Аудит общего доступа с помощью журнала аудита Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Общий доступ является важнейшей возможностью SharePoint Online и OneDrive для бизнеса, которая часто применяется в организациях Office 365. Теперь благодаря аудиту общего доступа в журнале аудита Office 365 администраторы могут определять, как общий доступ используется в организации.

Схемы общего доступа в SharePoint

События общего доступа (кроме событий, связанных с политикой общего доступа и отправкой ссылок) отличаются от событий, относящихся к файлам и папкам, тем, что один из пользователей выполняет действие, которое каким-либо образом влияет на другого пользователя. Например, пользователь А предоставляет пользователю Б доступ к файлу. В этом примере пользователь A является действующим пользователем, а пользователь Б — целевым пользователем. В схеме работы с файлами SharePoint операции действующего пользователя влияют только на него самого. Когда пользователь А открывает файл, для события FileAccessed требуется только информация о действующем пользователе. Для учета таких различий создана отдельная схема (схема общего доступа SharePoint), которая позволяет регистрировать дополнительные сведения о событиях общего доступа. Это позволяет администраторам получать представление о том, кто предоставил доступ к ресурсу и кому предоставлен такой доступ.

Схема общего доступа включает два дополнительных поля в журнале аудита, которые относятся к событиям общего доступа:

  • TargetUserOrGroupName:   хранит имя участника-пользователя или имя целевого пользователя (группы), которому был предоставлен общий доступ к ресурсу (в предыдущем примере это пользователь Б).

  • TargetUserOrGroupType:   указывает, является ли целевой пользователь (группа) участником, гостем, группой или партнером.

Эти два поля, а также другие свойства схемы журнала аудита Office 365 (например, User, Operation и Date), позволяют получить полные данные о том, с кем и когдакто-то поделился каким-то ресурсом.

Есть еще одно свойство схемы, которое важно для понимания данных об общем доступе. В свойстве EventData хранятся дополнительные сведения о событиях общего доступа. Например, когда пользователь предоставляет доступ к сайту другому пользователю, он добавляет целевого пользователя в группу SharePoint. Свойство EventData регистрирует такие дополнительные сведения, чтобы предоставить контекст для администраторов.

К началу

Модель общего доступа SharePoint и события общего доступа

Общий доступ фактически определяется тремя отдельными событиями: SharingSet, SharingInvitationCreated и SharingInvitaitonAccepted. Ниже показан процесс того, как события общего доступа регистрируются в журнале аудита Office 365.

Схема аудита общего доступа

Когда пользователь (действующий) хочет предоставить доступ к ресурсу другому пользователю (целевому), SharePoint (или OneDrive для бизнеса) сначала проверяет, связан ли адрес электронной почты целевого пользователя с учетной записью в каталоге организации. Если целевой пользователь присутствует в каталоге организации, SharePoint делает следующее:

  • Немедленно назначает целевому пользователю разрешения на доступ к ресурсу.

  • Отправляет уведомление о предоставлении общего доступа на адрес электронной почты целевого пользователя.

  • Регистрирует событие SharingSet в журнале.

Если целевого пользователя нет в каталоге организации, SharePoint делает следующее:

  • Создает приглашение на общий доступ и отправляет его на адрес электронной почты целевого пользователя.

  • Регистрирует событие SharingInvitationCreated в журнале.

    Примечание : Событие SharingInvitationCreated практически всегда связано с предоставлением доступа внешним и гостевым пользователям, которые не имеют доступа к ресурсу.

Когда целевой пользователь принимает приглашение (щелкая ссылку в нем), SharePoint регистрирует событие SharingInvitationAccepted и назначает ему разрешения на доступ к ресурсу. Также регистрируются дополнительные сведения о целевом пользователе, например удостоверения пользователя, которому было отправлено приглашение, и пользователя, который фактически принял его. В некоторых случаях эти пользователи (или адреса электронной почты) могут различаться.

К началу

Как найти ресурсы, доступ к которым предоставлен внешним пользователям

Администраторам часто требуется создать список всех ресурсов, доступ к которым был предоставлен пользователям за пределами организации. Такой список можно создать с помощью аудита общего доступа в Office 365. Вот как это делается.

Этап 1. Поиск событий общего доступа и экспорт результатов в CSV-файл

Прежде всего необходимо найти события общего доступа в журнале аудита Office 365. Дополнительные сведения о поиске в журнале аудита (включая необходимые для этого разрешения) см. в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям Office 365.

  1. Перейдите по ссылке https://protection.office.com.

  2. Войдите в Office 365 с помощью своей рабочей или учебной учетной записи.

