Usar a auditoria de compartilhamento no log de auditoria

A partilha é uma atividade fundamental no SharePoint Online e OneDrive for Business e as organizações utilizam-na amplamente. Os administradores podem utilizar a auditoria de partilha no registo de auditoria para determinar como a partilha é utilizada na organização.

O esquema de Partilha do SharePoint

Os eventos de partilha (sem incluir eventos relacionados com a política de partilha e ligações de partilha) diferem dos eventos relacionados com ficheiros e pastas de uma forma primária: um utilizador executa uma ação que afeta outro utilizador. Por exemplo, quando um recurso Utilizador A dá ao Utilizador B acesso a um ficheiro. Neste exemplo, o Utilizador A é o utilizador em exercício e o Utilizador B é o utilizador-alvo. No esquema ficheiro do SharePoint, a ação do utilizador em exercício só afeta o próprio ficheiro. Quando o Utilizador A abre um ficheiro, a única informação necessária no evento FileAccessed é o utilizador em exercício. Para resolver esta diferença, existe um esquema separado, denominado esquema de Partilha do SharePoint , que captura mais informações sobre a partilha de eventos. Este esquema garante que os administradores têm visibilidade sobre quem partilhou um recurso e o utilizador com quem o recurso foi partilhado.

O Esquema de partilha fornece dois campos adicionais num registo de auditoria relacionados com eventos de partilha:

• TargetUserOrGroupType: Identifica se o utilizador ou grupo de destino é Membro, Convidado, SharePointGroup, Grupo de Segurança ou Parceiro.
• TargetUserOrGroupName: Armazena o UPN ou o nome do utilizador ou grupo de destino com o qual um recurso foi partilhado (Utilizador B no exemplo anterior).

Estes dois campos, além de outras propriedades do esquema de registo de auditoria, como Utilizador, Operação e Data, contam a história completa sobre qual o utilizador que partilhou o recurso com quem e quando.

Outra propriedade de esquema é importante para a história de partilha. Quando exporta os resultados da pesquisa do registo de auditoria, a coluna AuditData no ficheiro CSV exportado armazena informações sobre eventos de partilha. Por exemplo, quando um utilizador partilha um site com outro utilizador, esta ação adiciona o utilizador de destino a um grupo do SharePoint. A coluna AuditData captura estas informações para fornecer contexto aos administradores. Consulte o Passo 2 para obter instruções sobre como analisar as informações na coluna AuditData .

Eventos de partilha do SharePoint

A partilha ocorre quando um utilizador (o utilizador em exercício ) partilha um recurso com outro utilizador (o utilizador de destino ). Os registos de auditoria relacionados com a partilha de um recurso com um utilizador externo (um utilizador fora da sua organização e que não tem uma conta de convidado no ID de Microsoft Entra da sua organização) são identificados pelos seguintes eventos, que o registo de auditoria regista:

• SharingInvitationCreated: Um utilizador na sua organização tenta partilhar um recurso (provavelmente um site) com um utilizador externo. Este evento resulta num convite de partilha externo enviado ao utilizador de destino. Neste momento, o convite não concede acesso ao recurso.
• SharingInvitationAccepted: O utilizador externo aceita o convite de partilha enviado pelo utilizador em exercício e agora tem acesso ao recurso.
• AnonymousLinkCreated: É criada uma ligação anónima (também denominada ligação "Qualquer pessoa") para um recurso. Uma vez que uma ligação anónima pode ser criada e, em seguida, copiada, é razoável assumir que qualquer documento que tenha uma ligação anónima é partilhado com um utilizador de destino.
• AnonymousLinkUsed: Este evento é registado quando é utilizada uma ligação anónima para aceder a um recurso.
• SecureLinkCreated: Um utilizador cria uma "ligação de pessoas específicas" para partilhar um recurso com uma pessoa específica. Este utilizador de destino pode ser alguém externo à sua organização. A pessoa com quem o recurso é partilhado é identificada no registo de auditoria do evento AddedToSecureLink . Os carimbos de data/hora destes dois eventos são quase idênticos.
• AddedToSecureLink: Um utilizador é adicionado a uma ligação de pessoas específica. Utilize o campo TargetUserOrGroupName neste evento para identificar o utilizador adicionado à ligação de pessoas específicas correspondente. Este utilizador de destino pode ser alguém externo à sua organização.

Partilhar fluxo de trabalho de auditoria

Quando um utilizador (o utilizador em exercício) quer partilhar um recurso com outro utilizador (o utilizador de destino), o SharePoint (ou OneDrive for Business) verifica primeiro se o endereço de e-mail do utilizador de destino já está associado a uma conta de utilizador no diretório da organização. Se o utilizador de destino estiver no diretório (e tiver uma conta de utilizador convidado correspondente), o SharePoint efetua as seguintes ações:

• Atribui imediatamente as permissões de utilizador de destino para aceder ao recurso ao adicionar o utilizador de destino ao grupo sharePoint adequado e regista um evento AddedToGroup .
• Envia uma notificação de partilha para o endereço de e-mail do utilizador de destino.
• Regista um evento SharingSet . Este evento tem um nome amigável de "Ficheiro partilhado, pasta ou site" em Atividades de partilha e pedido de acesso no seletor de atividades da ferramenta de pesquisa de registos de auditoria. Veja a captura de ecrã no Passo 1.

