Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Aunque la gobernanza del acceso a datos está disponible en el portal del Centro de administración de SharePoint, las organizaciones grandes suelen buscar compatibilidad con PowerShell para administrar la escala mediante scripting y automatización. En este artículo se describe cómo usar el módulo de PowerShell de SharePoint Online para administrar informes de gobernanza del acceso a datos.
Importante
- La compatibilidad de PowerShell con la gobernanza del acceso a datos está disponible desde el módulo "Microsoft.Online.SharePoint.PowerShell" y la versión "16.0.25409" en adelante.
- Ejecute el comando Connect-SPOServicesin el parámetro Credential . No se admite el inicio de sesión con el parámetro Credential en línea con los procedimientos de seguridad más recientes.
¿Qué necesito para crear un informe de gobernanza del acceso a datos?
¿Cuáles son los requisitos de licencia?
Su organización debe tener la licencia adecuada y cumplir determinados permisos o roles administrativos para usar la característica descrita en este artículo.
En primer lugar, la organización debe tener una de las siguientes licencias base:
- Office 365 E3, E5 o A5
- Microsoft 365 E1, E3, E5 o A5
Además, necesita al menos una de estas licencias:
- Microsoft 365 Copilot licencia: al menos a un usuario de su organización se le debe asignar una licencia de Copilot (este usuario no necesita ser administrador de SharePoint).
- Licencia de administración avanzada de Microsoft SharePoint: Disponible como compra independiente.
Requisitos de administrador
Debe ser administrador de SharePoint o tener permisos equivalentes.
Información adicional
Si su organización tiene una licencia de Copilot y al menos una persona de su organización tiene asignada una licencia de Copilot, los administradores de SharePoint obtienen acceso automáticamente a las características de Administración avanzada de SharePoint necesarias para la implementación de Copilot.
Para las organizaciones sin una licencia de Copilot, puede usar las características de Administración avanzada de SharePoint mediante la compra de una licencia de Administración avanzada de SharePoint independiente.
¿Qué necesito tener antes de empezar?
Debe ser administrador de SharePoint o tener permisos equivalentes en Microsoft 365 para ejecutar los scripts de administrador de PowerShell.
Antes de usar los scripts de PowerShell de este artículo, debe realizar los pasos siguientes:
Si no lo ha hecho, descargue la Shell de administración de SharePoint Online más reciente.
Nota:
Si instaló una versión anterior del Shell de administración de SharePoint Online, vaya a Agregar o quitar programas y desinstale "Shell de administración de SharePoint Online".
Conéctese a SharePoint como administrador de SharePoint o con permisos equivalentes en Microsoft 365 en Microsoft 365. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.
Cómo crear todos los informes mediante PowerShell?
Use el comando Start-SPODataAccessGovernanceInsight para generar todos los informes con los filtros y parámetros adecuados.
Cómo generar un informe de estado de permisos de sitio con PowerShell?
Debe comprender la configuración de permisos en su organización, especialmente después de la adopción de Copilot, ya que respeta los permisos de usuario y contenido. El riesgo de exposición de datos de Copilot aumenta con el número de usuarios que tienen permisos o acceso. Este informe proporciona información detallada sobre la "exposición" (el número único de usuarios que tienen permisos) de cada sitio de SharePoint y OneDrive de su organización.
Se recomienda ejecutar este informe primero para obtener una introducción rápida a los permisos de su organización.
Este informe es un informe de "instantánea". Proporciona la instantánea o el estado más recientes de toda la organización a partir de la fecha de generación del informe.
Para generar un informe para todos los sitios de SharePoint, ejecute el siguiente comando:
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 0 -Name "OrgWidePermissionedUsersReportSharePoint"
Para generar un informe para todas las cuentas de OneDrive para la Empresa, ejecute el siguiente comando:
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload OneDriveForBusiness -CountOfUsersMoreThan 0 -Name "OrgWidePermissionedUsersReportODB"
Revise la siguiente información importante sobre las ejecuciones del informe.
- Dado que estos informes son completos y es probable que cubran todos los datos del inquilino, el número máximo de informes permitidos es 2; uno por carga de trabajo.
- El primer informe siempre tarda hasta cinco días en completarse, independientemente del tamaño de la organización. Los informes posteriores se completan en un plazo de 24 horas.
- Estos informes capturan datos hasta 48 horas antes de la generación del informe.
- Una vez generados, se pueden ejecutar de nuevo una vez cada 30 días.
Estos comandos generan una lista de todos los sitios donde al menos un usuario puede acceder a cualquier contenido dentro del sitio. Aquí encontrará más información sobre la lista de sitios y cómo interpretar los resultados.
