Usar a auditoria de compartilhamento no log de auditoriaUse sharing auditing in the audit log

O compartilhamento é uma atividade SharePoint online e OneDrive for Business, e é amplamente usado em organizações.Sharing is a key activity in SharePoint Online and OneDrive for Business, and it's widely used in organizations. Os administradores podem usar a auditoria de compartilhamento no log de auditoria para determinar como o compartilhamento é usado em sua organização.Administrators can use sharing auditing in the audit log to determine how sharing is used in their organization.

O SharePoint de compartilhamentoThe SharePoint Sharing schema

Os eventos de compartilhamento (sem incluir eventos relacionados à política de compartilhamento e links de compartilhamento) são diferentes dos eventos relacionados a arquivos e pastas de uma maneira primária: um usuário está executando uma ação que tem efeito em outro usuário.Sharing events (not including events related to sharing policy and sharing links) are different from file- and folder-related events in one primary way: one user is performing an action that has an effect on another user. Por exemplo, quando um recurso User A dá acesso ao Usuário B a um arquivo.For example, when a resource User A gives User B access to a file. Neste exemplo, o Usuário A é o usuário interino e o Usuário B é o usuário de destino.In this example, User A is the acting user and User B is the target user. No esquema SharePoint Arquivo, a ação do usuário em ação afeta apenas o próprio arquivo.In the SharePoint File schema, the acting user's action only affects the file itself. Quando o Usuário A abre um arquivo, a única informação necessária no evento FileAccessed é o usuário interino.When User A opens a file, the only information needed in the FileAccessed event is the acting user. Para resolver essa diferença, há um esquema separado, chamado SharePoint esquema de compartilhamento, que captura mais informações sobre eventos de compartilhamento.To address this difference, there is a separate schema, called the SharePoint Sharing schema, that captures more information about sharing events. Isso garante que os administradores tenham visibilidade sobre quem compartilhou um recurso e o usuário com quem o recurso foi compartilhado.This ensures that administrators have visibility into who shared a resource and the user the resource was shared with.

O esquema de compartilhamento fornece dois campos adicionais em um registro de auditoria relacionado a eventos de compartilhamento:The Sharing schema provides two additional fields in an audit record related to sharing events:

  • TargetUserOrGroupType: Identifica se o usuário de destino ou grupo é um Membro, Convidado, SharePointGroup, SecurityGroup ou Parceiro.TargetUserOrGroupType: Identifies whether the target user or group is a Member, Guest, SharePointGroup, SecurityGroup, or Partner.

  • TargetUserOrGroupName: Armazena o UPN ou o nome do usuário de destino ou grupo com o que um recurso foi compartilhado (Usuário B no exemplo anterior).TargetUserOrGroupName: Stores the UPN or name of the target user or group that a resource was shared with (User B in the previous example).

Esses dois campos, além de outras propriedades do esquema de log de auditoria, como Usuário, Operação e Data, podem contar a história completa sobre qual usuário compartilhou o recurso com quem e quando. These two fields, in addition to other properties from the audit log schema such as User, Operation, and Date can tell the full story about which user shared what resource with whom and when.

Há outra propriedade de esquema que é importante para o artigo de compartilhamento.There's another schema property that's important to the sharing story. Quando você exporta resultados de pesquisa de log de auditoria, a coluna AuditData no arquivo CSV exportado armazena informações sobre eventos de compartilhamento.When you export audit log search results, the AuditData column in the exported CSV file stores information about sharing events. Por exemplo, quando um usuário compartilha um site com outro usuário, isso é feito adicionando o usuário de destino a um SharePoint grupo.For example, when a user shares a site with another user, this is accomplished by adding the target user to a SharePoint group. A coluna AuditData captura essas informações para fornecer contexto para administradores.The AuditData column captures this information to provide context for administrators. Consulte a Etapa 2 para obter instruções sobre como analisar as informações na coluna AuditData.See Step 2 for instructions on how to parse the information in the AuditData column.

