Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Während die Datenzugriffsgovernance im SharePoint Admin Center verfügbar ist, ziehen es einige Organisationen vor, PowerShell zu verwenden, um Einstellungen im großen Stil durch Skripterstellung und Automatisierung zu verwalten. In diesem Artikel wird beschrieben, wie Sie das SharePoint Online PowerShell-Modul zum Verwalten von Datenzugriffsgovernanceberichten verwenden.
Bevor Sie beginnen
Stellen Sie sicher, dass Ihr organization die Voraussetzungen für die erweiterte Verwaltung von SharePoint erfüllt, einschließlich der SharePoint Online PowerShell-Modulanforderungen.
PowerShell-Unterstützung für die Datenzugriffsgovernance ist ab Modul Microsoft.Online.SharePoint.PowerShell und Version 16.0.25409 verfügbar.
Wenn Sie eine Verbindung mit SharePoint herstellen, führen Sie den Connect-SPOService Befehl ohne den Parameter Credential aus. Gemäß den bewährten Sicherheitsmethoden wird die Anmeldung mit dem Anmeldeinformationsparameter nicht unterstützt.
Erstellen von Berichten mithilfe von PowerShell
Syntax, Parameter und Beispiele finden Sie unter Start-SPODataAccessGovernanceInsight.
Generieren eines Websiteberechtigungsstatusberichts
Sie müssen die Berechtigungen verstehen, die in Ihrem organization eingerichtet wurden, insbesondere im Zuge der Einführung von Copilot, da benutzer- und inhaltsbezogene Berechtigungen berücksichtigt werden. Das Risiko der Datenexposition von Copilot steigt mit der Anzahl der Benutzer, die über Berechtigungen oder Zugriff verfügen. Der Websiteberechtigungsstatusbericht bietet umfassende Einblicke in die potenzielle Gefährdung, basierend auf der eindeutigen Anzahl von Benutzern, die berechtigungen für jede SharePoint- und OneDrive-Website in Ihrem organization haben.
Führen Sie zuerst diesen Bericht aus, um einen schnellen Überblick über Berechtigungen in Ihrem organization zu erhalten. Dieser Bericht ist ein Momentaufnahme Bericht. Es stellt die neueste Momentaufnahme oder status des gesamten organization zum Erstellungsdatum des Berichts bereit.
Führen Sie den folgenden Befehl aus, um einen Bericht für alle Ihre SharePoint-Websites zu generieren:
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 0 -Name "OrgWidePermissionedUsersReportSharePoint"
Führen Sie den folgenden Befehl aus, um einen Bericht für alle OneDrive for Business-Konten zu generieren:
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload OneDriveForBusiness -CountOfUsersMoreThan 0 -Name "OrgWidePermissionedUsersReportODB"
Beachten Sie diese wichtigen Punkte für den Bericht:
- Da diese Berichte umfassend sind und wahrscheinlich alle Daten in Ihrem Mandanten abdecken, können Sie bis zu zwei Berichte erstellen. Sie können einen Bericht pro Workload erstellen.
- Der erste Bericht dauert immer bis zu fünf Tage, unabhängig von der Größe Ihrer organization. Nachfolgende Berichte werden innerhalb von 24 Stunden abgeschlossen.
- Diese Berichte erfassen Daten bis zu 48 Stunden vor der Berichtsgenerierung.
- Nach der Generierung können Sie diese Berichte alle 30 Tage erneut ausführen.
Diese Befehle generieren eine Liste aller Websites, auf denen mindestens ein Benutzer auf inhalte innerhalb der Website zugreifen kann. Weitere Informationen zum Interpretieren des Berichts finden Sie unter Anzeigen der Websiteberechtigungen für Ihren organization Bericht.
Sobald Sie das Ausmaß der Überteilung in Ihrem Mandanten verstanden haben, können Sie weitere Abweichungen speziell von aktiven Websites in den letzten 28 Tagen nachverfolgen. Sie können Berichte auf Websites generieren, die in den letzten 28 Tagen in Schlüsselfaktoren einer potenziellen Überschreitung aktiv sind, z. B. "Links freigeben" oder Inhalte, die mit "Jeder außer externen Benutzern" geteilt wurden.
