Partager via

Utiliser le partage d’audit dans le journal d’audit

Le partage est une activité clé dans SharePoint Online et OneDrive Entreprise, et les organisations l’utilisent largement. Les administrateurs peuvent utiliser l’audit de partage dans le journal d’audit pour identifier comment le partage est utilisé dans leur organisation.

Le schéma de partage SharePoint

Les événements de partage (à l’exception des événements liés à la stratégie de partage et aux liens de partage) diffèrent des événements liés aux fichiers et aux dossiers d’une manière principale : un utilisateur effectue une action qui affecte un autre utilisateur. Par exemple, lorsqu’un utilisateur A de ressource donne à l’utilisateur B l’accès à un fichier. Dans cet exemple, l’utilisateur A est l’utilisateur agissant et l’utilisateur B est l’utilisateur cible. Dans le schéma de fichier SharePoint, l’action de l’utilisateur agissant concerne uniquement le fichier lui-même. Lorsque l’utilisateur A ouvre un fichier, les seules informations requises dans l’événement FileAccessed sont celles de l’utilisateur agissant. Pour résoudre cette différence, il existe un schéma distinct, appelé schéma de partage SharePoint , qui capture plus d’informations sur les événements de partage. Ce schéma garantit que les administrateurs ont une visibilité sur les personnes qui ont partagé une ressource et l’utilisateur avec lequel la ressource a été partagée.

Le schéma de partage fournit deux champs supplémentaires dans un enregistrement d’audit lié au partage d’événements :

  • TargetUserOrGroupType : identifie si le groupe ou l’utilisateur cible est un membre, un invité, un SharePointGroup, un SecurityGroup ou un partenaire.
  • TargetUserOrGroupName : stocke l’UPN ou le nom de l’utilisateur/du groupe cible avec lequel une ressource a été partagée (l’utilisateur B dans l’exemple précédent).

Ces deux champs, en plus d’autres propriétés du schéma du journal d’audit, telles que Utilisateur, Opération et Date, racontent l’histoire complète de l’utilisateur qui a partagé quelle ressource avec qui et quand.

Une autre propriété de schéma est importante pour l’article de partage. Lorsque vous exportez les résultats de la recherche dans le journal d’audit, la colonne AuditData dans le fichier CSV exporté stocke des informations à propos des événements de partage. Par exemple, lorsqu’un utilisateur partage un site avec un autre utilisateur, cette action ajoute l’utilisateur cible à un groupe SharePoint. La colonne AuditData capture ces informations pour fournir du contexte aux administrateurs. Consultez l’étape 2 pour obtenir des instructions sur l’analyse des informations dans la colonne AuditData.

Événements de partage SharePoint

Le partage se produit lorsqu’un utilisateur (l’utilisateur agissant ) partage une ressource avec un autre utilisateur (l’utilisateur cible ). Les enregistrements d’audit liés au partage d’une ressource avec un utilisateur externe (un utilisateur qui se trouve en dehors de votre organization et qui n’a pas de compte invité dans l’ID de Microsoft Entra de votre organization) sont identifiés par les événements suivants, que le journal d’audit enregistre :

  • SharingInvitationCreated : Un utilisateur de votre organization tente de partager une ressource (probablement un site) avec un utilisateur externe. Cet événement entraîne l’envoi d’une invitation de partage externe à l’utilisateur cible. L’invitation n’accorde aucun accès à la ressource à ce stade.
  • SharingInvitationAccepted : L’utilisateur externe accepte l’invitation de partage envoyée par l’utilisateur agissant et a maintenant accès à la ressource.
  • AnonymousLinkCreated : un lien anonyme (également appelé lien « Tout le monde ») est créé pour une ressource. Étant donné qu’un lien anonyme peut être créé, puis copié, il est raisonnable de supposer que tout document qui a un lien anonyme est partagé avec un utilisateur cible.
  • AnonymousLinkUsed : Cet événement est enregistré lorsqu’un lien anonyme est utilisé pour accéder à une ressource.
  • SecureLinkCreated : Un utilisateur crée un « lien de personnes spécifiques » pour partager une ressource avec une personne spécifique. Cet utilisateur cible peut être une personne externe à votre organisation. La personne avec laquelle la ressource est partagée est identifiée dans l’enregistrement d’audit de l’événement AddedToSecureLink. Les horodatages de ces deux événements sont presque identiques.
  • AddedToSecureLink : Un utilisateur est ajouté à un lien de personnes spécifique. Utilisez le champ TargetUserOrGroupName dans cet événement pour identifier l’utilisateur ajouté au lien de personnes spécifiques associé. Cet utilisateur cible peut être une personne externe à votre organisation.

Partage du flux de travail d’audit

Lorsqu’un utilisateur (l’utilisateur agissant) souhaite partager une ressource avec un autre utilisateur (l’utilisateur cible), SharePoint (ou OneDrive Entreprise) vérifie d’abord si l’adresse e-mail de l’utilisateur cible est déjà associée à un compte d’utilisateur dans l’annuaire de l’organisation. Si l’utilisateur cible se trouve dans le répertoire (et dispose d’un compte d’utilisateur invité correspondant), SharePoint effectue les actions suivantes :

  • Attribue immédiatement à l’utilisateur cible les autorisations d’accès à la ressource en ajoutant l’utilisateur cible au groupe SharePoint approprié, et consigne un événement AddedToGroup.
  • Envoie une notification de partage à l’adresse e-mail de l’utilisateur cible.
  • Consigne un événement SharingSet. Cet événement porte le nom convivial « Fichier, dossier ou site partagé » sous Activités de demande de partage et d’accès dans le sélecteur d’activités de l’outil de recherche dans le journal d’audit. Consultez la capture d’écran à l’étape 1.

