Usare il controllo di condivisione nel log di controlloUse sharing auditing in the audit log

La condivisione è un'attività chiave in SharePoint Online e OneDrive for business ed è ampiamente utilizzata nelle organizzazioni.Sharing is a key activity in SharePoint Online and OneDrive for Business, and it's widely used in organizations. Gli amministratori possono utilizzare il controllo di condivisione nel log di controllo per determinare in che modo viene utilizzata la condivisione nell'organizzazione.Administrators can use sharing auditing in the audit log to determine how sharing is used in their organization.

Lo schema di condivisione di SharePointThe SharePoint Sharing schema

La condivisione di eventi (esclusi gli eventi relativi al criterio di condivisione e ai collegamenti di condivisione) è diversa dagli eventi relativi a file e cartelle in un unico modo principale: un utente sta eseguendo un'azione che ha effetto su un altro utente.Sharing events (not including events related to sharing policy and sharing links) are different from file- and folder-related events in one primary way: one user is performing an action that has an effect on another user. Ad esempio, quando un utente di risorse A fornisce all'utente B l'accesso a un file.For example, when a resource User A gives User B access to a file. In questo esempio, l'utente A rappresenta l'utente che agisce e l'utente B è l' utente di destinazione.In this example, User A is the acting user and User B is the target user. Nello schema dei file di SharePoint, l'azione dell'utente che agisce ha effetto solo sul file stesso.In the SharePoint File schema, the acting user's action only affects the file itself. Quando un utente apre un file, le uniche informazioni necessarie per l'evento Fileaccessed sono gli utenti che agiscono.When User A opens a file, the only information needed in the FileAccessed event is the acting user. Per risolvere questa differenza, è disponibile uno schema distinto, denominato schema di condivisione di SharePoint, che acquisisce ulteriori informazioni sulla condivisione degli eventi.To address this difference, there is a separate schema, called the SharePoint Sharing schema, that captures more information about sharing events. In questo modo gli amministratori avranno la visibilità su chi ha condiviso una risorsa e l'utente con cui è stata condivisa la risorsa.This ensures that administrators have visibility into who shared a resource and the user the resource was shared with.

Nello schema di condivisione sono disponibili due campi aggiuntivi in un record di controllo relativo agli eventi di condivisione:The Sharing schema provides two additional fields in an audit record related to sharing events:

  • TargetUserOrGroupType: Identifica se l'utente o il gruppo di destinazione è membro, Guest, SharePointGroup, SecurityGroup o partner.TargetUserOrGroupType: Identifies whether the target user or group is a Member, Guest, SharePointGroup, SecurityGroup, or Partner.

  • TargetUserOrGroupName: Archivia l'UPN o il nome dell'utente o del gruppo di destinazione a cui è stata condivisa una risorsa (utente B nell'esempio precedente).TargetUserOrGroupName: Stores the UPN or name of the target user or group that a resource was shared with (User B in the previous example).

Questi due campi, oltre ad altre proprietà dello schema del registro di controllo, ad esempio utente, operazione e data, possono raccontare la storia completa dell'utente che ha condiviso la risorsa con cui e quando.These two fields, in addition to other properties from the audit log schema such as User, Operation, and Date can tell the full story about which user shared what resource with whom and when.

È presente un'altra proprietà dello schema che è importante per la storia della condivisione.There's another schema property that's important to the sharing story. Quando si esportano i risultati della ricerca dei log di controllo, la colonna AuditData nel file CSV esportato Archivia le informazioni sugli eventi di condivisione.When you export audit log search results, the AuditData column in the exported CSV file stores information about sharing events. Ad esempio, quando un utente condivide un sito con un altro utente, questo viene ottenuto aggiungendo l'utente di destinazione a un gruppo di SharePoint.For example, when a user shares a site with another user, this is accomplished by adding the target user to a SharePoint group. La colonna AuditData acquisisce queste informazioni per fornire il contesto per gli amministratori.The AuditData column captures this information to provide context for administrators. Per istruzioni su come analizzare le informazioni nella colonna AuditData , vedere il passaggio 2 .See Step 2 for instructions on how to parse the information in the AuditData column.

