Freigeben über

Verwenden der Freigabeüberwachung im Überwachungsprotokoll

Die Freigabe ist eine wichtige Aktivität in SharePoint Online und OneDrive for Business, und Organisationen verwenden sie häufig. Administratoren können die Freigabeüberwachung im Überwachungsprotokoll verwenden, um zu bestimmen, wie die Freigabe in ihren organization verwendet wird.

Das SharePoint-Freigabeschema

Freigabeereignisse (ohne Ereignisse im Zusammenhang mit Freigaberichtlinien und Freigabelinks) unterscheiden sich in erster Linie von datei- und ordnerbezogenen Ereignissen: Ein Benutzer führt eine Aktion aus, die sich auf einen anderen Benutzer auswirkt. Beispielsweise, wenn eine Ressource Benutzer A Benutzer B Zugriff auf eine Datei gewährt. In diesem Beispiel ist Benutzer A der handelnde Benutzer und Benutzer B der Zielbenutzer. Im SharePoint-Dateischema wirkt sich die Aktion des handelnden Benutzers nur auf die Datei selbst aus. Wenn Benutzer A eine Datei öffnet, sind die einzigen Informationen, die im FileAccessed-Ereignis benötigt werden, der handelnde Benutzer. Um diesen Unterschied zu beheben, gibt es ein separates Schema namens SharePoint-Freigabeschema , das weitere Informationen zu Freigabeereignissen erfasst. Dieses Schema stellt sicher, dass Administratoren einblick können, wer eine Ressource freigegeben hat, und den Benutzer, für den die Ressource freigegeben wurde.

Das Freigabeschema enthält zwei zusätzliche Felder in einem Überwachungsdatensatz im Zusammenhang mit Freigabeereignissen:

  • TargetUserOrGroupType: Gibt an, ob der Zielbenutzer oder die Zielgruppe Mitglied, Gast, SharePointGroup, SecurityGroup oder Partner ist.
  • TargetUserOrGroupName: Speichert den UPN oder den Namen des Zielbenutzers oder der Zielgruppe, für den bzw. die eine Ressource freigegeben wurde (Benutzer B im vorherigen Beispiel).

Diese beiden Felder sowie andere Eigenschaften aus dem Überwachungsprotokollschema, z. B. Benutzer, Vorgang und Datum, erzählen die vollständige Geschichte darüber , welcher Benutzer welche Ressource für wen und wann freigegeben hat.

Eine weitere Schemaeigenschaft ist wichtig für die Freigabegeschichte. Wenn Sie Überwachungsprotokollsuchergebnisse exportieren, speichert die Spalte AuditData in der exportierten CSV-Datei Informationen zu Freigabeereignissen. Wenn ein Benutzer beispielsweise eine Website für einen anderen Benutzer freigegeben hat, fügt diese Aktion den Zielbenutzer einer SharePoint-Gruppe hinzu. Die Spalte AuditData erfasst diese Informationen, um den Kontext für Administratoren bereitzustellen. Anweisungen zum Analysieren der Informationen in der Spalte AuditData finden Sie unter Schritt 2.

SharePoint-Freigabeereignisse

Die Freigabe erfolgt, wenn ein Benutzer (der handelnde Benutzer) eine Ressource für einen anderen Benutzer (den Zielbenutzer ) freigibt. Überwachungsdatensätze im Zusammenhang mit der Freigabe einer Ressource für einen externen Benutzer (ein Benutzer, der sich außerhalb Ihres organization befindet und kein Gastkonto in der Microsoft Entra-ID Ihres organization hat) werden durch die folgenden Ereignisse identifiziert, die vom Überwachungsprotokoll aufgezeichnet werden:

  • SharingInvitationCreated: Ein Benutzer in Ihrem organization versucht, eine Ressource (wahrscheinlich eine Website) für einen externen Benutzer freizugeben. Dieses Ereignis führt zu einer externen Freigabe-Einladung, die an den Zielbenutzer gesendet wird. Die Einladung gewährt zu diesem Zeitpunkt keinen Zugriff auf die Ressource.
  • SharingInvitationAccepted: Der externe Benutzer akzeptiert die vom handelnden Benutzer gesendete Freigabe-Einladung und hat jetzt Zugriff auf die Ressource.
  • AnonymousLinkCreated: Für eine Ressource wird ein anonymer Link (auch als "Jeder"-Link bezeichnet) erstellt. Da ein anonymer Link erstellt und dann kopiert werden kann, kann davon ausgegangen werden, dass jedes Dokument, das einen anonymen Link aufweist, für einen Zielbenutzer freigegeben wird.
  • AnonymousLinkUsed: Dieses Ereignis wird protokolliert, wenn ein anonymer Link für den Zugriff auf eine Ressource verwendet wird.
  • SecureLinkCreated: Ein Benutzer erstellt einen "bestimmten Personenlink", um eine Ressource für eine bestimmte Person zu freigeben. Bei diesem Zielbenutzer handelt es sich möglicherweise um eine Person, die für Ihre organization extern ist. Die Person, für die die Ressource freigegeben wird, wird im Überwachungsdatensatz für das AddedToSecureLink-Ereignis identifiziert. Die Zeitstempel für diese beiden Ereignisse sind nahezu identisch.
  • AddedToSecureLink: Ein Benutzer wird einem bestimmten Personenlink hinzugefügt. Verwenden Sie das Feld TargetUserOrGroupName in diesem Ereignis, um den Benutzer zu identifizieren, der dem entsprechenden Personenlink hinzugefügt wurde. Bei diesem Zielbenutzer handelt es sich möglicherweise um eine Person, die für Ihre organization extern ist.

Freigeben des Überwachungsarbeitsablaufs

Wenn ein Benutzer (der handelnde Benutzer) eine Ressource für einen anderen Benutzer (den Zielbenutzer) freigeben möchte, überprüft SharePoint (oder OneDrive for Business), ob die E-Mail-Adresse des Zielbenutzers bereits einem Benutzerkonto im Verzeichnis des organization zugeordnet ist. Wenn sich der Zielbenutzer im Verzeichnis befindet (und über ein entsprechendes Gastbenutzerkonto verfügt), führt SharePoint die folgenden Aktionen aus:

  • Weist dem Zielbenutzer sofort Berechtigungen für den Zugriff auf die Ressource zu, indem der Zielbenutzer der entsprechenden SharePoint-Gruppe hinzugefügt wird, und protokolliert ein AddedToGroup-Ereignis .
  • Sendet eine Freigabebenachrichtigung an die E-Mail-Adresse des Zielbenutzers.
  • Protokolliert ein SharingSet-Ereignis . Dieses Ereignis hat den Anzeigenamen "Freigegebene Datei, Ordner oder Website" unter Freigabe- und Zugriffsanforderungsaktivitäten in der Aktivitätsauswahl des Überwachungsprotokoll-Suchtools. Sehen Sie sich den Screenshot in Schritt 1 an.

Wenn sich ein Benutzerkonto für den Zielbenutzer nicht im Verzeichnis befindet, führt SharePoint die folgenden Aktionen aus:

  • Protokolliert eines der folgenden Ereignisse, je nachdem, wie die Ressource freigegeben wird:

    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink
    • SharingInvitationCreated (dieses Ereignis wird nur protokolliert, wenn die freigegebene Ressource eine Website ist)

  • Wenn der Zielbenutzer die Freigabeeinladung akzeptiert (durch Klicken auf den Link in der Einladung), protokolliert SharePoint ein SharingInvitationAccepted-Ereignis und weist dem Zielbenutzer Berechtigungen für den Zugriff auf die Ressource zu. Wenn dem Zielbenutzer ein anonymer Link gesendet wird, wird das AnonymousLinkUsed-Ereignis protokolliert, nachdem der Zielbenutzer den Link für den Zugriff auf die Ressource verwendet hat. Bei sicheren Links wird ein FileAccessed-Ereignis protokolliert, wenn ein externer Benutzer den Link verwendet, um auf die Ressource zuzugreifen.

Weitere Informationen zum Zielbenutzer werden ebenfalls protokolliert, z. B. die Identität des Benutzers, an den die Einladung gesendet wird, und der Benutzer, der die Einladung annimmt. In einigen Fällen können sich diese Benutzer (oder E-Mail-Adressen) unterscheiden.

