使用 PowerShell 审核 SharePoint Online 中的文件访问

SharePoint 文件对于 Microsoft 365 协作至关重要，包括文档、电子表格、演示文稿等。尽管促进了团队合作，但如果没有有效的管理，就会出现冲突、版本控制问题和访问控制困难等挑战。此外，SharePoint Online 中的共享动态增加了内部和外部用户均可访问的复杂性。当关键文件面临未经授权的删除或更改时，风险甚至会上升。因此，审核 SharePoint Online 中的文件访问对于保护敏感数据、了解人们如何使用它以及发现任何可疑活动至关重要。

如何审核 SharePoint Online 中的文件访问？

若要审核对 SharePoint Online 中文件的访问，可以使用两种方法：Microsoft 365 审核日志或 PowerShell。

1. Microsoft 365 审核日志：统一审核日志允许通过“访问的文件”筛选器审核 SharePoint Online 中的文件访问。但是，这些审核日志搜索无法自定义或安排。
2. PowerShell：通过使用“Search-UnifiedAuditLog”cmdlet，您可以审核 SharePoint Online 中的文件使用情况。然而，它也有局限性，例如不确定的范围记录和需要多次调用。

为了简化此过程，我们制作了一个 PowerShell 脚本，可以轻松审核和报告您的组织在 SharePoint Online 和 OneDrive 中的文件访问情况。

下载脚本：AuditFileAccess.ps1

在 SharePoint Online 中审核文件访问 - 脚本亮点

1. 该脚本采用现代身份验证来检索审核日志。
2. 该脚本可以通过启用多重身份验证 (MFA) 的帐户无缝执行。
3. 该脚本默认检索过去 180 天的文件访问审核日志。
4. 能够生成任意所需时间段的自定义文件访问审核报告。
5. 轻松找到 SharePoint Online 中最近访问的文件，例如过去 30 天内打开的文件。
6. 轻松将审核报告结果导出到 CSV 文件。
7. 识别外部或来宾用户访问的文件以增强安全意识。
8. 监控特定用户访问的所有文件以进行全面跟踪。
9. 该脚本旨在分别跟踪 SharePoint Online 和 OneDrive 内的文件访问。
10. 确认后，脚本自动安装 EXO 模块（如果尚未安装）。
11. 该脚本调度程序友好，允许将凭据作为参数传递。
12. 支持基于证书的身份验证 (CBA)以获得额外的安全层。

SharePoint Online 文件访问报告 - 示例输出

导出的 SharePoint Online 文件访问报告包括以下基本属性：

• 文件访问时间
• 文件访问者
• 访问的文件
• 站点网址
• 文件扩展名
• 工作量

该报告将类似于下面的屏幕截图。

脚本执行方法

1. 下载提供的 PowerShell 脚本并在 Windows PowerShell 中打开它。
2. 使用以下方法之一执行脚本：

方法 1： 使用 MFA 和非 MFA 帐户运行脚本。

./AuditFileAccess.ps1

方法 2：使用显式凭据执行脚本，以实现无人值守的方法。

./AuditFileAccess.ps1 -UserName <UPN> -Password <Password>

您可以使用任务计划程序和提供的代码来计划 PowerShell 脚本。请注意，此方法仅适用于非 MFA 账户。如果管理员帐户使用多重身份验证，请考虑通过条件访问策略禁用 MFA，以便计划的脚本成功运行。

方法 3： 对于无人值守方法，请使用基于证书的身份验证（调度程序友好）执行脚本。指定应用程序 ID、证书指纹和组织。

在此过程中，您可以根据自己的偏好选择使用证书颁发机构 (CA) 或自签名证书。

./AuditFileAccess.ps1 -AppId <ClientId> -CertificateThumbprint <Certthumbprint> -Organization <Organization>

注意：要实施此身份验证方法，您应该在 Azure AD 中注册应用程序。

使用 PowerShell 脚本审核 SharePoint Online 中的文件访问

此 PowerShell 脚本通过启用以下操作来促进高效的 SharePoint Online 管理。

1. 跟踪过去 180 天内 SPO 中的文件访问情况
2. 审核自定义时间段内的 SPO 文件访问
3. 在 SharePoint Online 中查找最近访问的文件
4. 特定用户访问的 SharePoint 和 OneDrive 文件
5. 查看 SharePoint Online 中的外部用户文件访问权限
6. 跟踪 SharePoint Online 文件访问
7. 识别 Microsoft 365 中的 OneDrive 文件访问
8. 查找特定用户访问的 SharePoint Online 文件
9. 查看特定用户访问的 OneDrive 文件
10. 列出特定用户在自定义时间段内访问的 SPO 文件

