使用稽核記錄中的共用稽核
注意
Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告。
共用是 SharePoint Online 和 商務用 OneDrive 中的重要活動,廣泛用於組織中。 系統管理員可以在稽核記錄中使用共用稽核,以判斷如何在其組織中使用共用。
SharePoint共用架構
共用事件 (不包括與共享原則和共用連結相關的事件) 與檔案和資料夾相關事件的主要方式不同:一個使用者正在執行對另一個使用者有影響的動作。 例如,當資源使用者 A 提供使用者 B 檔案的存取權時。 在此範例中,使用者 A 是 作用中的使用者 ,而使用者 B 是 目標使用者。 在SharePoint檔案架構中,作用中使用者的動作只會影響檔案本身。 當使用者 A 開啟檔案時, FileAccessed 事件中唯一需要的資訊是作用中的使用者。 為了解決此差異,有一個稱為 「SharePoint共用架構」的個別架構,可擷取共用事件的詳細資訊。 這可確保系統管理員能夠看到誰共用資源,以及與資源分享的使用者。
共用架構會在與共享事件相關的稽核記錄中提供兩個額外的欄位:
TargetUserOrGroupType: 識別目標使用者或群組是 Member、Guest、SharePointGroup、SecurityGroup 或 Partner。
TargetUserOrGroupName: 儲存上一個範例中與 (使用者 B 共用之資源的目標使用者或群組的 UPN 或名稱) 。
除了稽核記錄架構中的其他屬性之外,這兩個欄位,例如使用者、作業和日期,還可以完整說明 哪些 使用者與 誰 和 何時 共用 哪些 資源。
還有另一個對共用故事很重要的架構屬性。 當您匯出稽核記錄搜尋結果時,匯出 CSV 檔案中的 AuditData 資料行會儲存共用事件的相關資訊。 例如,當使用者與另一個使用者共用網站時,這是透過將目標使用者新增至SharePoint群組來完成。 AuditData 資料 行會擷取此資訊,為系統管理員提供內容。 如需如何剖析 AuditData 資料 行中資訊的指示,請參閱 步驟 2。
SharePoint共用事件
當使用者 (行動 使用者) 想要與另一個使用者共用資源, (目標 使用者) 時,就會定義共用。 與外部使用者共用資源相關的稽核記錄, (組織外部且組織Azure Active Directory) 中沒有來賓帳戶的使用者,會透過下列記錄在稽核記錄中的事件來識別:
SharingInvitationCreated: 您組織中的使用者嘗試與外部使用者共用資源 (可能是網站) 。 這會導致外部共用邀請傳送給目標使用者。 此時不會授與資源的存取權。
SharingInvitationAccepted: 外部使用者已接受由代理使用者傳送的共用邀請,現在可以存取資源。
AnonymousLinkCreated: 為資源建立匿名連結 (也稱為「任何人」連結) 。 因為可以建立並複製匿名連結,所以合理地假設任何具有匿名連結的檔都已與目標使用者共用。
AnonymousLinkUsed: 顧名思義,當使用匿名連結來存取資源時,會記錄此事件。
SecureLinkCreated: 使用者已建立「特定人員連結」,以與特定人員共用資源。 此目標使用者可能是組織外部的人員。 與資源分享的人員會在 AddedToSecureLink 事件的稽核記錄中識別。 這兩個事件的時間戳記幾乎完全相同。
AddedToSecureLink: 使用者已新增至特定人員連結。 在此事件中使用 [TargetUserOrGroupName] 字 段來識別新增至對應特定人員連結的使用者。 此目標使用者可能是組織外部的人員。
共用稽核工作流程
當使用者 (行動使用者) 想要與目標使用者) (另一個使用者共用資源時,SharePoint (或商務用 OneDrive) 先檢查目標使用者的電子郵件地址是否已與組織目錄中的使用者帳戶相關聯。 如果目標使用者位於目錄 (,且具有對應的來賓使用者帳戶) ,SharePoint會執行下列動作:
將目標使用者新增至適當的SharePoint群組,並記錄 AddedToGroup 事件,立即指派存取資源的目標使用者許可權。
將共用通知傳送至目標使用者的電子郵件地址。
記錄 SharingSet 事件。 此事件在稽核記錄搜尋工具之活動選擇器的 [ 共用和存取要求活動 ] 底下,具有易記名稱「共用檔案、資料夾或網站」。 請參閱 步驟 1中的螢幕擷取畫面。
如果目標使用者的使用者帳戶不在目錄中,SharePoint執行下列動作:
根據資源的共用方式,記錄下列其中一個事件:
AnonymousLinkCreated
SecureLinkCreated
AddedToSecureLink
SharingInvitationCreated (只有當共用資源是網站時,才會記錄此事件)
當目標使用者透過按一下邀請) 中的連結來接受傳送給 (的共用邀請時,SharePoint會記錄 SharingInvitationAccepted 事件,並指派目標使用者存取資源的許可權。 如果傳送匿名連結給目標使用者,則會在目標使用者使用連結來存取資源之後記錄 AnonymousLinkUsed 事件。 針對安全連結,當外部使用者使用連結來存取資源時,會記錄 FileAccessed 事件。
也會記錄有關目標使用者的其他資訊,例如邀請的使用者身分識別,以及接受邀請的使用者。 在某些情況下,這些使用者 (或電子郵件地址) 可能不同。
如何識別與外部使用者共用的資源
系統管理員的常見需求是建立已與組織外部使用者共用的所有資源清單。 透過在Office 365中使用共用稽核,系統管理員可以產生此清單。 方法如下。
步驟 1:搜尋共用事件並將結果匯出至 CSV 檔案
第一個步驟是搜尋稽核記錄以共用事件。 如需詳細資訊 (包括搜尋稽核記錄的必要許可權) ,請 參閱搜尋稽核記錄。
使用您的公司或學校帳戶登入。
在 Microsoft Purview 合規性入口網站的左窗格中,按一下 [ 稽核]。
[稽核] 頁面隨即顯示。
在 [ 活動] 下,按一下 [ 共用和存取要求活動 ] 來搜尋共用相關事件。
![在 [活動] 底下,選取 [共用和存取要求活動]。](../media/46bb25b7-1eb2-4adf-903a-cc9ab58639f9.png?view=o365-worldwide)
選取日期和時間範圍,以尋找該期間內發生的共用事件。
按一下 [搜尋 ] 以執行搜尋。
當搜尋完成執行並顯示結果時,按一下 [ 匯出結果 > ] [下載所有結果]。
選取匯出選項之後,視窗底部的訊息會提示您開啟或儲存 CSV 檔案。
按一下 [另存 > 新 檔],並將 CSV 檔案儲存至本機電腦上的資料夾。
步驟 2:使用 PowerQuery 編輯器來格式化匯出的稽核記錄
下一個步驟是使用 Excel 中Power Query 編輯器中的 JSON 轉換功能,將 AuditData 資料行中的每個屬性分割 (其中包含多重屬性 JSON 物件,) 成自己的資料行。 這可讓您篩選資料行以檢視與共享相關的記錄
如需逐步指示,請參閱匯出、設定及檢視稽核記錄檔的記錄中的「步驟 2:使用 Power Query 編輯器設定匯出之稽核記錄的格式」(部分機器翻譯)。
步驟 3:針對與外部使用者共用的資源篩選 CSV 檔案
下一個步驟是篩選 CSV,以取得先前在SharePoint共用事件一節中所述的不同共用相關事件。 或者,您可以篩選 TargetUserOrGroupType 資料行,以顯示此屬性值為 Guest 的所有記錄。
遵循上一個步驟中的指示,使用 PowerQuery 編輯器準備 CSV 檔案之後,請執行下列動作:
開啟您在步驟 2 中建立的Excel檔案。
在 [ 首頁] 索引標籤上,按一下 [ 排序&篩選],然後按一下 [ 篩選]。
在 [作業] 資料行的 [排序&篩選] 下拉式清單中,清除所有選取專案,然後選取一或多個下列共用相關事件,然後按一下 [確定]。
SharingInvitationCreated
AnonymousLinkCreated
SecureLinkCreated
AddedToSecureLink
Excel會顯示您所選取事件的資料列。
移至名為 TargetUserOrGroupType 的資料行並加以選取。
在 [ 排序&篩選] 下拉式清單中,清除所有選取專案,然後選取 [TargetUserOrGroupType:Guest],然後按一下 [ 確定]。
現在Excel顯示共用事件的資料列,以及目標使用者在組織外部的位置,因為外部使用者是由 TargetUserOrGroupType:Guest 值所識別。
提示
對於顯示的稽核記錄, ObjectId 資料行會識別與目標使用者共用的資源;例如 ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx 。