionalità di trasformazione JSON nel editor di Power Query in Excel per suddividere ogni proprietà nella colonna AuditData (costituita da un oggetto JSON multiproponiva) nella relativa colonna. In questo modo è possibile filtrare le colonne per visualizzare i record correlati alla condivisione.

Per istruzioni dettagliate, vedere “Passaggio 2: Formattare il log di audit esportato usando l’editor di Power Query” in Esportare, configurare e visualizzare i record del log di audit.

Passaggio 3: Filtrare il file CSV per le risorse condivise con utenti esterni

Il passaggio successivo consiste nel filtrare il csv per i diversi eventi correlati alla condivisione descritti in precedenza nella sezione Eventi di condivisione di SharePoint . In alternativa, è possibile filtrare la colonna TargetUserOrGroupType per visualizzare tutti i record in cui il valore di questa proprietà è Guest.

Dopo aver seguito le istruzioni nel passaggio precedente per preparare il file CSV usando l'editor di PowerQuery, eseguire le operazioni seguenti:

1. Aprire il file di Excel creato nel passaggio 2.

2. Nella scheda Home selezionare Ordina & Filtro e quindi selezionare Filtro.

3. Nell'elenco a discesa Ordina & filtro nella colonna Operazioni deselezionare tutte le selezioni, quindi selezionare uno o più eventi correlati alla condivisione seguenti e quindi selezionare OK.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   In Excel vengono visualizzate le righe per gli eventi selezionati.

4. Passare alla colonna denominata TargetUserOrGroupType e selezionarla.

5. Nell'elenco a discesa Ordina & filtro deselezionare tutte le selezioni, quindi selezionare TargetUserOrGroupType:Guest e selezionare OK.

   In Excel vengono ora visualizzate le righe per la condivisione degli eventi AND in cui l'utente di destinazione si trova all'esterno dell'organizzazione, perché gli utenti esterni sono identificati dal valore TargetUserOrGroupType:Guest.

Consiglio

Per i record di controllo visualizzati, la colonna ObjectId identifica la risorsa condivisa con l'utente di destinazione; ad esempio ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.