SharePoint 管理中心中的网站访问评审允许 IT 管理员将查看数据访问治理报告的过程委托给过度共享网站的网站所有者。
此评审过程至关重要,因为:
- 由于符合性原因,IT 管理员无法访问文件级或项目级详细信息。
- 网站所有者最适合查看和解决自己网站的过度共享问题。
注意
仅 SharePoint 网站支持网站访问评审。 OneDrive 帐户当前不支持此功能。
启动网站访问评审需要什么?
许可证要求是什么?
组织需要拥有适当的许可证并满足某些管理权限或角色才能使用本文中所述的功能。
首先,组织必须具有以下基本许可证之一:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,至少需要以下许可证之一:
- 智能 Microsoft 365 Copilot 副驾驶®许可证:至少必须为组织中的一个用户分配 Copilot 许可证, (此用户不需要是 sharePoint 管理员) 。
- Microsoft SharePoint 高级管理许可证: 作为独立购买提供。
管理员要求
您必须是 SharePoint 管理员 或具有等效权限。
其他信息
如果你的组织具有 Copilot 许可证,并且至少为组织中的一个人分配了 Copilot 许可证,则 SharePoint 管理员会自动获得对 Copilot 部署所需的 SharePoint 高级管理功能的访问权限。
对于没有 Copilot 许可证的组织,可以通过购买独立的 SharePoint 高级管理许可证来使用 SharePoint 高级管理功能。
此外,在启动站点访问评审之前,请确保满足以下要求:
- 非政府云租户环境以及 GCC、GCC-High 和 DoD 政府云环境。 即使拥有所需的许可证,Gallatin 也不支持站点访问评审。
- 管理员用于访问 SharePoint 管理中心的凭据。
- 网站所有者,可以响应评审请求、采取必要作并完成评审。
网站访问评审的工作原理
- 可以直接从数据访问治理报表的 Web 视图为最多 100 个站点启动站点访问评审。
- 如果需要查看大量网站,请使用 PowerShell 启动评审。
- 启动评审后,网站所有者会收到一封电子邮件,该电子邮件针对所选报表中标识的特定过度共享问题而定制。 例如,如果评审针对“除外部用户以外的所有人共享的内容”类别,则电子邮件将仅关注与该报表相关的共享问题。
支持的报表
网站访问评审适用于以下报表:
- 共享链接报表 (任何人、PeopleInYourOrg、特定人员外部共享)
- “与除外部用户以外的所有人共享的内容”报表
- 使用权限的过度共享基线报表
如何启动站点访问评审
使用管理员凭据登录到 SharePoint 管理中心。
展开 “报表 ”部分,然后选择“ 数据访问治理”。
为任一受支持的 报表 选择“查看 报表”。
选择报表并选择要查看的网站。
选择 “启动站点访问评审”。
选择 “自定义并预览电子邮件 ”,为网站所有者自定义电子邮件内容。
按照 电子邮件自定义部分中所述,自定义发送给网站所有者的邮件。
选择“ 发送 ”以启动评审请求。
还可以使用 PowerShell 命令启动站点访问评审。
重要
可从“整个组织的网站权限”报表启动的网站访问评审数限制为每个日历月 1000 个。 当月份更改时,限制会重置。
跟踪网站访问评审
若要跟踪所有启动的网站访问评审,请转到数据访问治理登陆页上的 “我的评审请求 ”选项卡。
启动评审后,其状态将保持“挂起”,直到网站所有者完成评审。 完成后,评审状态和批注将更新为审阅者的姓名以及完成日期和时间。 例如,如果评审 (失败,因为网站所有者) 的电子邮件无效,则会将其标记为失败。
还可以使用此 PowerShell 命令 跟踪评审。
网站所有者的网站访问评审过程
启动评审时,网站所有者会收到一封电子邮件,其中包含:
- 相关标题。
- 如果有任何) , (评论。
- 查看网站权限的请求。
- 指向详细访问评审页面的链接,特定于数据访问治理报告中确定的问题。
下面是网站所有者可能收到的不同电子邮件的示例:
过去 28 天内与“除外部用户以外的所有人”报表共享的内容:
过去 28 天的共享链接报表:
使用权限的过度共享基线报表:
查看“除外部用户以外的所有人”站点访问请求
网站所有者可以在两个主要方面查看和管理访问权限:
SharePoint 组:
- 查看哪些组包含“除外部用户以外的所有人”。
- 查看添加组的时间和添加者。
- 如有必要,请从组中删除“除外部用户以外的所有人”:
打开 SharePoint 组成员身份页。
依次选择“ 除外部用户以外的所有人”、“ 作”和“ 从组中删除用户”。