  3. В левой области Центра безопасности и соответствия требованиям щелкните Поиск и исследование, а затем выберите пункт Поиск в журнале аудита.

    Откроется страница Поиск в журнале аудита.

  4. В разделе Действия щелкните Действия, связанные с предоставлением общего доступа, чтобы найти только события общего доступа.

    В области "Действия" выберите "Действия, связанные с предоставлением общего доступа"
  5. Выберите диапазон дат и времени, чтобы найти события общего доступа, которые произошли за этот период.

  6. Нажмите кнопку Поиск для запуска поиска.

  7. По завершении поиска щелкните Экспортировать результаты > Скачать все результаты.

    После выбора команды экспорта в нижней части окна появляется сообщение с запросом на открытие или сохранение CSV-файла.

  8. Нажмите кнопку Сохранить, выберите Сохранить как и сохраните CSV-файл в папку на локальном компьютере.

К началу

Этап 2. Фильтрация CSV-файла для определения ресурсов, доступ к которым предоставлен внешним пользователям

Дальше вам нужно отфильтровать CSV-файл по событиям SharingSet и SharingInvitationCreated и вывести те события, свойство TargetUserOrGroupType которых имеет значение Guest. Для этого используется Power Query в Excel. Указанные ниже действия выполняются в Excel 2016.

  1. В Excel 2016 откройте пустую книгу.

  2. Откройте вкладку Данные.

  3. Щелкните Создать запрос > Из файла > Из CSV.

    На вкладке "Данные" нажмите кнопку "Создать запрос", выберите "Из файла" и щелкните "Из CSV"
  4. Откройте CSV-файл, который вы скачали на шаге 1.

    Он открывается в редакторе запросов. В нем есть четыре столбца: Time (Время), User (Пользователь), Action (Действие) и Detail (Сведения). Столбец Detail содержит несколько свойств. Вам нужно создать новый столбец для каждого из свойств в столбце Detail.

  5. Выберите столбец Detail, а затем на вкладке Главная выберите Разделить столбец > По разделителю.

    На вкладке "Главная" выберите "Разделить столбец" и щелкните "По разделителю"
  6. В окне Разделить столбец по разделителю сделайте следующее:

    • В разделе Выберите или введите разделитель выберите значение Запятая.

    • В разделе Разделить выберите По каждому вхождению разделителя.

  7. Нажмите кнопку ОК.

    Столбец Detail будет разделен на несколько столбцов. Новые столбцы называются Detail.1, Detail.2, Detail.3 и т. д. Как можно заметить, к значениям в каждой ячейке столбцов Detail.n было добавлено имя свойства, например: Operation:SharingSet, Operation:SharingInvitationAccepted и Operation:SharingInvitationCreated.

    Столбец Detail будет разделен на несколько столбцов (по одному для каждого свойства)
  8. На вкладке Файл щелкните Закрыть и загрузить, чтобы закрыть редактор запросов и открыть файл в книге Excel.

    Далее нужно отфильтровать файл так, чтобы выводились только события SharingSet и SharingInvitationCreated.

  9. Откройте вкладку Главная и выберите столбец Action.

  10. В раскрывающемся списке Сортировка и фильтр отмените выбор всех параметров, а затем выберите SharingSet и SharingInvitationCreated и нажмите кнопку ОК.

    Excel выведет строки для событий SharingSet и SharingInvitationCreated.

  11. Перейдите к столбцу с названием Detail.17 (или другому столбцу, который содержит свойство TargetUserOrGroupType) и выберите его.

  12. В раскрывающемся списке Сортировка и фильтр отмените выбор всех параметров, а затем выберите TargetUserOrGroupType:Guest и нажмите кнопку ОК.

    Теперь в Excel выводятся строки событий SharingInvitationCreated и SharingSet, в которых целевой пользователь находился за пределами организации, так как внешних пользователей можно определить по значению TargetUserOrGroupType:Guest.

В следующей таблице показаны все пользователи организации, которые предоставили доступ к ресурсам гостевым пользователям в указанном диапазоне дат.

События общего доступа в журнале аудита Office 365

Хотя столбец Detail.10 (или другой столбец, который содержит свойство ObjectId) не включен в предыдущую таблицу, он позволяет определить ресурс, к которому был предоставлен доступ, например ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.

Совет : Если вы хотите определить, когда гостевому пользователю были назначены разрешения на доступ к ресурсу (а не только то, к каким ресурсам был предоставлен доступ), повторите шаги 10, 11 и 12 и выполните фильтрацию по событиям SharingInvitationAccepted и SharingSet в шаге 10.

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×