使用稽核記錄中的共用稽核

共用是 SharePoint Online 和商務商務用 OneDrive 中的重要活動，組織廣泛使用它。 系統管理員可以在稽核記錄中使用共用稽核，以判斷共用在組織中的使用方式。

SharePoint 共用架構

共用事件 (不包括與共用原則相關的事件，以及共用連結) 與檔案和資料夾相關事件的主要區別在於：一個使用者執行的動作會影響另一個使用者。 例如，當資源使用者 A 將檔案的存取權授與使用者 B 時。 在此範例中，使用者 A 是 代理使用者 ，使用者 B 是 目標使用者。 在 SharePoint 檔案結構描述中，執行使用者的動作只會影響檔案本身。 當使用者 A 開啟檔案時， FileAccessed 事件中唯一需要的資訊是執行使用者。 為了解決此差異，有一個單獨的結構描述，稱為 SharePoint 共用結構描述 ，可擷取共用事件的詳細資訊。 此結構描述可確保管理員能夠查看共用資源的人員以及資源共用的使用者。

共用結構描述在稽核記錄中提供兩個與共用事件相關的額外欄位：

• TargetUserOrGroupType： 識別目標使用者或群組是成員、來賓、SharePoint群組、安全性群組或合作夥伴。
• TargetUserOrGroupName： 儲存在上一個範例) 中與使用者 B 共用資源的目標使用者或群組 (UPN 或名稱。

這兩個欄位，以及稽核記錄結構描述中的其他屬性 （例如使用者、作業和日期） 會講述哪個使用者與誰共用哪些資源以及何時共用的完整案例。

另一個結構描述屬性對於共用劇本很重要。 當您匯出稽核記錄搜尋結果時，匯出的 CSV 檔案中的 AuditData 欄會儲存共用事件的相關資訊。 例如，當使用者與其他使用者共用網站時，此動作會將目標使用者新增至 SharePoint 群組。 AuditData 資料行會擷取此資訊，為系統管理員提供內容。 如需如何剖析 AuditData 資料行中資訊的指示，請參閱步驟 2。

SharePoint 共用事件

當使用者 (執行使用者) 與 另一個 使用者 (目標使用者) 共用資源時，就會發生共用。 與外部使用者共用資源相關的稽核記錄 (與組織外部的使用者共用資源，且在組織的 Microsoft Entra ID) 中沒有來賓帳戶，稽核記錄會記錄下列事件來識別：

• SharingInvitationCreated： 組織中的使用者嘗試與外部使用者共用資源 (可能是網站) 。 此事件會導致將外部共用邀請傳送給目標使用者。 此時，邀請不會授與資源的存取權。
• SharingInvitationAccepted： 外部使用者接受由代理使用者傳送的共用邀請，現在可以存取資源。
• AnonymousLinkCreated： 匿名連結 (也稱為「任何人」連結) 為資源建立。 因為可以建立匿名連結，然後複製，所以可以合理地假設任何具有匿名連結的文件都會與目標使用者共用。
• AnonymousLink使用： 當使用匿名連結存取資源時，會記錄此事件。
• SecureLink創建： 使用者會建立「特定人員連結」，以與特定人員共用資源。 此目標使用者可能是您組織外部的人員。 共用資源的人員會在 AddedToSecureLink 事件的稽核記錄中識別。 這兩個事件的時間戳記幾乎相同。
• 新增到安全連結： 使用者會新增至特定人員連結。 在此事件中使用 TargetUserOrGroupName 欄位來識別新增至對應特定人員連結的使用者。 此目標使用者可能是您組織外部的人員。

共用稽核工作流程

當使用者 (代理使用者) 想要與目標使用者) (其他使用者共用資源時，SharePoint (或 商務用 OneDrive) 會先檢查目標使用者的電子郵件地址是否已與組織目錄中的使用者帳戶相關聯。 如果目標使用者位於目錄 (中，且) 有對應的來賓使用者帳戶，SharePoint 會採取下列動作：

• 立即指派目標使用者存取資源的權限，方法是將目標使用者新增至適當的 SharePoint 群組，並記錄 AddedToGroup 事件。
• 將共用通知傳送至目標使用者的電子郵件地址。
• 記錄 SharingSet 事件。 此事件的易記名稱為「共用檔案、資料夾或網站」，位於稽核記錄搜尋工具的活動選擇器中的 共用和存取要求活動 底下。 請參閱 步驟 1 中的螢幕擷取畫面。