Una vez que comprenda el alcance del uso compartido excesivo en el inquilino, puede realizar un seguimiento de las desviaciones adicionales específicamente de los sitios activos en los últimos 28 días. En los últimos 28 días, puede generar informes en sitios que estén activos en factores clave de posible uso compartido excesivo, como "Vínculos de uso compartido" o contenido compartido con "Todos excepto usuarios externos".
Cómo generar una etiqueta de confidencialidad en el informe de archivos con PowerShell?
Ejecute este comando de PowerShell para desencadenar el informe para enumerar los sitios en los que se etiquetaron elementos específicos con una "etiqueta" determinada, a partir de la fecha de generación del informe.
En primer lugar, recupere el GUID de etiqueta o nombre de etiqueta mediante el módulo de PowerShell "Seguridad y cumplimiento".
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
A continuación, use el GUID Nombre y para recuperar sitios con archivos etiquetados con el nombre de etiqueta o GUID especificados.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
Nota:
Actualmente, no se admite el informe de las cuentas de "OneDriveForBusiness" con archivos etiquetados.
Cómo generar informes de actividad de vínculos de uso compartido mediante PowerShell?
Puede usar informes de actividad de vínculos de uso compartido para identificar sitios que están activos en colaboración y necesitan una intervención más rápida para mitigar cualquier posible riesgo de uso compartido excesivo. Estos informes basados en "RecentActivity" identifican los sitios que generan el mayor número de vínculos de uso compartido en los últimos 28 días.
Puede generar los siguientes informes de actividad de vínculo de uso compartido:
- Sitios que crearon vínculos de uso compartido de "Cualquiera" en los últimos 28 días
- Sitios que crearon vínculos compartidos de "Personas en su organización" en los últimos 28 días
- Sitios que crearon vínculos de uso compartido de "personas específicas" (invitados) en los últimos 28 días
Importante
Si no tiene una licencia de Administración avanzada de Microsoft SharePoint, debe habilitar la recopilación de datos para los informes basados en "RecentActivity" para que el producto empiece a recopilar los datos de auditoría pertinentes para compilar este informe. Después de habilitarlos, los datos se recopilan y almacenan durante 28 días. Los informes se pueden generar 24 horas más tarde y contienen datos del punto de recopilación. Si no genera informes incluso una vez en tres meses, la recopilación de datos se pausa y debe habilitarla de nuevo. Para habilitar la recopilación de datos para estos informes, consulte Cómo administrar la recopilación de datos para informes recientes basados en actividades.
Cómo informe sobre cualquiera que comparta vínculos creados en los últimos 28 días con PowerShell?
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Cómo informe sobre los vínculos de uso compartido de PeopleInYourOrg creados en los últimos 28 días?
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Cómo informe sobre los vínculos de uso compartido de personas (invitados) específicos creados en los últimos 28 días?
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
Proporcione el valor de la carga de trabajo como "OneDriveForBusiness" para obtener todas las cuentas de OneDrive con los mismos criterios.
Cómo identificar el contenido compartido con Todos excepto los usuarios externos en los últimos 28 días con PowerShell?
Aunque los vínculos de uso compartido son un posible colaborador para un posible uso compartido excesivo, otro colaborador clave es "Todos excepto los usuarios externos" (EEEU). EEEU hace que el contenido sea "público" (visible para toda la organización) y facilita que otros usuarios descubran contenido y obtengan acceso. Estos informes identifican los sitios que usaron activamente EEEU en diversos ámbitos en los últimos 28 días.
Puede generar los siguientes informes de actividad de EEEU:
- Sitios compartidos con todos excepto usuarios externos en los últimos 28 días
- Elementos compartidos con todos excepto usuarios externos en los últimos 28 días
Importante
Actualmente, el informe EEEU para OneDriveForBusiness solo admite el nivel de elemento. No se admite el informe EEEU para OneDriveForBusiness en el nivel de sitio. Si no tiene una licencia de Administración avanzada de Microsoft SharePoint, debe habilitar la recopilación de datos para los informes basados en "RecentActivity" para que el producto empiece a recopilar los datos de auditoría pertinentes para compilar este informe. Después de habilitarlos, los datos se recopilan y almacenan durante 28 días. Los informes se pueden generar 24 horas más tarde y contienen datos del punto de recopilación. Si no genera informes incluso una vez en tres meses, la recopilación de datos se pausa y debe habilitarla de nuevo. Para habilitar la recopilación de datos para estos informes, consulte Cómo administrar la recopilación de datos para informes recientes basados en actividades.
Cómo identificar sitios compartidos con Todos excepto usuarios externos en los últimos 28 días con PowerShell?
Al agregar EEEU a una pertenencia al sitio (propietarios, miembros o visitantes), todo el contenido del sitio se vuelve público y es más propenso a compartir en exceso. Ejecute el siguiente comando de PowerShell para desencadenar el informe para capturar dichos sitios en los últimos 28 días para sitios de SharePoint:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Cómo identificar los elementos compartidos con Todos excepto los usuarios externos en los últimos 28 días con PowerShell?