Eventi di condivisione di SharePointSharePoint sharing events

La condivisione è definita da quando un utente (l'utente che agisce ) desidera condividere una risorsa con un altro utente (l'utente di destinazione ).Sharing is defined by when a user (the acting user) wants to share a resource with another user (the target user). I record di controllo relativi alla condivisione di una risorsa con un utente esterno (un utente esterno all'organizzazione e che non dispongono di un account Guest nell'Azure Active Directory dell'organizzazione) sono identificati dagli eventi seguenti, che vengono registrati nel log di controllo:Audit records related to sharing a resource with an external user (a user who is outside of your organization and doesn't have a guest account in your organization's Azure Active Directory) are identified by the following events, which are logged in the audit log:

  • SharingInvitationCreated: Un utente dell'organizzazione ha provato a condividere una risorsa (probabilmente un sito) con un utente esterno.SharingInvitationCreated: A user in your organization tried to share a resource (likely a site) with an external user. Questo comporta l'invio di un invito di condivisione esterna all'utente di destinazione.This results in an external sharing invitation sent to the target user. A questo punto non viene concesso l'accesso alla risorsa.No access to the resource is granted at this point.

  • SharingInvitationAccepted: L'utente esterno ha accettato l'invito di condivisione inviato dall'utente che agisce e ora ha accesso alla risorsa.SharingInvitationAccepted: The external user has accepted the sharing invitation sent by the acting user and now has access to the resource.

  • AnonymousLinkCreated: Per una risorsa viene creato un collegamento Anonimo (denominato anche collegamento "chiunque").AnonymousLinkCreated: An anonymous link (also called an "Anyone" link) is created for a resource. Poiché è possibile creare un collegamento anonimo e quindi copiarlo, è ragionevole presumere che tutti i documenti che dispongono di un collegamento anonimo siano stati condivisi con un utente di destinazione.Because an anonymous link can be created and then copied, it's reasonable to assume that any document that has an anonymous link has been shared with a target user.

  • AnonymousLinkUsed: Come suggerisce il nome, questo evento viene registrato quando si utilizza un collegamento anonimo per accedere a una risorsa.AnonymousLinkUsed: As the name implies, this event is logged when an anonymous link is used to access a resource.

  • SecureLinkCreated: Un utente ha creato un "collegamento utenti specifici" per condividere una risorsa con una persona specifica.SecureLinkCreated: A user has created a "specific people link" to share a resource with a specific person. Questo utente di destinazione potrebbe essere una persona esterna all'organizzazione.This target user may be someone who is external to your organization. La persona a cui è condivisa la risorsa viene identificata nel record di controllo per l'evento AddedToSecureLink .The person that the resource is shared with is identified in the audit record for the AddedToSecureLink event. Gli indicatori di data e ora per questi due eventi sono quasi identici.The time stamps for these two events are nearly identical.

  • AddedToSecureLink: Un utente è stato aggiunto a un collegamento di persone specifico.AddedToSecureLink: A user was added to a specific people link. Utilizzare il campo TargetUserOrGroupName in questo evento per identificare l'utente aggiunto al collegamento specifico corrispondente.Use the TargetUserOrGroupName field in this event to identify the user added to the corresponding specific people link. Questo utente di destinazione potrebbe essere una persona esterna all'organizzazione.This target user may be someone who is external to your organization.

Condivisione del flusso di lavoro di controlloSharing auditing work flow

Quando un utente (l'utente che agisce) desidera condividere una risorsa con un altro utente (l'utente di destinazione), SharePoint (o OneDrive for business) prima verifica se l'indirizzo di posta elettronica dell'utente di destinazione è già associato a un account utente nella directory dell'organizzazione.When a user (the acting user) wants to share a resource with another user (the target user), SharePoint (or OneDrive for Business) first checks if the email address of the target user is already associated with a user account in the organization's directory. Se l'utente di destinazione si trova nella directory e dispone di un account utente Guest corrispondente, SharePoint esegue le operazioni seguenti:If the target user is in the directory (and has a corresponding guest user account), SharePoint does the following things:

  • Assegna immediatamente le autorizzazioni utente di destinazione per accedere alla risorsa aggiungendo l'utente di destinazione al gruppo di SharePoint appropriato e registra un evento AddedToGroup .Immediately assigns the target user permissions to access the resource by adding the target user to the appropriate SharePoint group, and logs an AddedToGroup event.

  • Invia una notifica di condivisione all'indirizzo di posta elettronica dell'utente di destinazione.Sends a sharing notification to the email address of the target user.

  • Registra un evento SharingSet .Logs a SharingSet event. Questo evento ha un nome descrittivo di "file condiviso, cartella o sito" in attività di condivisione e di richiesta di accesso nella selezione attività dello strumento di ricerca del registro di controllo.This event has a friendly name of "Shared file, folder, or site" under Sharing and access request activities in the activities picker of the audit log search tool. Vedere la schermata nel passaggio 1.See the screenshot in Step 1.

Se un account utente per l'utente di destinazione non è presente nella directory, SharePoint esegue le operazioni seguenti:If a user account for the target user isn't in the directory, SharePoint does the following:

  • Registra uno degli eventi seguenti, in base al modo in cui la risorsa è condivisa:Logs one of the following events, based on how the resource is shared:

    • AnonymousLinkCreatedAnonymousLinkCreated

    • SecureLinkCreatedSecureLinkCreated

    • AddedToSecureLinkAddedToSecureLink

    • SharingInvitationCreated (questo evento viene registrato solo quando la risorsa condivisa è un sito)SharingInvitationCreated (this event is logged only when the shared resource is a site)

  • Quando l'utente di destinazione accetta l'invito di condivisione inviato a tali utenti (facendo clic sul collegamento nell'invito), SharePoint registra un evento SharingInvitationAccepted e assegna le autorizzazioni utente di destinazione per l'accesso alla risorsa.When the target user accepts the sharing invitation that's sent to them (by clicking the link in the invitation), SharePoint logs a SharingInvitationAccepted event and assigns the target user permissions to access the resource. Se all'utente di destinazione viene inviato un collegamento anonimo, l'evento AnonymousLinkUsed viene registrato dopo che l'utente di destinazione ha utilizzato il collegamento per accedere alla risorsa.If the target user is sent an anonymous link, the AnonymousLinkUsed event is logged after the target user uses the link to access the resource. Per i collegamenti sicuri, viene registrato un evento Fileaccessed quando un utente esterno utilizza il collegamento per accedere alla risorsa.For secure links, a FileAccessed event is logged when an external user uses the link to access the resource.

Vengono inoltre registrate informazioni aggiuntive sull'utente di destinazione, ad esempio l'identità dell'utente a cui l'invito è associato e l'utente che accetta l'invito.Additional information about the target user is also logged, such as the identity of the user the invitation is to and the user who accepts the invitation. In alcuni casi, questi utenti (o indirizzi di posta elettronica) possono essere diversi.In some case, these users (or email addresses) can be different.

Come identificare le risorse condivise con gli utenti esterniHow to identify resources shared with external users

Un requisito comune per gli amministratori consiste nella creazione di un elenco di tutte le risorse condivise con utenti esterni all'organizzazione.A common requirement for administrators is creating a list of all resources that have been shared with users outside of the organization. Utilizzando la condivisione del controllo in Office 365, gli amministratori possono generare questo elenco.By using sharing auditing in Office 365, administrators can generate this list. Ecco come fare.Here's how.

Passaggio 1: cercare gli eventi di condivisione ed esportare i risultati in un file CSVStep 1: Search for sharing events and export the results to a CSV file

Il primo passaggio consiste nell'eseguire una ricerca nel registro di controllo per la condivisione degli eventi.The first step is to search the audit log for sharing events. Per ulteriori informazioni (incluse le autorizzazioni necessarie) per la ricerca nel registro di controllo, vedere Search the audit log in the Security & Compliance Center.For more information (including the required permissions) about searching the audit log, see Search the audit log in the Security & Compliance Center.

  1. Passare a https://protection.office.com.Go to https://protection.office.com.

  2. Accedere usando l'account di lavoro o della scuola.Sign in using your work or school account.

  3. Nel riquadro sinistro del Centro sicurezza e conformità fare clic su Cerca > Ricerca log di controllo.In the left pane of the Security & Compliance Center, click Search > Audit log search.

    Viene visualizzata la pagina Ricerca log di controllo.The Audit log search page is displayed.

  4. In attivitàfare clic su condivisione e accesso alle attività richieste per cercare gli eventi relativi alla condivisione.Under Activities, click Sharing and access request activities to search for sharing-related events.

    In attività selezionare condivisione e accesso alle attività richieste

  5. Selezionare un intervallo di data e ora per individuare gli eventi di condivisione che si sono verificati entro quel periodo.Select a date and time range to find the sharing events that occurred within that period.

  6. Fare clic su Cerca per eseguire la ricerca.Click Search to run the search.

  7. Al termine dell'esecuzione della ricerca e i risultati vengono visualizzati, fare clic su Esporta risultati > scaricare tutti i risultati.When the search is finished running and the results are displayed, click Export results > Download all results.

    Dopo aver selezionato l'opzione di esportazione, nella parte inferiore della finestra viene visualizzato un messaggio in cui viene richiesto di aprire o salvare il file CSV.After you select the export option, a message at the bottom of the window prompts you to open or save the CSV file.

  8. Fare clic su Salva con > nome e salvare il file CSV in una cartella del computer locale.Click Save > Save as and save the CSV file to a folder on your local computer.

Passaggio 2: utilizzare l'editor di PowerQuery per formattare il registro di controllo esportatoStep 2: Use the PowerQuery Editor to format the exported audit log

Il passaggio successivo consiste nell'utilizzare la caratteristica di trasformazione JSON nell'editor di query di alimentazione in Excel per dividere ogni proprietà nella colonna AuditData (costituita da un oggetto JSON a più proprietà) nella relativa colonna.The next step is to use the JSON transform feature in the Power Query Editor in Excel to split each property in the AuditData column (which consists of a multi-property JSON object) into its own column. In questo modo è possibile filtrare le colonne per visualizzare i record relativi alla condivisioneThis lets you filter columns to view records related to sharing

Per istruzioni dettagliate, vedere "passaggio 2: formattare il log di controllo esportato utilizzando l'editor di query di alimentazione" in esportare, configurare e visualizzare i record del registro di controllo.For step-by-step instructions, see "Step 2: Format the exported audit log using the Power Query Editor" in Export, configure, and view audit log records.

Passaggio 3: filtrare il file CSV per le risorse condivise con gli utenti esterniStep 3: Filter the CSV file for resources shared with external users

Il passaggio successivo consiste nel filtrare il CSV per i diversi eventi relativi alla condivisione descritti in precedenza nella sezione eventi di condivisione di SharePoint .The next step is to filter the CSV for the different sharing-related events that were previously described in the SharePoint sharing events section. In alternativa, è possibile filtrare la colonna TargetUserOrGroupType per visualizzare tutti i record in cui il valore di questa proprietà è Guest.Alternatively, you can filter the TargetUserOrGroupType column to display all records where the value of this property is Guest.

Dopo aver seguito le istruzioni riportate nel passaggio precedente per preparare il file CSV utilizzando l'editor di PowerQuery, eseguire le operazioni seguenti:After you've followed the instructions in the previous step to prepare the CSV file by using the PowerQuery editor, do the following:

  1. Aprire il file di Excel creato nel passaggio 2.Open the Excel file that you created in Step 2.

  2. Nella scheda Home fare clic su Ordina & filtro, quindi fare clic su filtro.On the Home tab, click Sort & Filter, and then click Filter.

  3. Nell'elenco a discesa ordina & filtro nella colonna operazioni deselezionare tutte le selezioni, quindi selezionare uno o più degli eventi correlati alla condivisione seguenti e quindi fare clic su OK.In the Sort & Filter dropdown list on the Operations column, clear all selections, then select one or more the following sharing-related events and then click Ok.

    • SharingInvitationCreatedSharingInvitationCreated

    • AnonymousLinkCreatedAnonymousLinkCreated

    • SecureLinkCreatedSecureLinkCreated

    • AddedToSecureLinkAddedToSecureLink

    Excel Visualizza le righe per gli eventi selezionati.Excel displays the rows for the events you selected.

  4. Passare alla colonna denominata TargetUserOrGroupType e selezionarla.Go to the column named TargetUserOrGroupType and select it.

  5. Nell'elenco a discesa ordina & filtro , deselezionare tutte le selezioni, quindi selezionare TargetUserOrGroupType: Gueste fare clic su OK.In the Sort & Filter dropdown list, clear all selections, then select TargetUserOrGroupType:Guest, and click Ok.

    Ora Excel Visualizza le righe per gli eventi di condivisione e in cui l'utente di destinazione si trova all'esterno dell'organizzazione, perché gli utenti esterni sono identificati dal valore TargetUserOrGroupType: Guest.Now Excel displays the rows for sharing events AND where the target user is outside of your organization, because external users are identified by the value TargetUserOrGroupType:Guest.

Suggerimento

Per i record di controllo visualizzati, la colonna ObjectID identifica la risorsa condivisa con l'utente di destinazione. ad esempio ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx .For the audit records that are displayed, the ObjectId column identifies the resource that was shared with the target user; for example ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.