如果目標使用者的使用者帳戶不在目錄中，SharePoint 會採取下列動作：

• 根據資源的共用方式，記錄下列其中一個事件：

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (只有在共用資源是網站) 時才會記錄此事件

• 當目標使用者按一下邀請) 中的連結來接受共用邀請 (時，SharePoint 會記錄 SharingInvitationAccepted 事件，並指派目標使用者存取資源的權限。 如果向目標使用者傳送匿名連結，則在目標使用者使用連結存取資源之後，會記錄 AnonymousLinkUsed 事件。 對於安全連結，當外部使用者使用連結存取資源時，會記錄 FileAccessed 事件。

也會記錄目標使用者的其他資訊，例如邀請所在使用者的身分識別，以及接受邀請的使用者。 在某些情況下，這些使用者 (或電子郵件地址) 可能不同。

如何識別與外部使用者共用的資源

管理員的常見需求是建立管理員與組織外部使用者共用的所有資源清單。 藉由在 Office 365 中使用共用稽核，系統管理員可以產生此清單。 方法如下。

步驟 1：搜尋共用事件並將結果匯出至 CSV 檔案

搜尋稽核記錄以取得共用事件。 如需 (包含搜尋稽核記錄的必要權限) 詳細資訊，請參閱 搜尋稽核記錄。

完成下列步驟以搜尋共用事件：

1. 登入 Microsoft Purview 入口網站。

2. 選取 稽核 解決方案卡片。 如果未顯示稽核解決方案卡片，請選取檢視所有解決方案，然後從核心區段中選取稽核。

3. 在 [ 搜尋 ] 頁面和 [活動 - 易記名稱] 底下，選取 [共用和存取要求活動] 以搜尋共用相關事件。

4. 選取日期和時間範圍，以尋找該期間內發生的共用事件。

5. 選取 [搜尋] 以執行搜尋。

6. 當搜尋完成並顯示結果時，選取 匯出結果> 下載所有結果。

   選取匯出選項後，視窗底部會顯示一則訊息，提示您開啟或儲存 CSV 檔案。

7. 選取 儲存 另>存新檔 並將 CSV 檔案儲存至本機電腦上的資料夾。

步驟 2：使用 PowerQuery 編輯器格式化匯出的稽核記錄

使用 Excel 中 Power Query 編輯器 中的 JSON 轉換功能，將 AuditData 資料行 (中的每個屬性分割成自己的資料行，其中包含) 多屬性 JSON 物件。 此功能可讓您篩選欄以檢視與共用相關的記錄。

如需逐步指示，請參閱匯出、設定及檢視稽核記錄檔的記錄中的「步驟 2：使用 Power Query 編輯器設定匯出之稽核記錄的格式」(部分機器翻譯)。

步驟 3：篩選與外部使用者共用資源的 CSV 檔案

在此步驟中，您會篩選 CSV 檔案，以取得 SharePoint 共用事件 一節所述的不同共用相關事件。 或者，您可以篩選 TargetUserOrGroupType 資料行，以顯示此屬性值為 Guest 的所有記錄。

遵循上一個步驟中的指示，使用 PowerQuery 編輯器準備 CSV 檔案之後，請完成下列步驟：

1. 開啟您在步驟 2 中建立的 Excel 檔案。

2. 在 [首頁] 索引標籤上，選取 [排序 & 篩選器]，然後選取 [篩選]。

3. 在 [作業] 資料行的 [排序 & 篩選器] 下拉式清單中，清除所有選取項目，然後選取下列一或多個共用相關事件，然後選取 [確定]。

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   Excel 會顯示您選取之事件的資料列。

4. 移至名為 TargetUserOrGroupType 的資料行，然後選取它。

5. 在 [排序 & 篩選] 下拉式清單中，清除所有選取項目，然後選取 [TargetUserOrGroupType：Guest]，然後選取 [確定]。

   現在，Excel 會顯示共用事件的資料列 ，以及 目標使用者在組織外部的位置，因為外部使用者是由值 TargetUserOrGroupType：Guest 所識別。