1.跟踪过去 180 天内 SPO 中的文件访问

管理员通常使用 PowerShell cmdlet Search-UnifiedAuditLog 生成 SharePoint Online 文件访问的 90 天报告。最近，审计日志保留期限延长至 180 天，管理员现在的时间范围也延长了。这使他们能够检索和分析审核日志，从而显着增强他们识别和响应潜在安全威胁的能力。

要导出 180 天内的 SharePoint Online 文件访问历史记录，管理员可以使用以下脚本。

./AuditFileAccess.ps1

2.审核自定义期间的 SPO 文件访问

在 SharePoint Online 领域，必须遵守特定的合规性要求。在 SharePoint Online 中自定义审核周期对于确保组织有效符合这些合规性标准至关重要。使用 -StartDate 和 -EndDate 等参数，您可以生成自定义的 SharePoint Online 文件访问报告。时期。

./AuditFileAccess.ps1 -StartDate 09/25/23 -EndDate 01/21/24

提供的示例导出 2023 年 9 月 25 日到 2024 年 1 月 21 日期间的 SharePoint Online 文件使用情况数据。

3.在 SharePoint Online 中查找最近访问的文件

监视 SharePoint Online 中最近访问的文件可充当安全问题的预警系统。异常或意外的访问模式可能表明存在安全威胁，快速检测对于减轻相关风险至关重要。

./AuditFileAccess.ps1 -RecentlyAccessedFiles_In_Days 30

在此示例中，参数“RecentlyAccessFiles_In_Days”设置为30，指示查询所需的时间范围。因此，该脚本会获取过去 30 天内访问的 SharePoint 文件的详细信息。

4.特定 Microsoft 365 用户访问的 SharePoint 和 OneDrive 文件

跟踪用户与 SharePoint 和 OneDrive 中的文件的交互非常重要。考虑用户意外访问机密文件的场景。导出和排序在 SharePoint Online 和 OneDrive 中访问的所有文件以查明用户访问的特定文件可能会带来挑战。

这就是“AccessedBy”参数的用武之地！使用下面的脚本可以轻松识别特定用户处理的 SharePoint 和 OneDrive 文件。

./AuditFileAccess.ps1 -AccessedBy [email protected]

注意： 与监视文件访问一样重要，在 SharePoint 中审核文件下载也同样重要。更重要的是，建议在条件访问中实施“登录频率 - 每次”会话控制，以要求对访问关键 SPO 站点的用户重新进行身份验证。

5.查看 SharePoint Online 中的外部用户文件访问

Microsoft 365 用户经常与合作伙伴、供应商、客户或客户等外部实体共享内容。但是，必须保证这些外部用户仅访问供他们使用的文件，并且用户仅共享必要的文件。

因此，审核 SharePoint Online 中的外部用户文件访问对于防止数据泄漏和对敏感内容的未经授权的访问至关重要。执行以下 cmdlet 以审核外部用户在 SharePoint Online 和 OneDrive 中访问的文件。

./AuditFileAccess.ps1 -FileAccessedByExternalUsersOnly

6.跟踪 SharePoint Online 文件访问

虽然 OneDrive 用作个人存储，SharePoint 用作协作存储，但值得注意的是，这些工作负载通常是互连的。要精确导出 SharePoint Online 文件访问，请使用以下带有“SharePointOnlineOnly”参数的脚本。这有助于区分并专门定位 SharePoint 中的文件。

./AuditFileAccess.ps1 -SharePointOnlineOnly

7.查找特定用户访问的 SharePoint Online 文件

如果不配置正确的 SharePoint Online 权限级别，未经授权的用户可能会获得对机密 SPO 文件的访问权限。监视特定用户访问的 SharePoint 文件对于维护适当的权限并确保 SharePoint 内的授权访问至关重要。为此，您可以使用以下 cmdlet 导出 Microsoft 365 中特定用户访问的 SharePoint 文件列表。