Generieren eines Berichts zum Status von Benutzerberechtigungen
Während der Websiteberechtigungsbericht für die gesamte organization Ihnen hilft, den aktuellen Status der Berechtigungen im gesamten Mandanten zu verstehen, erfordern einige Szenarien die Ermittlung von Websites, auf die ein bestimmter Benutzer zugreifen kann. Weitere Informationen finden Sie unter Abrufen der Websiteberechtigungsbaseline Ihrer organization mit dem Momentaufnahme Bericht. Im folgenden Abschnitt wird beschrieben, wie Sie mithilfe von Datenzugriffsgovernance einen solchen Bericht mithilfe von PowerShell erstellen können.
Rufen Sie zunächst den UPN oder den Benutzerprinzipalnamen des Benutzers ab, für den Sie den Bericht generieren möchten, indem Sie den Befehl Get-MgUser verwenden. Führen Sie dann den folgenden PowerShell-Befehl aus, der den Bericht mit der Auflistung von SharePoint-Websites auslöst, auf die diese Benutzer zugreifen können.
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionsReport -ReportType Snapshot -Workload SharePoint -Name "UserSharePointReport" -UserEmailList "a@contoso.com","b@contoso.com"
Wichtig
Während der Parameter den Namen trägt UserEmailList, sind für den Bericht Benutzerprinzipalnamen erforderlich. Sie können bis zu 100 Benutzer in eine einzelne Anforderung einschließen.
Um OneDrive-Konten aufzulisten, auf die die angegebenen Benutzer zugreifen können, geben Sie die Workload als an OneDriveForBusiness.
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionsReport -ReportType Snapshot -Workload OneDriveForBusiness -Name "UserOneDriveReport" -UserEmailList "a@contoso.com","b@contoso.com"
Generieren einer Vertraulichkeitsbezeichnung in Einem Dateibericht mit PowerShell
Führen Sie diesen PowerShell-Befehl aus, um den Bericht zum Auflisten von Websites auszulösen, auf denen bestimmte Elemente ab dem Berichterstellungsdatum mit einer bestimmten Bezeichnung bezeichnet wurden.
Rufen Sie zunächst den Bezeichnungsnamen oder die Bezeichnungs-GUID mithilfe des PowerShell-Moduls Security & Compliance ab.
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
Verwenden Sie dann den Namen und die GUID, um Websites mit Dateien abzurufen, die mit dem angegebenen Bezeichnungsnamen oder der GUID beschriftet sind.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
Hinweis
Derzeit wird der Bericht für OneDriveForBusiness Konten mit bezeichneten Dateien nicht unterstützt.
Generieren von Aktivitätsberichten für Freigabelinks
Verwenden Sie Freigabelink-Aktivitätsberichte, um Websites zu identifizieren, die in der Zusammenarbeit aktiv sind und schneller eingreifen müssen, um potenzielle Risiken bei der Überschreitung zu minimieren. Diese aktuellen aktivitätsbasierten Berichte identifizieren Websites, die die meisten Freigabelinks in den letzten 28 Tagen generiert haben.
Generieren Sie die folgenden Freigabelink-Aktivitätsberichte:
- Websites, die in den letzten 28 Tagen Links zum Freigeben von Jeder erstellt haben
- Websites, die in den letzten 28 Tagen People in Ihren organization-Freigabelinks erstellt haben
- Websites, die in den letzten 28 Tagen Links zur Freigabe bestimmter Personen (Gäste) erstellt haben
Melden von Links, die in den letzten 28 Tagen erstellt wurden
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
Geben Sie den Workloadwert als OneDriveForBusiness an, um alle OneDrive-Konten mit den gleichen Kriterien abzurufen.
Bericht über PeopleInYourOrg-Freigabelinks, die in den letzten 28 Tagen erstellt wurden
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
Geben Sie den Workloadwert als OneDriveForBusiness an, um alle OneDrive-Konten mit den gleichen Kriterien abzurufen.
Bericht über bestimmte Personen (Gäste) Freigabelinks, die in den letzten 28 Tagen erstellt wurden
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
Geben Sie den Workloadwert als OneDriveForBusiness an, um alle OneDrive-Konten mit den gleichen Kriterien abzurufen.
