Verwenden der Freigabeüberwachung im Office 365-Überwachungsprotokoll

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Die Freigabe ist eine wichtige Aktivität in SharePoint Online und OneDrive for Business, und Office 365-Organisationen machen umfassend Gebrauch davon. Administratoren können jetzt mithilfe der Freigabeüberwachung im Office 365-Überwachungsprotokoll feststellen, wie die Freigabe in ihrer Organisation verwendet wird.

Das SharePoint-Freigabeschema

Freigabe Ereignisse (außer Richtlinie freigeben und Freigabe link Ereignisse) unterscheiden sich von Datei und Ordner meldet Ereignisse in einem primären Aspekt: einen Benutzer sehr eine Aktion, die in einem anderen Benutzer einige auswirkt. Beispielsweise kann die Benutzer A auf eine Datei Benutzer B zugreifen. In diesem Beispiel Benutzer A ist der Benutzer fungiert , und Benutzer B ist die Zielbenutzer. In der Datei SharePoint Schema wirkt sich die handelnden Aktion des Benutzers nur auf die Datei selbst. Wenn Benutzer A öffnet eine Datei, die nur Informationen in das Ereignis FileAccessed erforderlich ist der handelnden Benutzer. Dieser Unterschied Adresse, ist es ein separates Schema, aufgerufen SharePoint Freigabe Schema, die Weitere Informationen zum Freigeben von Ereignisse erfasst werden. Dies stellt sicher, dass Administratoren haben, die eine Ressource freigegeben Weitere Einblick und der Benutzer die Ressource freigegeben wurde.

Durch das Freigabeschema werden im Überwachungsprotokoll zwei zusätzliche Felder im Zusammenhang mit Freigabeereignissen bereitgestellt:

  • TargetUserOrGroupName: Hierin wird der UPN oder der Name des Zielbenutzers oder der Zielgruppe gespeichert, für den bzw. die eine Ressource freigegeben wurde (im obigen Beispiel Benutzer B).

  • TargetUserOrGroupType: Hierin wird angegeben, ob es sich bei dem Zielbenutzer oder der Zielgruppe um ein Mitglied, einen Gast, eine Gruppe oder einen Partner handelt.

Diese beiden Felder geben zusammen mit anderen Eigenschaften aus dem Office 365-Überwachungsprotokollschema, z. B. „User“, „Operation“ und „Date“, umfassend Auskunft darüber, welcher Benutzer welche Ressource wann für wen freigegeben hat.

Es gibt noch eine weitere Schemaeigenschaft, die wichtige Informationen zur Freigabe liefert. Die EventData-Eigenschaft speichert zusätzliche Informationen zu Freigabeereignissen. Wenn z. B. ein Benutzer eine Website für einen anderen Benutzer freigibt, wird dies durch Hinzufügen des Zielbenutzers zu einer SharePoint-Gruppe realisiert. In der EventData-Eigenschaft werden diese zusätzlichen Informationen erfasst, um Administratoren einen Kontext zu bieten.

Seitenanfang

Das SharePoint-Freigabemodell und Freigabeereignisse

Die Freigabe wird eigentlich durch drei separate Ereignisse definiert: SharingSet, SharingInvitationCreated und SharingInvitaitonAccepted. Der folgende Workflow zeigt, wie Freigabeereignisse im Office 365-Überwachungsprotokoll protokolliert werden.

Flussdiagramm der Funktionsweise der Freigabeüberwachung

Wenn ein Benutzer (der handelnde Benutzer) für einen anderen Benutzer (den Zielbenutzer) eine Ressource freigeben möchte, überprüft SharePoint (oder OneDrive for Business) zunächst, ob die E-Mail-Adresse des Zielbenutzers bereits mit einem Benutzerkonto im Verzeichnis der Organisation verknüpft ist. Wenn der Zielbenutzer im Verzeichnis der Organisation vorhanden ist, werden in SharePoint folgende Schritte ausgeführt:

  • Dem Zielbenutzer werden sofort Zugriffsberechtigungen für die Ressource gewährt.

  • An die E-Mail-Adresse des Zielbenutzers wird eine Freigabebenachrichtigung gesendet.

  • Ein SharingSet-Ereignis wird protokolliert.

