Report sulla governance dell'accesso ai dati per i siti di SharePoint
Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint
Man mano che l'espansione e la condivisione eccessiva dei siti di SharePoint aumentano con una crescita esponenziale dei dati, le organizzazioni hanno bisogno di aiuto per gestire i propri dati. I report di governance dell'accesso ai dati consentono di regolare l'accesso ai dati di SharePoint. I report consentono di individuare siti che contengono contenuti potenzialmente sovracondivisi o sensibili. È possibile usare questi report per valutare e applicare i criteri di sicurezza e conformità appropriati.
Requisiti
Questa funzionalità richiede Microsoft 365 E5 o Microsoft SharePoint Premium - Gestione avanzata di SharePoint.
Nota
Gli amministratori IT con licenze Microsoft 365 E5 possono accedere ai report sulla governance dell'accesso ai dati, ma non possono visualizzare o utilizzare le altre funzionalità di gestione avanzata di SharePoint.
Accedere ai report nell'interfaccia di amministrazione di SharePoint
Accedere all'interfaccia di amministrazione di SharePoint con le credenziali di amministratore di SharePoint per l'organizzazione.
Nel riquadro sinistro espandere Report e quindi selezionare Governance dell'accesso ai dati.
I report seguenti sono attualmente disponibili nella pagina di destinazione Governance dell'accesso ai dati:
- Condivisione dei collegamenti
- Etichette di riservatezza applicate ai file
- Condiviso con "Tutti tranne gli utenti esterni"
Un nuovo report di base di oversharing che usa le autorizzazioni è ora disponibile solo tramite PowerShell.
La definizione di oversharing può essere diversa per i diversi clienti. La governance dell'accesso ai dati considera il "numero di utenti" come un possibile pivot per stabilire una linea di base e quindi tenere traccia dei principali collaboratori a potenziali sovrascieghe, ad esempio la condivisione di collegamenti creati e la condivisione con gruppi di grandi dimensioni, ad esempio tutti tranne gli utenti esterni negli ultimi 28 giorni.
Report sui collegamenti di condivisione
I report sui collegamenti di condivisione consentono di identificare le potenziali fonti di sovrasollamento mostrando i siti in cui gli utenti hanno creato i collegamenti di condivisione più nuovi. È disponibile un report per i collegamenti seguenti:
| Nome del report | Descrizione |
|---|---|
| Collegamenti "Chiunque" | Questo report fornisce un elenco di siti in cui è stato creato il numero più alto di collegamenti "Chiunque". I collegamenti "Chiunque" consentono a chiunque di accedere a file e cartelle senza accedere. |
| Collegamenti "Persone nell'organizzazione" | Questo report fornisce un elenco di siti in cui è stato creato il numero più alto di collegamenti "Persone nell'organizzazione". Questi collegamenti possono essere inoltrati internamente e consentire a chiunque nell'organizzazione di accedere a file e cartelle. |
| Collegamenti "persone specifiche" condivisi esternamente | Questo report fornisce un elenco di siti in cui è stato creato il maggior numero di collegamenti "Persone specifiche" per persone esterne all'organizzazione. |
Eseguire i report
Per ottenere i dati più recenti per ogni report, eseguire manualmente il report di governance dell'accesso ai dati. È possibile eseguire tutti i report o selezionare singoli report da eseguire. La generazione completa dei report può richiedere alcune ore. Per verificare se un report è pronto o per visualizzare l'ultimo aggiornamento, vedere la colonna Stato .
Nota
Un report può essere eseguito una sola volta al mese.
Visualizzare i report
Quando un report è pronto, selezionare il nome del report per visualizzare i dati. Ogni report di collegamento alla condivisione include:
- Fino a 100 siti con il numero massimo di collegamenti di condivisione creati negli ultimi 30 giorni.
- Tipi di criteri applicati ai siti: riservatezza del sito, criteri dei dispositivi non gestiti del sito e criteri di condivisione esterna del sito.
- Nome dell'amministratore primario per ogni sito.
Nota
Il supporto per i dati di OneDrive è ora disponibile tramite PowerShell.
Scaricare i report
È anche possibile scaricare il report come file CSV per un massimo di 10.000 siti.