Identifizieren von Inhalten, die in den letzten 28 Tagen mit "Jeder außer externen Benutzern" freigegeben wurden
Die Freigabe von Links kann zwar zu einer möglichen übermäßigen Freigabe beitragen, ein weiterer wichtiger Mitwirkender ist "Jeder außer externen Benutzern" (EEEU). Das EEEU macht Inhalte öffentlich (für die gesamte organization sichtbar) und erleichtert es anderen, Inhalte zu entdecken und Zugriff zu erhalten. Diese Berichte identifizieren Websites, die EEEU in den letzten 28 Tagen aktiv in verschiedenen Bereichen verwendet haben.
Sie können die folgenden EEEU-Aktivitätsberichte generieren:
- Websites, die in den letzten 28 Tagen für alle mit Ausnahme externer Benutzer freigegeben wurden
- Elemente, die in den letzten 28 Tagen mit Ausnahme externer Benutzer freigegeben wurden
Wichtig
Derzeit unterstützt der EEEU-Bericht für OneDrive for Business nur die Elementebene. EEEU-Berichte für OneDrive for Business auf Standortebene werden nicht unterstützt. Wenn Sie nicht über eine Microsoft Erweiterte SharePoint-Verwaltung-Lizenz verfügen, müssen Sie die Datensammlung für aktuelle aktivitätsbasierte Berichte aktivieren, damit relevante Überwachungsdaten zum Erstellen des Berichts gesammelt werden. Nachdem Sie sie aktiviert haben, werden die Daten gesammelt und 28 Tage lang gespeichert. Sie können den Bericht 24 Stunden später generieren, der Daten vom Zeitpunkt der Sammlung enthält. Wenn Sie berichte nicht einmal innerhalb von drei Monaten generieren, wird die Datensammlung angehalten, und Sie müssen sie erneut aktivieren. Informationen zum Aktivieren der Datensammlung für diese Berichte finden Sie im Abschnitt Verwalten der Datensammlung für aktuelle aktivitätsbasierte Berichte.
Identifizieren von Websites, die in den letzten 28 Tagen mit "Jeder außer externen Benutzern" freigegeben wurden
Wenn Sie EEEU einer Websitemitgliedschaft (Besitzer, Mitglieder oder Besucher) hinzufügen, wird der gesamte Inhalt der Website öffentlich und anfälliger für eine übermäßige Freigabe. Führen Sie den folgenden PowerShell-Befehl aus, um den Bericht zum Erfassen solcher Websites in den letzten 28 Tagen für SharePoint-Websites auszulösen:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Identifizieren von Elementen, die in den letzten 28 Tagen für "Jeder außer externen Benutzern" freigegeben wurden
Führen Sie den folgenden PowerShell-Befehl aus, um den Bericht zum Erfassen bestimmter Elemente (Dateien, Ordner oder Listen) auszulösen, die Sie in den letzten 28 Tagen für SharePoint-Websites für EEEU freigegeben haben:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Hinweis
Ersetzen Sie den Workloadwert durch OneDriveForBusiness , um Elemente abzurufen, die für alle OneDrive-Konten mit den gleichen Kriterien freigegeben werden.
Verwalten der Datensammlung für aktuelle aktivitätsbasierte Berichte
Wichtig
Wenn Sie nicht über eine Microsoft Erweiterte SharePoint-Verwaltung-Lizenz verfügen, müssen Sie die Datensammlung für aktuelle aktivitätsbasierte Berichte aktivieren, damit relevante Überwachungsdaten zum Erstellen des Berichts gesammelt werden. Nachdem Sie ihn aktiviert haben, können Sie den Bericht 24 Stunden später generieren, und er enthält Daten vom Zeitpunkt der Sammlung. Die Daten werden 28 Tage lang gespeichert. Wenn Sie berichte nicht einmal innerhalb von drei Monaten generieren, wird die Datensammlung angehalten, und Sie müssen sie erneut aktivieren.
Aktivieren der Datensammlung für aktuelle aktivitätsbasierte Berichte
Dieser PowerShell-Befehl beginnt mit dem Sammeln von Überwachungsdaten für Berichte zu Aktivitäten der letzten 28 Tage.
Start-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone
Die anwendbaren Werte für den ReportEntity-Parameter sind SharingLinksAnyone, SharingLinksPeopleInYourOrg, SharingLinksGuests, EveryoneExceptExternalUsersAtSite, EveryoneExceptExternalUsersForItems, CopilotAppInsights.