Wenn im Verzeichnis der Organisation kein Benutzerkonto für den Zielbenutzer vorhanden ist, werden in SharePoint folgende Schritte ausgeführt:

  • Eine Freigabeeinladung wird erstellt und an die E-Mail-Adresse des Zielbenutzers gesendet.

  • Ein SharingInvitationCreated-Ereignis wird protokolliert.

    Hinweis: Das SharingInvitationCreated-Ereignis ist fast immer einer externen oder Gastfreigabe zugeordnet, wenn der Zielbenutzer keinen Zugriff auf die freigegebene Ressource hat.

Wenn der Zielbenutzer die an ihn gesendete Freigabeeinladung annimmt (durch Klicken auf den Link in der Einladung), protokolliert SharePoint ein SharingInvitationAccepted-Ereignis und weist dem Zielbenutzer Zugriffsberechtigungen für die Ressource zu. Zusätzlich werden weitere Informationen zum Zielbenutzer protokolliert, z. B. die Identität des Benutzers, an den die Einladung gesendet wurde, und die des Benutzers, der die Einladung tatsächlich angenommen hat. Es kann vorkommen, dass dies unterschiedliche Benutzer (oder E-Mail-Adressen) sind.

Seitenanfang

Ermitteln von Ressourcen, die für externe Benutzer freigegeben wurden

Administratoren müssen oftmals eine Liste aller Ressourcen erstellen, die für Benutzer außerhalb der Organisation freigegeben wurden. Diese Liste können sie nun mithilfe der Freigabeüberwachung in Office 365 generieren. Das geht so:

Schritt 1: Suchen nach Freigabeereignissen und Exportieren der Ergebnisse in eine CSV-Datei

Der erste Schritt besteht darin, im Office 365-Überwachungsprotokoll nach Freigabeereignissen zu suchen. Weitere Informationen zum Durchsuchen des Überwachungsprotokolls (einschließlich der erforderlichen Berechtigungen) finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

  1. Wechseln Sie zu https://protection.office.com.

  2. Melden Sie sich bei Office 365 mit Ihrem Geschäfts- oder Schul- oder Unikonto an.

  3. Klicken Sie im linken Bereich des Security & Compliance Center auf Suche und Untersuchung, und klicken Sie dann auf Überwachungsprotokollsuche.

    Die Seite Überwachungsprotokollsuche wird angezeigt.

  4. Klicken Sie unter Aktivitäten auf Freigabeaktivitäten, um nur nach Freigabeereignissen zu suchen.

    Wählen Sie unter "Aktivitäten" den Eintrag "Freigabeaktivitäten" aus.
  5. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Freigabeereignisse zu finden, die innerhalb dieses Zeitraums aufgetreten sind.

  6. Klicken Sie auf Suchen, um die Suche durchzuführen.

  7. Klicken Sie nach Abschluss der Suche, wenn die Ergebnisse angezeigt werden, auf Ergebnisse exportieren > Alle Ergebnisse herunterladen.

    Nachdem Sie eine Exportoption ausgewählt haben, wird eine Meldung am unteren Rand des Fensters angezeigt, in der Sie aufgefordert werden, die CSV-Datei zu öffnen oder zu speichern.

  8. Klicken Sie auf Speichern > Speichern unter, und speichern Sie die CSV-Datei in einem Ordner auf dem lokalen Computer.

Seitenanfang

Schritt 2: Filtern der CSV-Datei nach für externe Benutzer freigegebenen Ressourcen

Im nächsten Schritt filtern Sie die CSV-Datei nach dem SharingSet-Ereignis und dem SharingInvitationCreated-Ereignis und zeigen die Ereignisse an, bei denen die TargetUserOrGroupType-Eigenschaft Guest lautet. Dazu verwenden Sie das Feature Power Query in Excel. Das folgende Verfahren bezieht sich auf Excel 2016.

  1. Öffnen Sie in Excel 2016 eine leere Arbeitsmappe.

  2. Klicken Sie auf die Registerkarte Daten.

  3. Klicken Sie auf Neue Abfrage > Aus Datei > Aus CSV.

    Wählen Sie auf der Registerkarte "Daten" die Option "Neue Abfrage" aus, und wählen Sie dann "Aus Datei" und "Aus CSV" aus.
  4. Öffnen Sie die CSV-Datei, die Sie in Schritt 1 heruntergeladen haben.