Ejecute el siguiente comando de PowerShell para desencadenar el informe para capturar elementos específicos (archivos, carpetas o listas) que se compartieron con EEEU en los últimos 28 días para sitios de SharePoint:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Nota:
Reemplace el valor de la carga de trabajo por "OneDriveForBusiness" para que los elementos se compartan con Todos excepto los usuarios externos de todas las cuentas de OneDrive con los mismos criterios.
Cómo administrar la recopilación de datos para informes recientes basados en actividades?
Importante
Si no tiene una licencia de Administración avanzada de Microsoft SharePoint, debe habilitar la recopilación de datos para los informes basados en "RecentActivity" para que el producto empiece a recopilar los datos de auditoría pertinentes para compilar este informe. Después de habilitarlo, puede generar los informes 24 horas más tarde y contienen datos desde el punto de recopilación. Los datos se almacenan durante 28 días. Si no genera informes incluso una vez en tres meses, la recopilación de datos se pausa y debe habilitarla de nuevo.
Cómo habilitar la recopilación de datos para informes recientes basados en actividades?
Este comando de PowerShell comienza a recopilar datos de auditoría para informes sobre actividades de los últimos 28 días.
Start-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone
Los valores aplicables para el parámetro ReportEntity son SharingLinksAnyone, SharingLinksPeopleInYourOrg, SharingLinksGuests, EveryoneExceptExternalUsersAtSite, EveryoneExceptExternalUsersForItems, CopilotAppInsights
Cómo deshabilitar la recopilación de datos para informes recientes basados en actividades?
Este comando de PowerShell deja de recopilar datos de auditoría para informes sobre actividades de los últimos 28 días.
Stop-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone
Cómo comprobar el estado de la recopilación de datos para los informes basados en actividad recientes?
Una vez habilitada la recopilación de datos, los informes se pueden generar después de 24 horas. Para comprobar si se pueden generar informes, use el comando de PowerShell Get-SPOAuditDataCollectionStatusForActivityInsights. El comando devuelve el estado de la recopilación de datos actual, que puede ser NotInitiated, InProgress o Paused. Los informes se pueden generar cuando el estado es InProgress.
Get-SPOAuditDataCollectionStatusForActivityInsights -ReportEntity SharingLinks_Anyone
Cómo realizar un seguimiento de los informes mediante PowerShell?
Importante
Todas las creaciones de informes dan como resultado un GUID como salida que se podría usar para realizar un seguimiento del estado del informe.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Use el comando Get-SPODataAccessGovernanceInsight para recuperar el estado actual de un informe de gobernanza de acceso a datos específico mediante el identificador de informe.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime y ReportEndTime indican el período de datos para generar el informe. El estado se marca como "Completado" cuando se completa la generación del informe.
También puede ver el estado actual de los informes de DAG mediante el filtro ReportEntity en lugar de id. El id. de informe aparece en la salida y es necesario más adelante para descargar un informe específico.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
Cómo ver y descargar informes mediante PowerShell?
Para descargar un informe específico, necesita el id. de informe. Recupere el id. de informe mediante el comando Get-SPODataAccessGovernanceInsight y use el comando Export-SPODataAccessGovernanceInsight para descargar el informe en una ruta de acceso especificada.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
Esto descarga un archivo CSV en la ruta de acceso especificada. Aquí se describen los detalles de la vista o CSV de cada informe.
Nota:
La ruta de descarga predeterminada es la carpeta "Descargas".
Cómo realizar acciones correctivas mediante PowerShell?
Después de generar informes de gobernanza de acceso a datos, puede realizar acciones correctivas como se describe en Acciones correctivas de informes de gobernanza de acceso a datos. En la sección siguiente se describen los comandos de PowerShell para desencadenar y realizar un seguimiento de la "revisión del acceso al sitio" como una acción correctiva.
Cómo iniciar la revisión del acceso al sitio mediante PowerShell?
Use el comando Start-SPOSiteReview para iniciar una revisión de acceso al sitio de un sitio específico, que se muestra en un informe de gobernanza de acceso a datos. El informe de gobernanza del acceso a datos proporciona el contexto en el que debe iniciar la revisión. Recupere el id. de sitio y el id. de informe del archivo CSV y proporcione comentarios para dar claridad al propietario del sitio con respecto al propósito de la revisión.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
Esto desencadena correos electrónicos al propietario del sitio, tal como se describe aquí.
Cómo realizar un seguimiento de las revisiones de acceso al sitio mediante PowerShell?
Use el comando Start-SPOSiteReview para realizar un seguimiento del estado de las revisiones de acceso al sitio. Para revisiones específicas, puede usar el ReviewID valor como se muestra en la salida. Para recuperar toda la revisión relacionada con un módulo de informes, use el ReportEntity parámetro .
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents