Аудит общего доступа с помощью журнала аудита Office 365

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

Общий доступ является важнейшей возможностью SharePoint Online и OneDrive для бизнеса, которая часто применяется в организациях Office 365. Теперь благодаря аудиту общего доступа в журнале аудита Office 365 администраторы могут определять, как общий доступ используется в организации.

Схемы общего доступа в SharePoint

Совместного использования событий (исключая политика общего доступа и совместного использования ссылку события) отличаются от события, связанные с файлов и папок в один основной способ: один пользователь занимает действие, которое некоторые влияет на другого пользователя. Например пользователь обеспечивает доступ пользователя Б в файл. В этом примере пользователь A является выступающий пользователя и пользователь B — конечного пользователя. В схеме файла SharePoint действие действующего пользователя влияет только на сам файл. Когда пользователь открывает файл, только информации, необходимой для события FileAccessed будет действующего пользователя. Чтобы решить эту разницу, существует отдельный файл схемы, под названием SharePoint совместное использование схем, которое собирает сведения о совместном использовании события. Это гарантирует, что администраторы имеют дополнительные разобраться в пользователя, который поделился ресурса и пользователь ресурс был предоставлен доступ.

Схема общего доступа включает два дополнительных поля в журнале аудита, которые относятся к событиям общего доступа:

  • TargetUserOrGroupName:   хранит имя участника-пользователя или имя целевого пользователя (группы), которому был предоставлен общий доступ к ресурсу (в предыдущем примере это пользователь Б).

  • TargetUserOrGroupType:   указывает, является ли целевой пользователь (группа) участником, гостем, группой или партнером.

Эти два поля, а также другие свойства схемы журнала аудита Office 365 (например, User, Operation и Date), позволяют получить полные данные о том, с кем и когдакто-то поделился каким-то ресурсом.

Есть еще одно свойство схемы, которое важно для понимания данных об общем доступе. В свойстве EventData хранятся дополнительные сведения о событиях общего доступа. Например, когда пользователь предоставляет доступ к сайту другому пользователю, он добавляет целевого пользователя в группу SharePoint. Свойство EventData регистрирует такие дополнительные сведения, чтобы предоставить контекст для администраторов.

К началу

Модель общего доступа SharePoint и события общего доступа

Общий доступ фактически определяется тремя отдельными событиями: SharingSet, SharingInvitationCreated и SharingInvitaitonAccepted. Ниже показан процесс того, как события общего доступа регистрируются в журнале аудита Office 365.

Схема аудита общего доступа

Когда пользователь (действующий) хочет предоставить доступ к ресурсу другому пользователю (целевому), SharePoint (или OneDrive для бизнеса) сначала проверяет, связан ли адрес электронной почты целевого пользователя с учетной записью в каталоге организации. Если целевой пользователь присутствует в каталоге организации, SharePoint делает следующее:

  • Немедленно назначает целевому пользователю разрешения на доступ к ресурсу.

  • Отправляет уведомление о предоставлении общего доступа на адрес электронной почты целевого пользователя.

  • Регистрирует событие SharingSet в журнале.

Если целевого пользователя нет в каталоге организации, SharePoint делает следующее:

  • Создает приглашение на общий доступ и отправляет его на адрес электронной почты целевого пользователя.

  • Регистрирует событие SharingInvitationCreated в журнале.

    Примечание: Событие SharingInvitationCreated практически всегда связано с предоставлением доступа внешним и гостевым пользователям, которые не имеют доступа к ресурсу.

Когда целевой пользователь принимает приглашение (щелкая ссылку в нем), SharePoint регистрирует событие SharingInvitationAccepted и назначает ему разрешения на доступ к ресурсу. Также регистрируются дополнительные сведения о целевом пользователе, например удостоверения пользователя, которому было отправлено приглашение, и пользователя, который фактически принял его. В некоторых случаях эти пользователи (или адреса электронной почты) могут различаться.

К началу

Как найти ресурсы, доступ к которым предоставлен внешним пользователям

Администраторам часто требуется создать список всех ресурсов, доступ к которым был предоставлен пользователям за пределами организации. Такой список можно создать с помощью аудита общего доступа в Office 365. Вот как это делается.

Этап 1. Поиск событий общего доступа и экспорт результатов в CSV-файл

Прежде всего необходимо найти события общего доступа в журнале аудита Office 365. Дополнительные сведения о поиске в журнале аудита (включая необходимые для этого разрешения) см. в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям Office 365.

  1. Перейдите по ссылке https://protection.office.com.

  2. Войдите в Office 365 с помощью своей рабочей или учебной учетной записи.