./AuditFileAccess.ps1 -AccessedBy [email protected] -SharePointOnlineOnly

8.识别 Microsoft 365 中的 OneDrive 文件访问

监控文件的范围超出了 SharePoint；这对于 OneDrive 也至关重要。跟踪访问的 OneDrive 文件有助于识别共享内容、管理访问并防止意外的数据泄露。

为了解决这些问题，请使用下面的脚本来识别过去六个月访问过的 OneDrive 文件，以及访问这些文件的用户的详细信息。

./AuditFileAccess.ps1 -OneDriveOnly

9.查看特定用户访问的 OneDrive 文件

在勒索软件攻击的背景下，OneDrive 成为攻击者的主要目标。鉴于自带设备 (BYOD) 做法的盛行，OneDrive 文件通常可以在许多非托管设备上访问和下载。因此，密切监控特定用户访问的 OneDrive 文件势在必行。

./AuditFileAccess.ps1 -AccessedBy [email protected] -OneDriveOnly

上面的示例检索 [email protected] 访问的 OneDrive 文件。

10。列出特定用户在自定义时间段内访问的 SPO 文件

如果用户的帐户遭到泄露，密切监视其访问的文件有助于了解泄露的影响。这种主动方法使管理员能够深入了解受损的用户活动、修改和数据泄露尝试，从而快速、有针对性地缓解威胁。

使用下面的脚本可以跟踪特定用户在自定义时间段内对 SharePoint Online 中文件的访问情况。

./AuditFileAccess.ps1 -AccessedBy [email protected] -StartDate 08/27/23 -EndDate 01/21/24

提供的示例检索 [email protected] 在 2023 年 8 月 27 日到 2024 年 1 月 21 日期间访问的文件。

我们已经介绍了使用 PowerShell 审核 SharePoint Online 中的文件访问。但如果您不喜欢 PowerShell 或者您刚刚开始使用，请不用担心！

隆重推出 AdminDroid Microsoft 365 Reporter - 用于审核 SharePoint Online 中文件访问的简单、无忧的解决方案！

使用 AdminDroid 简化您的 SharePoint Online 文件审核！

AdminDroid 使您能够轻松地在 SharePoint Online 中进行文件访问审核。通过 AdminDroid，您可以详细了解各种文件访问活动，包括：

• 访问的文件
• 访问扩展文件
• 文件删除
• 档案管理活动
• 恢复的文件
• 修改文件
• 签入文件
• 签出文件

列表并不止于此 - AdminDroid 提供更全面的覆盖范围！除了文件访问审核之外，AdminDroid SharePoint Online 审核工具还可以轻松审核 SharePoint 的各个方面，例如网站集、权限、组、网站共享、DLP 操作、文件夹和页面活动。

此外，SharePoint Online 报告工具还提供有关 SharePoint 网站使用情况、非活动用户、SharePoint 列表、文档库等的详细报告。这些详细的报告保证了高效的 SharePoint Online 管理。

然而，AdminDroid 超越了 SharePoint Online 管理；这是 Microsoft 365 报告和审核的一体化解决方案！拥有超过1800份综合报告和30多个人工智能驱动的仪表板，AdminDroid 提供对 Microsoft Entra ID、Exchange Online、MS Teams、OneDrive、Power BI、Stream 和 Viva Engage 等服务的深入研究。

通过快速警报、日程安排、细粒度访问授权和等功能提升您的报告和监控体验高级自定义过滤器。

不要错过通过15 天试用探索 Microsoft 365 管理的复杂世界的机会。立即单击 AdminDroid 下载按钮，彻底改变您的 Microsoft 365 管理体验！

总之，对于寻求增强安全性和合规性的组织来说，利用 PowerShell 脚本审核 SharePoint Online 中的文件访问被证明是一种游戏规则改变者。通过自动化审核过程，管理员可以详细了解用户活动，从而增强敏感 SharePoint Online 文件的安全性。此外，您还可以为敏感文件或整个文档库创建 SPO 警报，以实时跟踪网站内容更改，从而减少数据丢失。

我们相信此博客使您能够有效审核 Microsoft 365 中的 SharePoint 文件访问。如有疑问或进一步帮助，请随时通过下面的评论部分与我们联系。确保安全并充满信心地进行审核！