Se uma conta de utilizador do utilizador de destino não estiver no diretório, o SharePoint efetua as seguintes ações:

• Regista um dos seguintes eventos, com base na forma como o recurso é partilhado:

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (este evento é registado apenas quando o recurso partilhado é um site)

• Quando o utilizador de destino aceita o convite de partilha (ao clicar na ligação no convite), o SharePoint regista um evento SharingInvitationAccepted e atribui as permissões de utilizador de destino para aceder ao recurso. Se o utilizador de destino for enviado uma ligação anónima, o evento AnonymousLinkUsed é registado depois de o utilizador de destino utilizar a ligação para aceder ao recurso. Para ligações seguras, é registado um evento FileAccessed quando um utilizador externo utiliza a ligação para aceder ao recurso.

Também são registadas informações adicionais sobre o utilizador de destino, como a identidade do utilizador a que se destina o convite e o utilizador que aceita o convite. Em alguns casos, estes utilizadores (ou endereços de e-mail) podem ser diferentes.

Como identificar recursos partilhados com utilizadores externos

Um requisito comum para os administradores é criar uma lista de todos os recursos que os administradores partilharam com utilizadores fora da organização. Ao utilizar a auditoria de partilha no Office 365, os administradores podem gerar esta lista. Veja como.

Passo 1: procurar eventos de partilha e exportar os resultados para um ficheiro CSV

Procure eventos de partilha no registo de auditoria. Para obter mais informações (incluindo as permissões necessárias) sobre a pesquisa no registo de auditoria, consulte Pesquisar o registo de auditoria.

Conclua os seguintes passos para procurar eventos de partilha:

1. Inicie sessão no portal do Microsoft Purview.

2. Selecione a solução auditoria card. Se a solução auditoria card não for apresentada, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo.

3. Na página Procurar e em Atividades - nomes amigáveis, selecione Atividades de partilha e pedido de acesso para procurar eventos relacionados com a partilha.

4. Selecione um intervalo de datas e horas para encontrar os eventos de partilha que ocorreram nesse período.

5. Selecione Pesquisar para executar a pesquisa.

6. Quando a pesquisa terminar e apresentar os resultados, selecione Exportar resultados>Transferir todos os resultados.

   Depois de selecionar a opção de exportação, uma mensagem na parte inferior da janela pede-lhe para abrir ou guardar o ficheiro CSV.

7. Selecione Guardar>Como e guarde o ficheiro CSV numa pasta no seu computador local.

Passo 2: utilizar a Editor do PowerQuery para formatar o registo de auditoria exportado

Utilize a funcionalidade de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade na coluna AuditData (que consiste num objeto JSON de várias propriedades) na sua própria coluna. Esta funcionalidade permite-lhe filtrar colunas para ver registos relacionados com a partilha.

Para obter instruções passo a passo, consulte "Etapa 2: formatar o registro de auditoria exportado usando o Power Query Editor" em Exportar, configurar e visualizar registros de registro de auditoria.

Passo 3: filtrar o ficheiro CSV para recursos partilhados com utilizadores externos

Neste passo, vai filtrar o ficheiro CSV para os diferentes eventos relacionados com a partilha que a secção eventos de partilha do SharePoint descreve. Em alternativa, pode filtrar a coluna TargetUserOrGroupType para apresentar todos os registos em que o valor desta propriedade é Convidado.

Depois de seguir as instruções no passo anterior para preparar o ficheiro CSV com o editor do PowerQuery, conclua os seguintes passos:

1. Abra o ficheiro do Excel que criou no Passo 2.

2. No separador Base , selecione Ordenar & Filtro e, em seguida, selecione Filtro.

3. Na lista pendente Ordenar & Filtro na coluna Operações , desmarque todas as seleções e, em seguida, selecione um ou mais dos seguintes eventos relacionados com a partilha e selecione Ok.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   O Excel apresenta as linhas dos eventos que selecionou.

4. Aceda à coluna denominada TargetUserOrGroupType e selecione-a.

5. Na lista pendente Ordenar & Filtro , desmarque todas as seleções e, em seguida, selecione TargetUserOrGroupType:Guest e selecione Ok.

   Agora, o Excel apresenta as linhas para partilhar eventos e onde o utilizador de destino está fora da sua organização, porque os utilizadores externos são identificados pelo valor TargetUserOrGroupType:Guest.