SharePoint eventos de compartilhamentoSharePoint sharing events

O compartilhamento é definido por quando um usuário (o usuário interino) deseja compartilhar um recurso com outro usuário (o usuário de destino).Sharing is defined by when a user (the acting user) wants to share a resource with another user (the target user). Os registros de auditoria relacionados ao compartilhamento de um recurso com um usuário externo (um usuário que está fora da sua organização e não tem uma conta de convidado no Azure Active Directory da sua organização) são identificados pelos seguintes eventos, que são registrados no log de auditoria:Audit records related to sharing a resource with an external user (a user who is outside of your organization and doesn't have a guest account in your organization's Azure Active Directory) are identified by the following events, which are logged in the audit log:

  • SharingInvitationCreated: Um usuário em sua organização tentou compartilhar um recurso (provavelmente um site) com um usuário externo.SharingInvitationCreated: A user in your organization tried to share a resource (likely a site) with an external user. Isso resulta em um convite de compartilhamento externo enviado ao usuário de destino.This results in an external sharing invitation sent to the target user. Nenhum acesso ao recurso é concedido neste ponto.No access to the resource is granted at this point.

  • SharingInvitationAccepted: O usuário externo aceitou o convite de compartilhamento enviado pelo usuário interino e agora tem acesso ao recurso.SharingInvitationAccepted: The external user has accepted the sharing invitation sent by the acting user and now has access to the resource.

  • AnonymousLinkCreated: Um link anônimo (também chamado de link "Qualquer pessoa" é criado para um recurso.AnonymousLinkCreated: An anonymous link (also called an "Anyone" link) is created for a resource. Como um link anônimo pode ser criado e copiado, é razoável supor que qualquer documento que tenha um link anônimo tenha sido compartilhado com um usuário de destino.Because an anonymous link can be created and then copied, it's reasonable to assume that any document that has an anonymous link has been shared with a target user.

  • AnonymousLinkUsed: Como o nome sugere, esse evento é registrado quando um link anônimo é usado para acessar um recurso.AnonymousLinkUsed: As the name implies, this event is logged when an anonymous link is used to access a resource.

  • SecureLinkCreated: Um usuário criou um "link de pessoas específicas" para compartilhar um recurso com uma pessoa específica.SecureLinkCreated: A user has created a "specific people link" to share a resource with a specific person. Esse usuário de destino pode ser alguém externo à sua organização.This target user may be someone who is external to your organization. A pessoa com a quem o recurso é compartilhado é identificada no registro de auditoria do evento AddedToSecureLink.The person that the resource is shared with is identified in the audit record for the AddedToSecureLink event. Os carimbos de data/hora desses dois eventos são quase idênticos.The time stamps for these two events are nearly identical.

  • AddedToSecureLink: Um usuário foi adicionado a um link de pessoas específico.AddedToSecureLink: A user was added to a specific people link. Use o campo TargetUserOrGroupName neste evento para identificar o usuário adicionado ao link de pessoas específicas correspondente.Use the TargetUserOrGroupName field in this event to identify the user added to the corresponding specific people link. Esse usuário de destino pode ser alguém externo à sua organização.This target user may be someone who is external to your organization.

Compartilhamento de fluxo de trabalho de auditoriaSharing auditing work flow

Quando um usuário (o usuário interino) deseja compartilhar um recurso com outro usuário (o usuário de destino), o SharePoint (ou OneDrive for Business) primeiro verifica se o endereço de email do usuário de destino já está associado a uma conta de usuário no diretório da organização.When a user (the acting user) wants to share a resource with another user (the target user), SharePoint (or OneDrive for Business) first checks if the email address of the target user is already associated with a user account in the organization's directory. Se o usuário de destino estiver no diretório (e tiver uma conta de usuário convidado correspondente), SharePoint faça as seguintes coisas:If the target user is in the directory (and has a corresponding guest user account), SharePoint does the following things:

  • Atribui imediatamente as permissões de usuário de destino para acessar o recurso adicionando o usuário de destino ao grupo de SharePoint apropriado e registra um evento AddedToGroup.Immediately assigns the target user permissions to access the resource by adding the target user to the appropriate SharePoint group, and logs an AddedToGroup event.

  • Envia uma notificação de compartilhamento para o endereço de email do usuário de destino.Sends a sharing notification to the email address of the target user.

