随着 SharePoint 网站的扩张和过度共享随着数据呈指数级增长而增加,组织需要帮助来管理其数据。 数据访问治理报告可帮助你控制对 SharePoint 数据的访问权限。 使用报表可以发现包含可能过度共享或敏感内容的网站。 可以使用这些报告来评估和应用相应的安全性和合规性策略。
创建数据访问治理报告所需的内容
许可证要求是什么?
组织需要拥有适当的许可证并满足某些管理权限或角色才能使用本文中所述的功能。
首先,组织必须具有以下基本许可证之一:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,至少需要以下许可证之一:
- 智能 Microsoft 365 Copilot 副驾驶®许可证:至少必须为组织中的一个用户分配 Copilot 许可证, (此用户不需要是 sharePoint 管理员) 。
- Microsoft SharePoint 高级管理许可证: 作为独立购买提供。
管理员要求
您必须是 SharePoint 管理员 或具有等效权限。
其他信息
如果你的组织具有 Copilot 许可证,并且至少为组织中的一个人分配了 Copilot 许可证,则 SharePoint 管理员会自动获得对 Copilot 部署所需的 SharePoint 高级管理功能的访问权限。
对于没有 Copilot 许可证的组织,可以通过购买独立的 SharePoint 高级管理许可证来使用 SharePoint 高级管理功能。
数据治理访问报告在非政府云环境以及 GCC、GCC-High 和 DoD 政府云环境中可用。 即使拥有所需的许可证,报表目前也不适用于 Gallatin。
如何在 SharePoint 管理中心访问数据访问治理报告
使用组织的 SharePoint 管理员凭据登录到 SharePoint 管理中心。
在左窗格中,展开 “报表 ”,然后选择“ 数据访问治理”。
以下报告当前可从数据访问治理登陆页获取:
注意
拥有Microsoft 365 E5许可的 IT 管理员可以访问数据访问治理报告,但无法查看或使用其他 SharePoint 高级管理功能。 不提供快照报告。 未提供任何修正作。 活动报告可用,但最多只能返回 10,000 个站点。
什么是快照报表?
快照报告可以根据特定的报告条件快照组织的当前状态。 这些报表显示自生成日期起的数据。
目前,可以使用三种类型的快照报表:
- 网站权限报告:提供跨所有 SharePoint 和 OneDrive 网站的权限结构的全面快照,帮助你识别具有最广泛用户访问 (的网站,例如,具有数千个用户、外部来宾或“除外部用户以外的所有人”权限) 的网站。
- 用户的网站权限报告:列出指定用户可以访问的所有网站,使管理员能够确定他们是否可以访问直接授予用户或通过组间接授予的整个网站或特定部分。
- 文件的敏感度标签报告:标识包含已应用特定敏感度标签的文件的 SharePoint 网站,以便验证是否已针对最敏感内容实施适当的安全策略。
什么是活动报告?
活动报告可帮助你跟踪过去 28 天内发生的潜在过度共享活动。 这些报表侧重于“最近处于活动状态”的网站,其中用户创建了与大型组共享链接或共享内容的网站。 对于活动报表中跟踪的所有活动,可以在快照报告中找到相应的“基线”数据。
目前,有两种类型的活动报告可用于帮助你识别潜在的过度共享:
- 共享链接报告:标识用户最近创建共享链接最多的网站, (包括“任何人”、“组织中的人员”和“特定人员”链接) ,以帮助你在发生时发现潜在的过度共享。
- 与“除外部用户以外的所有人”报表共享:跟踪与组织中的所有内部用户共享内容的网站,帮助你识别可能导致意外数据访问的广泛内部暴露。
重要
对于没有 SharePoint 高级管理的组织: 必须先启用数据收集,然后才能生成活动报告。 以下是你需要了解的内容:
- 启用数据收集后,系统开始收集审核数据
- 数据存储 28 天
- 报表在启用收集后 24 小时可用
- 报表仅包含启用收集时的数据
- 如果 3 个月未生成任何报告,数据收集将暂停,必须重新启用
如何使用快照和活动报告?
作为治理策略的一部分,建议结合使用快照和活动报告,以全面了解组织的数据访问环境。 下面介绍如何将它们有效地一起使用:
- 从快照报告开始:首先运行网站权限报告,了解基线权限结构,并确定具有最广泛曝光的站点。 建议每季度运行一次,以保持组织数据访问的全面视图。
- 跟进活动报告:使用共享链接和 EEEU 活动报告监视最近的过度共享活动并捕获新出现的风险。 我们建议每月运行一次,以随时了解正在进行的共享活动。
这种组合可确保你全面了解当前状态,并了解可能会产生新风险的持续共享活动。
组织报表的网站权限是什么?
组织的网站权限报告是第一个快照报表,它提供组织跨所有 SharePoint 和 OneDrive 网站当前权限结构的全面视图。 此报告分析每个站点,以帮助你了解数据公开程度,并确定潜在的过度共享风险。 这种快照方法可帮助你快速评估整体安全态势,并确定需要立即关注的站点。
用户报告的网站权限是什么?
用户的网站权限报告是下一个快照报表,它提供对所有 SharePoint 和 OneDrive 网站中指定用户的权限的全面视图。 此报告列出了用户可以访问的所有网站,并允许管理员确定他们是否可以访问整个网站或特定部分,这些站点或特定部分直接授予用户或通过组间接授予。 此方法可帮助你快速评估整体安全状况,并确定需要立即关注的站点。
文件报告的敏感度标签是什么?
文件报告的敏感度标签是另一个快照报表,可帮助你控制对组织中敏感内容的访问。 此报表标识包含 已应用敏感度标签的文件的网站,以便验证是否应用了适当的安全策略。
什么是共享链接报表?
共享链接报告是两个活动报告之一,可帮助你确定用户在过去 28 天内创建了最新共享链接的网站。
EEEU) 报表 (“除外部用户以外的所有人”是什么?
EEEU 是一个内置 SharePoint 组,它自动包含所有内部用户,但排除任何外部来宾。 “除外部用户以外的所有人” (EEEU) 报告是两个活动报告之一,可帮助你识别过去 28 天内与整个组织共享内容的网站。 可以先 运行组织报表的站点权限 以了解组织的当前 EEEU 共享基线,然后使用此活动报告监视正在进行的 EEEU 共享活动。
限制或已知问题
- 如果已为组织选择了非自定义报表数据,则报表可能不起作用。 若要更改此设置,你必须是全局管理员。 转到Microsoft 365 管理中心中的“报表”设置,并清除“在所有报表中显示隐藏的用户、组和网站名称”。
数据访问治理报告中的修正作
通过数据访问治理报告发现潜在的过度共享后,可以采取一些作来解决这些风险。 决定要执行的作时,请考虑:
- 公开内容的敏感度
- 有风险的内容量
- 对用户和工作流的潜在中断
可用的修正选项
对于即时作:
- 使用 受限访问控制 (RAC) 限制对特定组的访问
- 查看 “更改历史记录”报告 ,确定最近可能导致过度共享的权限更改
对于协作修正:
- 使用 网站访问评审功能 请求网站所有者自行查看和更新权限
此方法可确保平衡安全需求,同时尽量减少对组织生产力的中断。