Importante
È possibile scaricare report per un massimo di 1 milione di siti se si dispone di una licenza di SharePoint SharePoint Premium - Gestione avanzata di SharePoint e il tenant è un ambiente cloud non per enti pubblici.
Etichette di riservatezza per i report sui file
La funzionalità di report sulle etichette di riservatezza per i file consente di controllare l'accesso al contenuto sensibile individuando i siti che archiviano i file di Office con etichette di riservatezza applicate. È possibile esaminare questi siti per assicurarsi che vengano applicati i criteri corretti.
Aggiungere i report
È possibile aggiungere un report per ogni etichetta di riservatezza da tenere traccia. L'aggiunta di un report lo esegue per la prima volta.
Nota
È possibile aggiungere report solo per le etichette di riservatezza con un ambito che include "File".
Eseguire report
Per ottenere i dati più recenti per un report, eseguire il report. È possibile eseguire tutti i report o selezionare singoli report da eseguire. L'esecuzione dei report potrebbe richiedere alcune ore. Per verificare se un report è pronto o l'ultimo aggiornamento, vedere la colonna Stato .
Nota
Ogni report può essere eseguito una sola volta in 24 ore.
Scarica report
Dopo aver eseguito un report, selezionare il report per scaricare i dati. Il report include:
- Fino a 10.000 siti con il numero massimo di file di Office con etichette di riservatezza applicate.
- Criteri applicati nei siti seguenti: riservatezza del sito, criteri del dispositivo non gestito del sito e criteri di condivisione esterna del sito.
Contenuto condiviso con i report "Tutti tranne gli utenti esterni" (EEEU)
Importante
Questo report è disponibile solo se si dispone di una licenza SharePoint Premium - SharePoint Advanced Management e il tenant è un ambiente cloud non governativo. Il report non è attualmente disponibile per gli ambienti cloud per enti pubblici, ad esempio GCCH/GCC-Moderate/DoD/Gallatin, anche se si dispone di una licenza di gestione avanzata SharePoint Premium - SharePoint.
Tutti tranne gli utenti esterni (EEEU) fanno parte di un gruppo predefinito che rappresenta l'intera organizzazione senza guest esterni. Viene usato negli scenari seguenti in cui il contenuto deve essere visibile all'intera organizzazione:
- Siti pubblici: il sito è visibile pubblicamente agli utenti all'interno dell'intera organizzazione: tutti tranne gli utenti esterni (EEEU) fanno parte dell'appartenenza al sito, ovvero proprietari/visitatori/membri del sito.
- Elementi pubblici: è possibile selezionare EEEU nella selezione utenti per condividere un elemento specifico (file/cartella) e quindi tale elemento è visibile all'intera organizzazione.
Ora le organizzazioni possono individuare potenziali sovrascieghe che si verificano tramite EEEU usando il nuovo report di governance dell'accesso ai dati (DAG) che acquisisce gli eventi indicati in precedenza negli ultimi 28 giorni.
Creare tutti tranne i report degli utenti esterni
Quando si crea un report, è possibile selezionare varie opzioni, ad esempio creare report con stato attivo o filtrare in un secondo momento all'interno del report.
- Nome report: specificare un nome univoco per il report.
- Modello: Elenchi categorie di modelli di sito di SharePoint (siti classici, siti di comunicazione, siti del team, altri). È possibile scegliere più valori o Tutti i siti.
- Privacy: applicabile per i siti del team nell'ambito. È possibile selezionare Privato, Pubblico o Tutto.
- Riservatezza del sito: Elenchi tutte le etichette di riservatezza. Selezionare una o più etichette se si vuole segnalare l'esecuzione nell'ambito dei siti etichettati. Ad esempio: "Identificare i file all'interno di siti etichettati come "Riservati", condivisi con EEEU negli ultimi 28 giorni.
- Tipo di report: per selezionare lo scenario illustrato in precedenza, se si desidera un report per i "siti pubblici" recenti o per gli "elementi pubblici" recenti.