    Die CSV-Datei wird im Abfrage-Editor geöffnet. Es gibt vier Spalten: Time, User, Action und Detail. Die Spalte Detail ist ein Feld mit mehreren Eigenschaften. Der nächste Schritt besteht darin, für jede Eigenschaft in der Spalte Detail eine neue Spalte zu erstellen.

  5. Wählen Sie die Spalte Detail aus, und klicken Sie dann auf der Registerkarte Start auf Spalte teilen > Nach Trennzeichen.

    Klicken Sie auf der Registerkarte "Start" auf "Spalte teilen", und klicken Sie dann auf "Nach Trennzeichen".
  6. Gehen Sie im Fenster Spalte nach Trennzeichen teilen folgendermaßen vor:

    • Wählen Sie unter Trennzeichen eingeben oder auswählen die Option Komma aus.

    • Wählen Sie unter Teilen die Option Bei jedem Vorkommen des Trennzeichens aus.

  7. Klicken Sie auf OK.

    Die Spalte Detail wird in mehreren Spalten unterteilt. Die einzelnen neuen Spalten heißen Detail.1, Detail.2, Detail.3 usw. Sie werden feststellen, dass die Werte in den einzelnen Zellen der Spalten Detail.n auf die Namen der Eigenschaften festgelegt sind, z. B. Operation:SharingSet, Operation:SharingInvitationAccepted und Operation:SharingInvitationCreated.

    Die Spalte "Details" wird in mehreren Spalten unterteilt, von denen sich jede auf eine Eigenschaft bezieht.
  8. Klicken Sie auf der Registerkarte Datei auf Schließen & laden, um den Abfrage-Editor zu schließen und die Datei in einer Excel-Arbeitsmappe zu öffnen.

    Im nächsten Schritt filtern Sie die Datei, sodass nur die das SharingSet-Ereignis und das SharingInvitationCreated-Ereignis angezeigt werden.

  9. Wechseln Sie zur Registerkarte Start, und wählen Sie die Spalte Action aus.

  10. Heben Sie in der Dropdownliste Sortieren und Filtern die gesamte Auswahl auf, wählen Sie dann SharingSet und SharingInvitationCreated aus, und klicken Sie auf OK.

    In Excel werden die Zeilen für das SharingSet-Ereignis und das SharingInvitationCreated-Ereignis angezeigt.

  11. Wechseln Sie zu der Spalte Detail.17 (bzw. der Spalte die die TargetUserOrGroupType-Eigenschaft enthält), und markieren Sie diese.

  12. Heben Sie in der Dropdownliste Sortieren und Filtern die gesamte Auswahl auf, wählen Sie dann TargetUserOrGroupType:Guest aus, und klicken Sie auf OK.

    Nun werden in Excel die Zeilen für das SharingInvitationCreated-Ereignis und das SharingSet-Ereignis UND diejenigen angezeigt, in denen sich der Zielbenutzer außerhalb der Organisation befindet, denn externe Benutzer werden mit dem Wert TargetUserOrGroupType:Guest bezeichnet.

Die folgende Tabelle zeigt alle Benutzer in der Organisation, die in einem bestimmten Datumsbereich Ressourcen für einen Gastbenutzer freigegeben haben.

Freigabeereignisse im Office 365-Überwachungsprotokoll

Sie ist zwar in der obigen Tabelle nicht zu sehen, doch die Spalte Detail.10 (bzw. die Spalte, die die ObjectId-Eigenschaft enthält) gibt die Ressource an, die für den Zielbenutzer freigegeben wurde, z. B. ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.

Tipp: Wenn Sie feststellen möchten, wann einem Gastbenutzer tatsächlich Zugriffsberechtigungen für eine Ressource gewährt wurden (also nicht nur, welche Ressourcen freigegeben wurden), wiederholen Sie die Schritte 10, 11 und 12, und filtern Sie in Schritt 10 nach dem SharingInvitationAccepted-Ereignis und dem SharingSet-Ereignis.

Seitenanfang

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×