组织报表的网站权限是 SharePoint 高级管理提供的数据访问治理快照报表之一。 此报表提供组织在所有 SharePoint 和 OneDrive 网站中的当前权限结构快照,帮助你了解数据公开范围,并确定潜在的过度共享风险。 这种快照方法可帮助你快速评估整体安全态势,并确定需要立即关注的站点。
组织的网站权限报告向我显示了什么?
组织的网站权限报告捕获组织在特定时间点的权限状态,从而提供以下完整概述:
- 权限用户总数:可在网站级别和项目级别访问网站及其内容的所有唯一用户。 这有助于比较网站,并确定曝光范围最广的网站。
- Microsoft Entra组:在所有范围内具有权限的仅限云的组数。 这有助于了解基于组的访问如何对整体公开造成影响。
- 中断的继承:显示有多少项具有替代网站默认设置的唯一权限。
- 除 (EEEU) 权限的外部用户以外的所有人:与所有内部用户共享的内容
- 所有人权限:与所有用户(包括来宾)共享的内容
- 来宾用户权限:向其标识中标有 #EXT# 的来宾授予的访问权限
- 外部参与者权限:可以使用自己的凭据登录的外部用户的访问权限
-
共享链接:计算以下项的数量:
- “任何人”链接
- “组织中的人员”链接
...等等。 有关报表中捕获的指标的完整列表,请参阅本文后面的 下载组织报表的网站权限 部分。
何时对组织报表使用网站权限?
建议将组织报告的站点权限与其他数据访问治理报告结合使用,以全面持续了解组织的数据访问环境。 下面介绍如何将它们有效地一起使用:
- 从快照报告开始:为组织和用户报告运行网站权限,以及首先使用敏感度标签报告来了解基线权限结构,并确定曝光范围最广的网站。 建议每季度运行一次这些报告,以全面了解组织的数据访问。
- 跟进活动报告:使用共享链接和 EEEU 活动报告监视最近的过度共享活动并捕获新出现的风险。 我们建议每月运行一次,以随时了解正在进行的共享活动。
为什么组织报告的网站权限对于 Copilot 很重要?
由于 Copilot 尊重现有权限,因此在部署之前了解当前权限结构至关重要。 许多用户访问内容的网站通过 Copilot 交互导致意外数据泄露的风险更高。 组织的网站权限报告优先考虑用户计数最高的网站,帮助你将修正工作集中在最需要的地方。
为组织报表运行网站权限
重要
在创建第一个报表之前,请查看以下重要详细信息:
- 系统为 SharePoint 和 OneDrive 网站创建单独的报表
- 第一个报告最多需要 5 天才能完成,而不管组织的规模如何
- 后续报告在 24 小时内完成
- 报告在生成前最多 48 小时捕获数据
- 可以每 30 天再次运行一次报表
下面介绍如何为组织报表运行网站权限:
- 在“数据访问治理”登陆页中,选择“整个组织的站点权限”下的“查看报表”。
- 选择“ 创建报表 ”以生成第一个报表。 如果已创建报表,请在启用) 后选择“ (运行报表 ”以获取最新数据。
如何查看组织报表的网站权限?
报表准备就绪后,可以查看整个组织的权限摘要。
报表摘要页显示:
- 扫描的网站总数:针对权限分析的 SharePoint 和 OneDrive 网站数
- 没有用户的网站:未分配用户权限的网站数
- 具有用户权限的网站:具有至少一个具有访问权限的用户的其余网站 (SharePoint 和 OneDrive)
- 报告日期:在生成) 前 48 小时 (捕获数据的时间
查看详细结果:
选择“SharePoint”或“OneDrive”部分下的“ 查看报表 ”
报表显示具有权限的用户数最多的前 100 个网站
此可视化效果可帮助你快速识别具有最广泛访问权限的网站,使它们成为审查和潜在修正的优先候选项。
如何计算“权限用户总数”
此关键指标表示可在任何级别访问网站及其内容的所有唯一用户:
网站级别访问:SharePoint 组中的用户 (所有者、成员、访问者) 有权访问所有网站内容。 这些组可以包括单个用户和Microsoft Entra组。
项目级访问权限:用户通过中断继承授予对特定文件或文件夹的权限。 可以将这些权限分配给个人、SharePoint 组或Microsoft Entra组。
系统按以下方式计算此数字:
- 跨所有权限级别扩展所有组
- 删除重复用户
- 计算剩余的唯一用户数
了解当前风险与潜在风险
当前公开:直接或通过Microsoft Entra组添加用户时,“总权限用户数”计数会根据组大小或添加的个人数立即增加。
潜在暴露:创建共享链接或授予对“除外部用户以外的所有人”的访问权限不会自动增加用户计数。 这些作会创建潜在的公开,仅在用户通过这些链接访问内容时,才会成为实际公开。
下载组织报表的网站权限
可以将报告下载为 CSV 文件,以便脱机分析多达 100 万个站点。
下载的报告包含以下信息:
| 列 | 说明 |
|---|---|
| TenantID | 标识组织的 GUID |
| 站点 ID | 标识组织的 GUID |
| 网站名称 | 站点名称 |
| 网站 URL | 网站的 URL |
| 网站模板 | 指定网站的类型。 具有通信网站、工作组网站、工作组网站 (无Microsoft 365 组) 、其他网站等值 |
| 主管理员 | “活动网站”页中标记为“主站点”的站点管理员 |
| 主管理员电子邮件 | 主站点管理员Email |
| ExternalSharing | 指定是否可以与外部来宾共享内容。 Yes 或 No。 |
| 网站隐私 | 适用于 Microsoft 365 连接的团队网站。 指定组的隐私设置。 具有“公共”或“专用”值 |
| 站点敏感度 | 指定应用于网站的敏感度标签 |
| 有权访问的用户数 | 在任何级别/范围内有权访问网站内容的用户数的唯一数量 |
| 来宾用户权限 | 在任何级别/范围内对来宾的权限计数。 这些用户的Microsoft Entra标识中标有 #EXT# |
| 外部参与者权限 | 直接使用自己的凭据进行登录和协作的外部用户(例如在共享频道中)的权限计数 |
| Microsoft Entra组计数 | 所有作用域Microsoft Entra仅限云的组数 |
| 文件计数 | 网站中所有文件的大致数目 |
| 具有唯一权限计数的项目 | 中断继承的范围。 中断继承并分配了唯一权限的所有项的计数 |
| 组织链接计数中的人员 | 网站中所有文件的现有 PeopleInYourOrg 链接数 |
| 任何人链接计数 | 网站中所有文件的现有“任何人”链接数 |
| EEEU 权限计数 | 在任何级别/范围内以“除外部用户以外的所有人”作为收件人的权限数 |
| 每个人权限计数 | 在任何级别/范围内以“每个人”作为收件人的权限数 |
| 报表日期 | 生成报表的时间。 最多可能需要 48 小时才能反映报表中的任何更改 |
根据组织报告结果的网站权限采取作
通过组织报表的站点权限发现潜在的过度共享后,可以采取措施来修正风险并改进组织的数据访问治理。 在此处了解详细信息。