Eseguire tutti tranne i report degli utenti esterni
Per ottenere i dati più recenti per un report, eseguire il report. È possibile eseguire tutti i report o selezionare singoli report da eseguire. L'esecuzione dei report potrebbe richiedere alcune ore. Per verificare se un report è pronto o l'ultimo aggiornamento, vedere la colonna Stato .
Nota
Ogni report può essere eseguito una sola volta in 24 ore.
Visualizzare i report EEEU
Ogni report EEEU include dati come illustrato nello screenshot seguente:
- Fino a 100 siti con il numero massimo di elementi/gruppi condivisi con EEEU negli ultimi 28 giorni.
- Criteri applicati a questi siti: riservatezza del sito, privacy del sito e criteri di condivisione esterna del sito.
- Amministratore primario per ogni sito.
Nota
Il supporto per i dati di OneDrive è ora disponibile tramite PowerShell.
Scaricare tutti tranne i report degli utenti esterni
Dopo aver eseguito il report, selezionare il report per scaricare i dati. Nel report:
- Il sito con il maggior numero di elementi/gruppi condivisi con EEEU viene visualizzato per primo e il report include fino a 1 milione di siti di questo tipo.
- Altre informazioni correlate al sito, ad esempio l'amministratore primario, l'indirizzo di posta elettronica dell'amministratore, il modello di sito, la privacy, l'etichetta di riservatezza e così via.
Limitazioni o problemi noti
- I report funzionano se per l'organizzazione sono selezionati dati di report non anonimi. Per modificare questa impostazione, è necessario essere un amministratore globale. Passare all'impostazione Report nel interfaccia di amministrazione di Microsoft 365 e deselezionare Visualizza nomi di utenti, gruppi e siti nascosti in tutti i report.
- I dati del report possono essere ritardati fino a 48 ore. Nei nuovi tenant possono essere necessari alcuni giorni prima che i dati vengano generati correttamente e disponibili per la visualizzazione.
Configurazione della baseline di oversharing con un report basato sulle autorizzazioni
È fondamentale per l'amministratore di SharePoint comprendere la configurazione delle autorizzazioni nel tenant, in particolare in seguito all'adozione di Copilot, in quanto rispetta le autorizzazioni utente e del contenuto. Il rischio di esposizione dei dati di Copilot aumenta con il numero di utenti che hanno accesso. Di conseguenza, gli amministratori di SharePoint devono valutare l'"esposizione" dei dati sensibili controllando le autorizzazioni per elementi o siti. La governance dell'accesso ai dati (DAG) può aiutare a stabilire soglie di sovra-condivisione identificando i siti con "troppi" utenti autorizzati.
Creazione del report di base di oversharing
Importante
Attualmente, gli amministratori di SharePoint possono generare il report solo tramite PowerShell. Il primo report per il tenant può richiedere fino a 5 giorni.
Nota
Questo report può essere eseguito solo una volta al mese.
Eseguire il report di base di oversharing
Per altre informazioni sull'esecuzione del comando per generare il report di base di oversharing, vedere PowerShell per la governance dell'accesso ai dati .
Visualizzare e scaricare il report di base di oversharing
Per altre informazioni sull'esecuzione del comando per visualizzare e scaricare il report di base di oversharing, vedere PowerShell per la governance dell'accesso ai dati .
Nota
Il report include sia i dati di SharePoint che di OneDrive.
Informazioni sul report di base di oversharing
L'output per il report contiene i dati seguenti:
| Colonna | Descrizione |
|---|---|
| TENANTID | GUID che identifica il tenant |
| ID sito | GUID che identifica il tenant |
| Nome sito | Nome del sito |
| URL del sito | URL del sito |
| Modello di sito | Specifica il tipo di sito. Ha valori quali Sito di comunicazione, Sito del team, Sito del team (nessun gruppo di Microsoft 365), Altri siti |
| Amministratore primario | Pagina Amministratore sito contrassegnato come Primario in Siti attivi |
| Posta elettronica amministratore principale | Email dell'amministratore del sito primario |
| ExternalSharing | Specifica se il contenuto può essere condiviso con guest esterni. Sì o No. |
| Privacy del sito | Applicabile nei siti del team connessi a Microsoft 365. Specifica l'impostazione di privacy del gruppo. Ha valori Public o Private |
| Riservatezza sito | Specifica l'etichetta di riservatezza applicata al sito |
| Numero di utenti che hanno accesso | Numero univoco di utenti che hanno accesso al contenuto del sito a qualsiasi livello/ambito. Il valore minimo è 100. |
| Persone nel conteggio dei collegamenti dell'organizzazione | Numero di collegamenti PeopleInYourOrg esistenti in tutti i file nel sito |
| Numero di collegamenti chiunque | Numero di collegamenti chiunque esistenti in tutti i file nel sito |
| Data report | Ora di generazione del report. Potrebbero essere necessarie fino a 48 ore per riflettere eventuali modifiche nel report |
Numero di utenti che hanno accesso
Questo numero rappresenta tutti gli utenti univoci che dispongono dell'autorizzazione per accedere al sito e al relativo contenuto.