  3. В левой области Центра безопасности и соответствия требованиям щелкните Поиск и исследование, а затем выберите пункт Поиск в журнале аудита.

    Откроется страница Поиск в журнале аудита.

  4. В разделе Действия щелкните Действия, связанные с предоставлением общего доступа, чтобы найти только события общего доступа.

    В области "Действия" выберите "Действия, связанные с предоставлением общего доступа"
  5. Выберите диапазон дат и времени, чтобы найти события общего доступа, которые произошли за этот период.

  6. Нажмите кнопку Поиск для запуска поиска.

  7. По завершении поиска щелкните Экспортировать результаты > Скачать все результаты.

    После выбора команды экспорта в нижней части окна появляется сообщение с запросом на открытие или сохранение CSV-файла.

  8. Нажмите кнопку Сохранить, выберите Сохранить как и сохраните CSV-файл в папку на локальном компьютере.

К началу

Этап 2. Фильтрация CSV-файла для определения ресурсов, доступ к которым предоставлен внешним пользователям

Дальше вам нужно отфильтровать CSV-файл по событиям SharingSet и SharingInvitationCreated и вывести те события, свойство TargetUserOrGroupType которых имеет значение Guest. Для этого используется Power Query в Excel. Указанные ниже действия выполняются в Excel 2016.

  1. В Excel 2016 откройте пустую книгу.

  2. Откройте вкладку Данные.

  3. Щелкните Создать запрос > Из файла > Из CSV.

    На вкладке "Данные" нажмите кнопку "Создать запрос", выберите "Из файла" и щелкните "Из CSV"
  4. Откройте CSV-файл, который вы скачали на шаге 1.

    Он открывается в редакторе запросов. В нем есть четыре столбца: Time (Время), User (Пользователь), Action (Действие) и Detail (Сведения). Столбец Detail содержит несколько свойств. Вам нужно создать новый столбец для каждого из свойств в столбце Detail.

  5. Выберите столбец Detail, а затем на вкладке Главная выберите Разделить столбец > По разделителю.

    На вкладке "Главная" выберите "Разделить столбец" и щелкните "По разделителю"
  6. В окне Разделить столбец по разделителю сделайте следующее:

    • В разделе Выберите или введите разделитель выберите значение Запятая.

    • В разделе Разделить выберите По каждому вхождению разделителя.

  7. Нажмите кнопку ОК.

    Столбец Detail будет разделен на несколько столбцов. Новые столбцы называются Detail.1, Detail.2, Detail.3 и т. д. Как можно заметить, к значениям в каждой ячейке столбцов Detail.n было добавлено имя свойства, например: Operation:SharingSet, Operation:SharingInvitationAccepted и Operation:SharingInvitationCreated.

    Столбец Detail будет разделен на несколько столбцов (по одному для каждого свойства)
  8. На вкладке Файл щелкните Закрыть и загрузить, чтобы закрыть редактор запросов и открыть файл в книге Excel.

    Далее нужно отфильтровать файл так, чтобы выводились только события SharingSet и SharingInvitationCreated.

  9. Откройте вкладку Главная и выберите столбец Action.

  10. В раскрывающемся списке Сортировка и фильтр отмените выбор всех параметров, а затем выберите SharingSet и SharingInvitationCreated и нажмите кнопку ОК.

    Excel выведет строки для событий SharingSet и SharingInvitationCreated.

  11. Перейдите к столбцу с названием Detail.17 (или другому столбцу, который содержит свойство TargetUserOrGroupType) и выберите его.

  12. В раскрывающемся списке Сортировка и фильтр отмените выбор всех параметров, а затем выберите TargetUserOrGroupType:Guest и нажмите кнопку ОК.

    Теперь в Excel выводятся строки событий SharingInvitationCreated и SharingSet, в которых целевой пользователь находился за пределами организации, так как внешних пользователей можно определить по значению TargetUserOrGroupType:Guest.

В следующей таблице показаны все пользователи организации, которые предоставили доступ к ресурсам гостевым пользователям в указанном диапазоне дат.

События общего доступа в журнале аудита Office 365

Хотя столбец Detail.10 (или другой столбец, который содержит свойство ObjectId) не включен в предыдущую таблицу, он позволяет определить ресурс, к которому был предоставлен доступ, например ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx.

Совет: Если вы хотите определить, когда гостевому пользователю были назначены разрешения на доступ к ресурсу (а не только то, к каким ресурсам был предоставлен доступ), повторите шаги 10, 11 и 12 и выполните фильтрацию по событиям SharingInvitationAccepted и SharingSet в шаге 10.

К началу

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×