Deaktivieren der Datensammlung für aktuelle aktivitätsbasierte Berichte
Dieser PowerShell-Befehl beendet das Sammeln von Überwachungsdaten für Berichte zu Aktivitäten der letzten 28 Tage.
Stop-SPOAuditDataCollectionForActivityInsights -ReportEntity SharingLinks_Anyone
Überprüfen der datensammlung status auf aktuelle aktivitätsbasierte Berichte
Sobald die Datensammlung aktiviert ist, können die Berichte nach 24 Stunden generiert werden. Um zu überprüfen, ob Berichte generiert werden können, verwenden Sie den PowerShell-Befehl Get-SPOAuditDataCollectionStatusForActivityInsights. Der Befehl gibt die aktuelle Datensammlung status zurück, die , InProgressoder Pausedsein NotInitiatedkann. Berichte können generiert werden, wenn die status istInProgress.
Get-SPOAuditDataCollectionStatusForActivityInsights -ReportEntity SharingLinks_Anyone
Nachverfolgen von Berichten mithilfe von PowerShell
Wichtig
Jede Berichtserstellung gibt eine GUID zurück, mit der Sie den Bericht status nachverfolgen können.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Verwenden Sie den Befehl Get-SPODataAccessGovernanceInsight, um die aktuelle status eines bestimmten Datenzugriffsgovernance-Berichts mithilfe der Berichts-ID abzurufen.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportEndTime Und ReportStartTime zeigen den Zeitraum der Daten für den Bericht an. Die status ändert sich inCompleted, wenn die Berichtsgenerierung abgeschlossen ist.
Sie können auch die aktuelle status von DAG-Berichten anzeigen, indem Sie den Filter ReportEntity anstelle der ID verwenden. Wird reportID in der Ausgabe angezeigt und wird später benötigt, um einen bestimmten Bericht herunterzuladen.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
Anzeigen und Herunterladen von Berichten mithilfe von PowerShell
Zum Herunterladen eines bestimmten Berichts benötigen Sie die reportID. Rufen Sie die reportID mit dem Befehl Get-SPODataAccessGovernanceInsight ab. Verwenden Sie dann den Befehl Export-SPODataAccessGovernanceInsight , um den Bericht in einen von Ihnen angegebenen Pfad herunterzuladen.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
Dieser Befehl lädt eine CSV-Datei in den von Ihnen angegebenen Pfad herunter. Details zur CSV-Datei und zum Anzeigen der einzelnen Berichte finden Sie unter Zugreifen auf die Berichte zur Datenzugriffsgovernance im SharePoint Admin Center.
Hinweis
Der Standarddownloadpfad ist der Ordner Downloads .
Ausführen von Abhilfemaßnahmen mithilfe von PowerShell
Nachdem Sie Berichte zur Datenzugriffsgovernance generiert haben, können Sie Korrekturaktionen ausführen, wie unter Beheben von Aktionen aus Berichten zur Datenzugriffsgovernance beschrieben.
Im folgenden Abschnitt werden PowerShell-Befehle zum Initiieren und Nachverfolgen von Websitezugriffsüberprüfungen als Abhilfemaßnahme beschrieben.
Initiieren der Websitezugriffsüberprüfung mithilfe von PowerShell
Verwenden Sie den Befehl Start-SPOSiteReview , um eine Websitezugriffsüberprüfung für eine bestimmte Website zu initiieren, die unter einem Datenzugriffsgovernancebericht aufgeführt ist. Der Bericht zur Datenzugriffsgovernance enthält den Kontext, unter dem Sie die Überprüfung initiieren sollten. Rufen Sie die Berichts-ID und die Website-ID aus der CSV-Datei ab, und geben Sie Kommentare ein, um dem Websitebesitzer Klarheit über den Zweck der Überprüfung zu geben.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
Dieser Befehl generiert E-Mails an den Websitebesitzer, wie unter Initiieren einer Websitezugriffsüberprüfung beschrieben.
Nachverfolgen von Websitezugriffsüberprüfungen mithilfe von PowerShell
Verwenden Sie den Befehl Start-SPOSiteReview, um die status von Websitezugriffsüberprüfungen nachzuverfolgen. Verwenden Sie für bestimmte Überprüfungen den ReviewID In der Ausgabe gezeigten Wert. Verwenden Sie den ReportEntity -Parameter, um alle Überprüfungen im Zusammenhang mit einem Berichterstellungsmodul abzurufen.
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents