Verwalten von Berichten zur Datenzugriffsgovernance mithilfe von SharePoint Online PowerShell
Einige Features in diesem Artikel erfordern Microsoft SharePoint Premium – SharePoint Advanced Management
Während die Datenzugriffsgovernance im SharePoint Admin Center-Portal verfügbar ist, suchen große Organisationen in der Regel nach PowerShell-Unterstützung, um die Skalierung über Skripts und Automatisierung zu verwalten. In diesem Dokument werden alle geeigneten PowerShell-Befehle erläutert, die über das SharePoint Online PowerShell-Modul verfügbar sind, um Berichte über die Datenzugriffsgovernance zu verwalten.
Wichtig
PowerShell-Unterstützung für Datenzugriffsgovernance ist ab Modul "Microsoft.Online.SharePoint.PowerShell" und Version "16.0.25409" verfügbar.
Wichtig
Führen Sie den Befehl "Connect-SPOService" OHNE den Parameter Credential aus. Die Anmeldung mit dem Parameter "Anmeldeinformationen " inline mit den neuesten Sicherheitsmethoden wird nicht unterstützt.
Erstellen von Berichten mithilfe von PowerShell
Verwenden Sie den Befehl Start-SPODataAccessGovernanceInsight , um alle Berichte mit den entsprechenden Filtern und Parametern zu generieren.
Überfreigabe eines Baselineberichts mithilfe von Berechtigungen
Die Definition von "Oversharing" kann für verschiedene Kunden unterschiedlich sein. Die Datenzugriffsgovernance betrachtet "Anzahl von Benutzern" als einen möglichen Pivot, um eine Baseline zu erstellen und dann wichtige Mitwirkende für potenzielle "Oversharing" nachzuverfolgen, z. B. das Freigeben von Links, die in den letzten 28 Tagen für große Gruppen wie "Jeder außer externen Benutzern" erstellt wurden. Sie können den Schwellenwert "Anzahl der Benutzer" definieren und einen Bericht über Websites generieren, auf die viele Benutzer zum Zeitpunkt der Berichterstellung zugreifen. Dieser Bericht wird als "Momentaufnahme"-Bericht betrachtet.
Start-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers -ReportType Snapshot -Workload SharePoint -CountOfUsersMoreThan 100 -Name "ReportForTestingLatestFixes"
Dieser Befehl generiert eine Liste aller Websites, auf denen mehr als 100 Benutzer auf inhalte innerhalb der Website zugreifen können. Weitere Informationen zur Liste der Websites und zur Interpretation der Ergebnisse finden Sie hier.
Hinweis
Derzeit besteht der Bericht aus SharePoint-Websites und OneDrive-Konten und kann bis zu 1 Million Websites und/oder Konten generieren.
Freigabelinkberichte
Diese Berichte sind nützlich bei der Identifizierung von Websites, die in der Zusammenarbeit aktiv sind, und erfordern daher ein schnelleres Eingreifen, um mögliche Risiken für eine übermäßig große Teilung zu minimieren. Diese "RecentActivity"-basierten Berichte identifizieren Websites, die die meisten Freigabelinks in den letzten 28 Tagen generiert haben.
Jeder, der Links teilt, die in den letzten 28 Tagen erstellt wurden
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Anyone -Workload SharePoint -ReportType RecentActivity
Geben Sie den Workloadwert als "OneDriveForBusiness" an, um alle OneDrive-Konten mit denselben Kriterien abzurufen.
PeopleInYourOrg-Freigabelinks, die in den letzten 28 Tagen erstellt wurden
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_PeopleInYourOrg -Workload SharePoint -ReportType RecentActivity
Geben Sie den Workloadwert als "OneDriveForBusiness" an, um alle OneDrive-Konten mit denselben Kriterien abzurufen.
Bestimmte Personen (Gäste) Freigabelinks, die in den letzten 28 Tagen erstellt wurden
Start-SPODataAccessGovernanceInsight -ReportEntity SharingLinks_Guests -Workload SharePoint -ReportType RecentActivity
Geben Sie den Workloadwert als "OneDriveForBusiness" an, um alle OneDrive-Konten mit denselben Kriterien abzurufen.