Si un compte d’utilisateur pour l’utilisateur cible n’est pas dans le répertoire, SharePoint effectue les actions suivantes :

  • Consigne l’un des événements suivants, en fonction de la façon dont la ressource est partagée :

    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink
    • SharingInvitationCreated (cet événement est consigné uniquement lorsque la ressource partagée est un site)

  • Lorsque l’utilisateur cible accepte l’invitation de partage (en cliquant sur le lien dans l’invitation), SharePoint enregistre un événement SharingInvitationAccepted et attribue à l’utilisateur cible des autorisations pour accéder à la ressource. Si un lien anonyme est envoyé à l’utilisateur cible, l’événement AnonymousLinkUsed est consigné après que l’utilisateur cible utilise le lien pour accéder à la ressource. Pour les liens sécurisés, un événement FileAccessed est consigné lorsqu’un utilisateur externe utilise le lien pour accéder à la ressource.

D’autres informations sur l’utilisateur cible sont également consignées, telles que l’identité de l’utilisateur à qui l’invitation est envoyée, ainsi que l’utilisateur qui accepte l’invitation. Dans certains cas, ces utilisateurs (ou adresses e-mail) peuvent être différents.

Comment identifier les ressources partagées avec des utilisateurs externes

Une exigence courante pour les administrateurs consiste à créer une liste de toutes les ressources partagées par les administrateurs avec des utilisateurs en dehors du organization. En utilisant l’audit de partage dans Office 365, les administrateurs peuvent générer cette liste. Voici comment procéder.

Étape 1 : Rechercher des événements de partage et exporter les résultats dans un fichier CSV

Recherchez dans le journal d’audit des événements de partage. Pour plus d’informations (y compris les autorisations requises) sur les recherches dans le journal d’audit, consultez Rechercher dans le journal d’audit.

Effectuez les étapes suivantes pour rechercher des événements de partage :

  1. Connectez-vous au portail Microsoft Purview.

  2. Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.

  3. Dans la page Rechercher et sous Activités - noms conviviaux, sélectionnez Activités de demande de partage et d’accès pour rechercher des événements liés au partage.

  4. Sélectionnez une plage de dates et d’heures pour afficher les événements de partage survenus pendant cette période.

  5. Sélectionnez Rechercher pour exécuter la recherche.

  6. Une fois la recherche terminée et les résultats affichés, sélectionnez Exporter les résultats>Télécharger tous les résultats.

    Une fois que vous avez sélectionné une option d’exportation, un message en bas de la fenêtre vous invite à ouvrir ou enregistrer le fichier CSV.

  7. Sélectionnez Enregistrer>Enregistrer sous et enregistrez le fichier CSV dans un dossier sur votre ordinateur local.

Étape 2 : Utiliser l’Éditeur PowerQuery pour mettre en forme le journal d’audit exporté

Utilisez la fonctionnalité de transformation JSON dans le Éditeur Power Query dans Excel pour fractionner chaque propriété de la colonne AuditData (qui se compose d’un objet JSON à plusieurs propriétés) en sa propre colonne. Cette fonctionnalité vous permet de filtrer les colonnes pour afficher les enregistrements liés au partage.

Pour obtenir des instructions détaillées, consultez « Étape 2 : mise en forme du journal d’audit exporté à l’aide de l’Éditeur Power Query » dans Exporter, configurer et afficher des enregistrements du journal d’audit.

Étape 3 : Filtrer le fichier CSV pour les ressources partagées avec des utilisateurs externes

Dans cette étape, vous filtrez le fichier CSV pour les différents événements liés au partage décrits dans la section Événements de partage SharePoint . Vous pouvez également filtrer la colonne TargetUserOrGroupType pour afficher tous les enregistrements dont la valeur de cette propriété est Guest.

Après avoir suivi les instructions de l’étape précédente pour préparer le fichier CSV à l’aide de l’éditeur PowerQuery, procédez comme suit :

  1. Ouvrez le fichier Excel que vous avez créé à l’étape 2.

  2. Sous l’onglet Accueil , sélectionnez Trier & Filtre, puis Filtrer.

  3. Dans la liste déroulante Trier & filtre de la colonne Opérations , effacez toutes les sélections, sélectionnez un ou plusieurs des événements de partage suivants, puis sélectionnez OK.

    • SharingInvitationCreated
    • AnonymousLinkCreated
    • SecureLinkCreated
    • AddedToSecureLink

    Excel affiche les lignes des événements que vous avez sélectionnés.

  4. Accédez à la colonne intitulée TargetUserOrGroupType et sélectionnez-la.

  5. Dans la liste déroulante Trier & filtre , effacez toutes les sélections, sélectionnez TargetUserOrGroupType :Guest, puis sélectionnez OK.

    À présent, Excel affiche les lignes pour le partage d’événements et l’emplacement où l’utilisateur cible se trouve en dehors de votre organization, car les utilisateurs externes sont identifiés par la valeur TargetUserOrGroupType :Guest.

Conseil

Pour les enregistrements d’audit affichés, la colonne ObjectId identifie la ressource que vous avez partagée avec l’utilisateur cible. Par exemple : ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.

  • Last updated on