  • Registra um evento SharingSet.Logs a SharingSet event. Este evento tem um nome amigável de "Arquivo compartilhado, pasta ou site" em Atividades de Compartilhamento e solicitação de acesso no selador de atividades da ferramenta de pesquisa de log de auditoria.This event has a friendly name of "Shared file, folder, or site" under Sharing and access request activities in the activities picker of the audit log search tool. Consulte a captura de tela na Etapa 1.See the screenshot in Step 1.

Se uma conta de usuário para o usuário de destino não estiver no diretório, SharePoint faça o seguinte:If a user account for the target user isn't in the directory, SharePoint does the following:

  • Registra um dos seguintes eventos, com base em como o recurso é compartilhado:Logs one of the following events, based on how the resource is shared:

    • AnonymousLinkCreatedAnonymousLinkCreated

    • SecureLinkCreatedSecureLinkCreated

    • AddedToSecureLinkAddedToSecureLink

    • SharingInvitationCreated (esse evento é registrado somente quando o recurso compartilhado é um site)SharingInvitationCreated (this event is logged only when the shared resource is a site)

  • Quando o usuário de destino aceita o convite de compartilhamento enviado a eles (clicando no link no convite), SharePoint registra um evento SharingInvitationAccepted e atribui ao usuário de destino permissões para acessar o recurso.When the target user accepts the sharing invitation that's sent to them (by clicking the link in the invitation), SharePoint logs a SharingInvitationAccepted event and assigns the target user permissions to access the resource. Se o usuário de destino for enviado um link anônimo, o evento AnonymousLinkUsed será registrado depois que o usuário de destino usar o link para acessar o recurso.If the target user is sent an anonymous link, the AnonymousLinkUsed event is logged after the target user uses the link to access the resource. Para links seguros, um evento FileAccessed é registrado quando um usuário externo usa o link para acessar o recurso.For secure links, a FileAccessed event is logged when an external user uses the link to access the resource.

Informações adicionais sobre o usuário de destino também são registradas, como a identidade do usuário a que o convite está e o usuário que aceita o convite.Additional information about the target user is also logged, such as the identity of the user the invitation is to and the user who accepts the invitation. Em alguns casos, esses usuários (ou endereços de email) podem ser diferentes.In some case, these users (or email addresses) can be different.

Como identificar recursos compartilhados com usuários externosHow to identify resources shared with external users

Um requisito comum para administradores é criar uma lista de todos os recursos que foram compartilhados com usuários fora da organização.A common requirement for administrators is creating a list of all resources that have been shared with users outside of the organization. Usando a auditoria de compartilhamento Office 365, os administradores podem gerar essa lista.By using sharing auditing in Office 365, administrators can generate this list. Veja como.Here's how.

Etapa 1: Pesquisar eventos de compartilhamento e exportar os resultados para um arquivo CSVStep 1: Search for sharing events and export the results to a CSV file

A primeira etapa é pesquisar o log de auditoria para eventos de compartilhamento.The first step is to search the audit log for sharing events. Para obter mais informações (incluindo as permissões necessárias) sobre como pesquisar o log de auditoria, consulte Pesquisar o log de auditoria no Centro de Conformidade & Segurança.For more information (including the required permissions) about searching the audit log, see Search the audit log in the Security & Compliance Center.

  1. Acesse https://protection.office.com.Go to https://protection.office.com.

  2. Entre usando sua conta de trabalho ou da escola.Sign in using your work or school account.

  3. No painel esquerdo do Centro de Conformidade e Segurança, clique em Pesquisar > Pesquisa de log de auditoria.In the left pane of the Security & Compliance Center, click Search > Audit log search.

    É exibida a página Pesquisa de log de auditoria.The Audit log search page is displayed.

  4. Em Atividades, clique em Atividades de compartilhamento e de solicitação de acesso para pesquisar eventos relacionados ao compartilhamento.Under Activities, click Sharing and access request activities to search for sharing-related events.

    Em Atividades, selecione Atividades de compartilhamento e solicitação de acesso

  5. Selecione um intervalo de data e hora para encontrar os eventos de compartilhamento que ocorreram nesse período.Select a date and time range to find the sharing events that occurred within that period.

  6. Clique em Pesquisar para executar a pesquisa.Click Search to run the search.

  7. Quando a pesquisa terminar de executar e os resultados são exibidos, clique em Exportar resultados Baixar todos > os resultados.When the search is finished running and the results are displayed, click Export results > Download all results.

    Depois de selecionar a opção de exportação, uma mensagem na parte inferior da janela solicita que você abra ou salve o arquivo CSV.After you select the export option, a message at the bottom of the window prompts you to open or save the CSV file.

  8. Clique em Salvar Salvar > como e salve o arquivo CSV em uma pasta em seu computador local.Click Save > Save as and save the CSV file to a folder on your local computer.

Etapa 2: Usar o Editor do PowerQuery para formatar o log de auditoria exportadoStep 2: Use the PowerQuery Editor to format the exported audit log

A próxima etapa é usar o recurso de transformação JSON no Editor de Consulta do Power em Excel para dividir cada propriedade na coluna AuditData (que consiste em um objeto JSON de várias propriedades) em sua própria coluna.The next step is to use the JSON transform feature in the Power Query Editor in Excel to split each property in the AuditData column (which consists of a multi-property JSON object) into its own column. Isso permite filtrar colunas para exibir registros relacionados ao compartilhamentoThis lets you filter columns to view records related to sharing

Para obter instruções passo a passo, consulte "Etapa 2: formatar o registro de auditoria exportado usando o Power Query Editor" em Exportar, configurar e visualizar registros de registro de auditoria.For step-by-step instructions, see "Step 2: Format the exported audit log using the Power Query Editor" in Export, configure, and view audit log records.

Etapa 3: filtrar o arquivo CSV para recursos compartilhados com usuários externosStep 3: Filter the CSV file for resources shared with external users

A próxima etapa é filtrar o CSV para os diferentes eventos relacionados ao compartilhamento descritos anteriormente na seção SharePoint eventos de compartilhamento.The next step is to filter the CSV for the different sharing-related events that were previously described in the SharePoint sharing events section. Como alternativa, você pode filtrar a coluna TargetUserOrGroupType para exibir todos os registros onde o valor dessa propriedade é Convidado.Alternatively, you can filter the TargetUserOrGroupType column to display all records where the value of this property is Guest.

Depois de seguir as instruções na etapa anterior para preparar o arquivo CSV usando o editor do PowerQuery, faça o seguinte:After you've followed the instructions in the previous step to prepare the CSV file by using the PowerQuery editor, do the following:

  1. Abra o Excel que você criou na Etapa 2.Open the Excel file that you created in Step 2.

  2. Na guia Página Base, clique em Classificar & Filtro e clique em Filtrar.On the Home tab, click Sort & Filter, and then click Filter.

  3. Na lista suspenso Classificar & Filtro na coluna Operações, desempacole todas as seleções e selecione um ou mais dos seguintes eventos relacionados ao compartilhamento e clique em Ok.In the Sort & Filter dropdown list on the Operations column, clear all selections, then select one or more the following sharing-related events and then click Ok.

    • SharingInvitationCreatedSharingInvitationCreated

    • AnonymousLinkCreatedAnonymousLinkCreated

    • SecureLinkCreatedSecureLinkCreated

    • AddedToSecureLinkAddedToSecureLink

    Excel exibe as linhas dos eventos selecionados.Excel displays the rows for the events you selected.

  4. Vá até a coluna chamada TargetUserOrGroupType e selecione-a.Go to the column named TargetUserOrGroupType and select it.

  5. Na lista suspenso Classificar & Filtro, desempare todas as seleções e selecione TargetUserOrGroupType:Guest e clique em Ok.In the Sort & Filter dropdown list, clear all selections, then select TargetUserOrGroupType:Guest, and click Ok.

    Agora Excel exibe as linhas para eventos de compartilhamento E onde o usuário de destino está fora da sua organização, porque os usuários externos são identificados pelo valor TargetUserOrGroupType:Guest.Now Excel displays the rows for sharing events AND where the target user is outside of your organization, because external users are identified by the value TargetUserOrGroupType:Guest.

Dica

Para os registros de auditoria exibidos, a coluna ObjectId identifica o recurso que foi compartilhado com o usuário de destino; por exemplo ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx .For the audit records that are displayed, the ObjectId column identifies the resource that was shared with the target user; for example ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.