文件/文件夹/列表) (单个项:
- 查看过去 28 天内与“除外部用户以外的所有人”共享的项目。
- 请参阅共享详细信息 (谁共享以及何时) 。
- 根据需要管理访问权限和删除权限:
选择 “管理访问权限”。
在“组”选项卡的“除外部用户以外的所有人” 组 下,选择该组,然后选择 “删除访问权限”。 有关详细信息 ,请参阅停止共享 OneDrive 或 SharePoint 文件或文件夹或更改权限 。
查看“共享链接”报表
网站所有者打开电子邮件后,会重定向到详细的共享链接报告。 此报告显示:
- 为其生成链接的文件,以及创建链接的日期和用户。
- “ 管理访问 ”按钮允许网站所有者删除或修改权限。
以下屏幕截图显示了详细的共享链接报表:
查看“使用权限过度共享基线”报告
当网站所有者选择电子邮件时,他们将被重定向到网站访问评审页,他们可以在其中使用权限报告查看过度共享基线。 此报表可帮助网站所有者识别具有过多权限的项目并采取必要的作。
SharePoint 管理员在数据访问治理报告中查看有权访问网站的用户数。 网站所有者可以看到此数字,以及权限在不同网站项之间的分配方式。 首先显示具有最多权限用户数的项目,使网站所有者能够处理公开最多的项目。
了解权限报表
权限用户数
此列显示对网站、列表、文件夹或文件) (特定范围具有权限的用户总数。 它反映了该项目与其他项目相比的曝光情况。 但是,请务必注意,此数字并不唯一- 如果同一用户同时具有直接和间接权限,则会多次对其进行计数。
示例:
假设有一个具有以下权限的文件夹“F”:
- 组“A”中的 40 个用户
- 10 个具有直接权限的用户
- 通过共享链接具有权限的 20 个用户
通过共享链接) ,文件夹“F”的权限用户总数将为组“A”中的 80 (40 个直接用户 + 20 个。 不应用重复数据删除,因此,如果同一用户同时位于组“A”中,并且通过共享链接具有访问权限,则会对它们进行计数两次。
此外,跨所有范围的权限用户总数可能超过电子邮件或数据访问治理报表中显示的用户数。 这是因为用户可以对多个项目拥有权限。 虽然可能在网站级别对用户进行一次计数,但会针对他们有权访问的每个项目单独对用户进行计数。
组数
此列显示有多少组对特定项或范围具有权限。 通常,大部分公开来自授予组的权限,尤其是具有多个成员的组。 可以通过调整组成员身份或从权限中删除不必要的组来减少暴露。
选择 “组编号 ”以查看每个组的成员身份计数。 这有助于确定要针对哪些组来减少权限。
链接和 EEEU/Everyone
此部分显示:
- (范围共享的链接数,例如“任何人”或“组织中的人员”) 。
- 该项是公开给所有人还是 EEEU (除外部用户以外的所有人) 。
如果链接数较高或 EEEU/Everyone 列显示“是”,则表明该项目具有广泛公开性,网站所有者应专注于减少该项目的权限。
管理访问权限
“管理访问权限”按钮提供了网站所有者通过以下方式采取措施的方法:
- 删除单个用户
- 修改组成员身份
- 删除链接
- 调整权限
对于 SharePoint 网站,选择此按钮会重定向到 SharePoint 组管理 页。 对于单个项,它将打开 “管理访问” 界面,以便更精细地控制权限。
完成网站访问评审
网站所有者 ((如修改或删除权限) )进行必要的更改后,他们应:
- 选择“ 完成评审”。
- 添加任何相关注释。
- 提交评审。
批注将发送回 IT 管理员,评审将标记为已完成。
管理多个站点访问评审
网站所有者可以同时接收和处理多个网站访问评审请求。 若要跟踪所有评审请求,请:
- 通过以下方式转到 “网站评论 ”页面:
- 审阅电子邮件中的链接。
- 站点主页上的齿轮图标:
选择“ 网站设置”。
选择“ 网站评审”。
查看所有挂起的网站访问评审。
根据需要完成评审。
自定义网站所有者的电子邮件
现在,您可以自定义发送给网站所有者的电子邮件,以提高网站所有者将电子邮件视为来自 SharePoint 管理员的正版请求而不将其视为可疑电子邮件的概率。 以下值是新的/可用于自定义的值:
- 发件人地址:这是从自定义用户名自动提取的,如组织配置文件下的Microsoft 365 管理中心中指定的。
- 电子邮件的标题
- 向网站所有者发送消息,该消息通常描述方案
- 与评审请求相关的任何其他评论
- 指向列出详细信息或进一步说明的任何 SharePoint 页面或文档的链接
选择“ 保存” 以保存此报表类型的自定义项。 这会替代任何以前的更改,并且将自动从该报表类型获取后续网站评审。 换句话说,可以保存每个报表类型的自定义版本,如数据访问治理登陆页所示。 选择“重置”,将所有自定义项还原产品定义的默认值。