L'accesso al sito e al relativo contenuto può essere concesso in qualsiasi ambito.
- I gruppi di SharePoint hanno accesso all'intero contenuto all'interno del sito come proprietario, membri o visitatori. È possibile avere singoli utenti o gruppi di Microsoft Entra all'interno di gruppi di SharePoint.
- L'accesso può essere limitato a pochi elementi/file tramite autorizzazioni univoche o ereditarietà interrotta. I destinatari di destinazione possono essere singoli utenti E gruppi di SharePoint/Gruppi Entra. Questi sono importanti da conoscere e gestire per l'oversharing perché non rientrano nell'ambito dell'appartenenza al sito.
Questo numero viene calcolato espandendo tutti i gruppi e gli utenti in tutti gli ambiti, rimuovendo i duplicati e contando il numero di utenti univoci. In altre parole, questo rappresenta l'estensione dell'attuale "esposizione dei dati". Se si aggiungono utenti direttamente o si aggiungono gruppi Microsoft Entra in qualsiasi ambito, questo numero aumenta in base alle dimensioni del gruppo Microsoft Entra e/o al numero di utenti aggiunti. Tuttavia, la creazione di collegamenti di condivisione e la condivisione del sito con "Tutti tranne gli utenti esterni" non aumentano automaticamente questo numero perché non vengono assegnate direttamente autorizzazioni. Ciò aumenta la probabilità che il contenuto del sito/sito sia ora visibile pubblicamente e a un maggior numero di utenti. Il numero aumenta solo quando gli utenti accedono al contenuto. È quindi possibile visualizzare il numero di collegamenti di condivisione o l'autorizzazione EEEU come "potenziale esposizione"
Questo report elenca quindi tutti i siti con "troppi utenti" che accedono al contenuto e quindi più soggetti all'esposizione di Copilot.
Azioni correttive dai report di governance dell'accesso ai dati
Importante
Le azioni correttive dei report di governance dell'accesso ai dati sono disponibili solo per i sottoscrittori di SharePoint Premium - SharePoint Advanced Management che eseguono ambienti cloud non governativi. La funzionalità non è attualmente disponibile per gli ambienti cloud per enti pubblici, ad esempio GCCH/GCC-Moderate/DoD/Gallatin, anche se si dispone di una licenza di gestione avanzata SharePoint Premium - SharePoint.
Dopo aver eseguito i report di governance dell'accesso ai dati per individuare potenziali sovrasciezione, il passaggio successivo consiste nell'intraprendere azioni per correggere tali rischi. È consigliabile considerare fattori come la riservatezza del contenuto, la quantità di contenuto esposto e l'interruzione dello stato esistente.
Se è necessario intervenire immediatamente, è possibile configurare il controllo di accesso limitato e limitare l'accesso a un gruppo specificato (attualmente in anteprima). È anche possibile usare il report "Cronologia modifiche" per identificare le modifiche recenti alle proprietà del sito che potrebbero causare l'oversharing.You can also use the 'Change history' report to identify recent changes to site properties that could lead to oversharing.
È anche possibile richiedere al proprietario del sito di esaminare le autorizzazioni prima di intraprendere le azioni necessarie tramite la funzionalità di verifica dell'accesso al sito disponibile nei report sulla governance dell'accesso ai dati.