Inhalte, die in den letzten 28 Tagen für alle mit Ausnahme externer Benutzer freigegeben wurden
Während Freigabelinks ein möglicher Mitwirkender für eine mögliche Überteilung sind, ist ein weiterer wichtiger Mitwirkender "Jeder außer externen Benutzern" (EEEU), der Inhalte "öffentlich" macht, d. h. für ganze organization sichtbar ist und anderen das Auffinden von Inhalten und den Zugriff erleichtert. Diese Berichte identifizieren Websites, die die EEEU in verschiedenen Bereichen in den letzten 28 Tagen aktiv genutzt haben.
Websites, die in den letzten 28 Tagen für alle mit Ausnahme externer Benutzer freigegeben wurden
Wenn EEEU einer Websitemitgliedschaft (Besitzer, Mitglieder oder Besucher) hinzugefügt wird, wird der gesamte Inhalt der Website öffentlich und anfälliger für eine übermäßige Freigabe. Der folgende PowerShell-Befehl löst den Bericht aus, um solche Websites in den letzten 28 Tagen zu erfassen:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Hinweis
Derzeit wird der Bericht für OneDriveForBusiness mit EEEU auf Websiteebene nicht unterstützt.
Elemente, die in den letzten 28 Tagen mit Ausnahme externer Benutzer freigegeben wurden
Der folgende PowerShell-Befehl löst den Bericht aus, um Websites zu erfassen, an denen bestimmte Elemente (Dateien/Ordner/Listen) in den letzten 28 Tagen für EEEU freigegeben wurden:
Start-SPODataAccessGovernanceInsight -ReportEntity EveryoneExceptExternalUsersAtSite -Workload SharePoint -ReportType RecentActivity -Name "PublicSiteViaEEEU"
Geben Sie den Workloadwert als "OneDriveForBusiness" an, um alle OneDrive-Konten mit denselben Kriterien abzurufen.
Vertraulichkeitsbezeichnung in Dateibericht
Dieser PowerShell-Befehl löst den Bericht aus, um Websites aufzulisten, auf denen bestimmte Elemente zum Zeitpunkt der Berichtsgenerierung mit einer bestimmten "Bezeichnung" bezeichnet wurden.
Rufen Sie zunächst den Bezeichnungsnamen oder die Bezeichnungs-GUID mithilfe des PowerShell-Moduls "Sicherheit und Compliance" ab.
Get-Label | Format-Table -Property DisplayName, Name, GUID, ContentType
Verwenden Sie dann den Namen UND die GUID, um Websites mit Dateien abzurufen, die mit dem angegebenen Bezeichnungsnamen oder der GUID beschriftet sind.
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
Hinweis
Derzeit wird der Bericht für OneDriveForBusiness-Konten mit bezeichneten Dateien nicht unterstützt.
Nachverfolgen von Berichten mithilfe von PowerShell
Wichtig
Alle Berichtserstellungen führen zu einer GUID als Ausgabe, die zum Nachverfolgen des Berichts status
Start-SPODataAccessGovernanceInsight -ReportEntity SensitivityLabelForFiles -Workload SharePoint -ReportType Snapshot -FileSensitivityLabelGUID "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" -FileSensitivityLabelName Secret
ReportId Status
-------- ------
a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 NotStarted
Verwenden Sie den Befehl Get-SPODataAccessGovernanceInsight, um die aktuelle status eines bestimmten Datenzugriffsgovernance-Berichts mithilfe der Berichts-ID abzurufen.
Get-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportEntity : SharingLinks_Anyone
Status : InQueue
Workload : SharePoint
TriggeredDateTime : 11/13/2024 19:32:34
CreatedDateTime : 11/13/2024 20:09:23
ReportStartTime : 10/17/2024 19:32:33
ReportEndTime : 11/13/2024 19:32:33
ReportType : RecentActivity
SitesFound : 120
ReportStartTime und ReportEndTime geben den Zeitraum der Daten an, für die der Bericht generiert werden soll. Die status wird als "Abgeschlossen" markiert, wenn die Berichterstellung abgeschlossen ist.
Sie können auch die aktuelle status von DAG-Berichten anzeigen, indem Sie den Filter ReportEntity anstelle von ID verwenden. Die reportID wird in der Ausgabe aufgeführt und ist später erforderlich, um einen bestimmten Bericht herunterzuladen.