Identifizieren von Ressourcen, die für externe Benutzer freigegeben sind

Eine häufige Anforderung für Administratoren ist das Erstellen einer Liste aller Ressourcen, die Administratoren für Benutzer außerhalb des organization freigegeben haben. Mithilfe der Freigabeüberwachung in Office 365 können Administratoren diese Liste generieren. Die gehen so:

Schritt 1: Suchen nach Freigabeereignissen und Exportieren der Ergebnisse in eine CSV-Datei

Durchsuchen Sie das Überwachungsprotokoll nach Freigabeereignissen. Weitere Informationen (einschließlich der erforderlichen Berechtigungen) zum Durchsuchen des Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls.

Führen Sie die folgenden Schritte aus, um nach Freigabeereignissen zu suchen:

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.

  3. Wählen Sie auf der Seite Suchen unter Aktivitäten – Anzeigenamen die Option Freigabe- und Zugriffsanforderungsaktivitäten aus, um nach Freigabeereignissen zu suchen.

  4. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Freigabeereignisse zu finden, die innerhalb dieses Zeitraums aufgetreten sind.

  5. Klicken Sie auf Suchen, um die Suche durchzuführen.

  6. Wenn die Suche abgeschlossen ist und die Ergebnisse angezeigt werden, wählen Sie Ergebnisse> exportierenAlle Ergebnisse herunterladen aus.

    Nachdem Sie die Exportoption ausgewählt haben, werden Sie in einer Meldung am unteren Rand des Fensters aufgefordert, die CSV-Datei zu öffnen oder zu speichern.

  7. Wählen Sie Speichern>Unter speichern aus, und speichern Sie die CSV-Datei in einem Ordner auf Ihrem lokalen Computer.

Schritt 2: Verwenden der PowerQuery-Editor zum Formatieren des exportierten Überwachungsprotokolls

Verwenden Sie die JSON-Transformationsfunktion im Power Query-Editor in Excel, um jede Eigenschaft in der AuditData-Spalte (die aus einem JSON-Objekt mit mehreren Eigenschaften besteht) in eine eigene Spalte aufzuteilen. Mit diesem Feature können Sie Spalten filtern, um Datensätze im Zusammenhang mit der Freigabe anzuzeigen.

Schrittweise Anleitungen finden Sie unter "Schritt 2: Formatieren von exportierten Überwachungsprotokollen mithilfe des Power Query-Editors" in Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.

Schritt 3: Filtern der CSV-Datei nach Ressourcen, die für externe Benutzer freigegeben sind

In diesem Schritt filtern Sie die CSV-Datei nach den verschiedenen Freigabeereignissen, die im Abschnitt SharePoint-Freigabeereignisse beschrieben werden. Alternativ können Sie die Spalte TargetUserOrGroupType filtern, um alle Datensätze anzuzeigen, bei denen der Wert dieser Eigenschaft Gast ist.

Nachdem Sie die Anweisungen im vorherigen Schritt zum Vorbereiten der CSV-Datei mit dem PowerQuery-Editor befolgt haben, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Excel-Datei, die Sie in Schritt 2 erstellt haben.

  2. Wählen Sie auf der Registerkarte Startdie Option Sort & Filter und dann Filter aus.

  3. Deaktivieren Sie in der Dropdownliste Sort & Filter in der Spalte Vorgänge alle Auswahlen, wählen Sie dann eines oder mehrere der folgenden Freigabeereignisse aus, und wählen Sie OK aus.

    • SharingInvitationCreated
    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink

    Excel zeigt die Zeilen für die von Ihnen ausgewählten Ereignisse an.

  4. Wechseln Sie zur Spalte TargetUserOrGroupType , und wählen Sie sie aus.

  5. Deaktivieren Sie in der Dropdownliste Sort & Filter alle Auswahlen, wählen Sie dann TargetUserOrGroupType:Guest aus, und klicken Sie auf OK.

    Excel zeigt nun die Zeilen für die Freigabe von Ereignissen an und wo sich der Zielbenutzer außerhalb Ihrer organization befindet, da externe Benutzer durch den Wert TargetUserOrGroupType:Guest identifiziert werden.

Tipp

Für die angezeigten Überwachungsdatensätze identifiziert die Spalte ObjectId die Ressource, die Sie für den Zielbenutzer freigegeben haben. Beispiel: ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.

  • Last updated on