Get-SPODataAccessGovernanceInsight -ReportEntity PermissionedUsers
ReportId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
ReportName : PermissionReportFor1AsOfSept
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 09/18/2024 11:06:16
CreatedDateTime : 09/22/2024 12:12:48
ReportType : Snapshot
CountOfUsersMoreThan : 1
CountOfSitesInReport : 7
CountOfSitesInTenant : 22
Privacy : All
Sensitivity : {All}
Templates : {All}
ReportId : b1b1b1b1-cccc-dddd-eeee-f2f2f2f2f2f2
ReportName : PermissionReportFor1AsOfOct
ReportEntity : PermissionedUsers
Status : Completed
Workload : SharePoint
TriggeredDateTime : 10/09/2024 14:15:40
CreatedDateTime : 10/09/2024 15:18:23
ReportType : Snapshot
CountOfUsersMoreThan : 100
CountOfSitesInReport : 0
CountOfSitesInTenant : 26
Privacy : All
Sensitivity : {All}
Templates : {All}
Anzeigen und Herunterladen von Berichten mit PowerShell
Zum Herunterladen eines bestimmten Berichts benötigen Sie die reportID. Rufen Sie die reportID mithilfe des Befehls Get-SPODataAccessGovernanceInsight ab, und verwenden Sie den Befehl Export-SPODataAccessGovernanceInsight , um den Bericht in einen angegebenen Pfad herunterzuladen.
Export-SPODataAccessGovernanceInsight -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -DownloadPath "C:\Users\TestUser\Documents\DAGReports"
Dadurch wird eine CSV-Datei in den angegebenen Pfad heruntergeladen. Details zur CSV/Ansicht für jeden Bericht werden hier erläutert.
Hinweis
Der Standarddownloadpfad ist der Ordner "Downloads".
Wartungsaktionen mithilfe von PowerShell
Nachdem Berichte zur Datenzugriffsgovernance generiert wurden, können SharePoint-Administratoren Wiederherstellungsaktionen ausführen, wie hier beschrieben. Im folgenden Abschnitt werden PowerShell-Befehle zum Auslösen und Nachverfolgen der Websitezugriffsüberprüfung als Abhilfemaßnahme beschrieben.
Initiieren der Websitezugriffsüberprüfung mithilfe von PowerShell
Verwenden Sie den Befehl Start-SPOSiteReview , um eine Websitezugriffsüberprüfung für eine bestimmte Website zu initiieren, die unter einem Bericht zur Datenzugriffsgovernance aufgeführt ist. Der Bericht datenzugriffsgovernance enthält den Kontext, unter dem die Überprüfung initiiert werden soll. Rufen Sie die reportID und die Website-ID aus der CSV-Datei ab, und geben Sie Kommentare ein, um dem Websitebesitzer Klarheit über den Zweck der Überprüfung zu geben.
Start-SPOSiteReview -ReportID a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 -SiteID c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3 -Comment "Check for org wide access"
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
Dadurch werden E-Mails an den Websitebesitzer ausgelöst, wie hier beschrieben.
Nachverfolgen von Websitezugriffsüberprüfungen mithilfe von PowerShell
Verwenden Sie den Befehl Start-SPOSiteReview, um die status von Websitezugriffsüberprüfungen nachzuverfolgen. Für bestimmte Überprüfungen können Sie den ReviewID Wert wie in der Ausgabe gezeigt verwenden. Verwenden Sie den ReportEntity -Parameter, um alle Überprüfungen im Zusammenhang mit einem Berichterstellungsmodul abzurufen.
Get-SPOSiteReview -ReportEntity PermissionedUsers
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 13-11-2024 20:55:41
ReviewCompletedDateTime :
ReportCreatedDateTime : 13-11-2024 23:25:41
ReportEndDateTime : 13-11-2024 23:25:41
ReportEntity : PermissionedUsers
Status : Pending
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail :
ReviewerComment :
ReviewId : a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1
SiteId : c2c2c2c2-dddd-eeee-ffff-a3a3a3a3a3a3
ReviewInitiatedDateTime : 24-10-2024 11:07:39
ReviewCompletedDateTime : 15-11-2024 11:07:39
ReportCreatedDateTime : 15-10-2024 09:24:47
ReportEndDateTime : 15-10-2024 11:39:52
ReportEntity : PermissionedUsers
Status : Completed
AdminComment : Check for org wide access
SiteName : All Company
ReviewerEmail : Jon@contosofinance.com
ReviewerComment : Removed EEEU for sensitive documents