使用 PowerShell 在 SharePoint Online 中审核文件下载

SharePoint Online 是 Microsoft 365 中的一项功能强大的协作服务，可促进跨组织的无缝文件共享和管理。虽然它提供了广泛的功能，但跟踪文件下载对于维护数据安全性和合规性至关重要。本博客重点介绍了在 SharePoint Online 中审核文件下载的方法。

如何审核 SharePoint Online 中的文件下载？

以下方法提供了在 SharePoint Online 和 OneDrive 中下载的文件的全面视图。

Microsoft Purview 审核日志：Microsoft 365 中的统一审核日志可用于跟踪文件访问。通过在审核日志搜索中使用“下载的文件”过滤器，您可以找到在 SharePoint 或 OneDrive 页面中执行的所有文件下载。尽管可以导出生成的 Microsoft 365 审核日志，但无法根据您的偏好来安排或自定义它们。

PowerShell：连接到 Exchange Online PowerShell 后，您可以使用“Search-UnifiedAuditLog” cmdlet 审核 SharePoint Online 中的文件下载。尽管此 cmdlet 提供文件下载日志，但它提供 JSON 格式的结果，这需要进一步处理并且也很耗时。

为了克服 UI 和 PowerShell 的复杂性，我们创建了一个一体化 PowerShell 脚本。它有助于轻松跟踪关键详细信息，包括下载文件的用户、文件类型和下载时间戳。让我们开始吧！

下载脚本：AuditFileDownloads.ps1

脚本亮点

1. 该脚本导出10+ 个文件下载审核报告。
2. 该脚本也可以使用启用 MFA 的帐户执行。
3. 它将审核结果导出为工作目录中的CSV文件格式。
4. 默认情况下，该脚本会检索 180 天的文件下载审核日志。
5. 允许您获取自定义时间段的审核文件下载报告。
6. 帮助您查找最近下载的 SPO 文件，例如过去 30 天内下载的文件。
7. 帮助识别外部/来宾用户下载的文件。
8. 为了进行全面跟踪，该脚本使您能够监控特定用户下载的所有文件。
9. 该脚本旨在分别跟踪 SharePoint 和 OneDrive 文件下载。
10. 在您确认后，它自动安装 EXO 模块（如果尚未安装）。
11. 该脚本调度程序友好，即凭证可以作为参数传递，而不是保存在脚本内。
12. 该脚本也支持基于证书的身份验证 (CBA)。

SharePoint Online 文件下载报告 - 示例输出

以下列表提供了有关文件下载事件的详细信息，并显示了报告（CSV 格式）中存在的属性。

• 下载时间
• 下载者
• 下载的文件
• 站点网址
• 文件扩展名
• 工作量
• 更多信息

脚本执行方法

首先，下载提供的 PowerShell 脚本。接下来，打开 Windows PowerShell 并导航到脚本所在的目录。之后，使用以下方法之一执行脚本：

方法一：对于 MFA 和非 MFA 帐户，您可以按以下方式执行脚本。

.\AuditFileDownloads.ps1

上述脚本执行导出最近 180 天的文件下载审核日志。

方法 2：对于无人值守方法，使用显式凭据执行脚本（调度程序友好）。

.\AuditFileDownloads.ps1 -UserName <UPN> -Password <Password>

您可以使用任务计划程序以及非 MFA 管理员帐户的给定代码来计划 PowerShell 脚本。如果管理员帐户使用多重身份验证，您可以通过条件访问策略禁用 MFA，以便成功执行计划的脚本。

方法 3：对于基于证书的身份验证，请使用以下基本参数执行脚本。

.\AuditFileDownloads.ps1 -Organization <Domain> -ClientId <AppId> -CertificateThumbprint <CertThumbPrint>

要使用基于证书的凭据运行此 PowerShell 脚本，请在 Azure AD 中注册应用程序。您可以使用证书颁发机构 (CA) 颁发的证书，也可以创建自签名 SSL 证书，这是许多管理员在内部场景中首选的方法。

使用 PowerShell 脚本审核 SharePoint Online 中的文件下载

此 PowerShell 脚本通过启用以下操作来帮助审核 SharePoint Online 和 OneDrive 中的文件下载。

1. 审核过去 180 天内下载的文件
2. 跟踪自定义时间段之间的文档下载
3. 查找最近下载的文件
4. 跟踪特定用户的文件下载
5. 查找外部用户下载的文件
6. 单独跟踪 OneDrive 中的文件下载
7. 仅在 SharePoint Online 中审核文件下载

1.审核过去 180 天下载的文件

要导出过去 180 天内的 SharePoint Online 文件下载历史记录，管理员可以执行此处所述的 PowerShell 脚本。

.\AuditFileDownloads.ps1

以前，管理员最多只能导出 90 天的日志。最近，审计日志保留期限延长至 180 天，管理员现在的时间范围也延长了。

2.跟踪自定义时间段内 SharePoint 中的文档下载

导出指定时间段内 SharePoint Online 中下载文件的审核日志使管理员能够做出明智的决策，确保数据的安全性和机密性。使用“StartDate”和“EndDate”等参数使您能够生成文件下载报告定制期。

.\AuditFileDownloads.ps1 -StartDate <09/28/23> -EndDate <02/26/24>

提供的示例导出2023年9月28日至2024年2月26日期间的文件下载信息。

3.查找最近从 SharePoint Online 和 OneDrive 下载的文件

通过查看最近从 SharePoint Online 下载的文件，管理员可以采取行动并实施关键的安全措施，以便及时获得见解。通过利用“RecentlyDownloadedFiles_In_Days”参数，管理员可以轻松识别过去“n”天内的文件下载。

.\AuditFileDownloads.ps1 -RecentlyDownloadedFiles_In_Days 30

上述格式将获取过去 30 天内在 SharePoint Online 和 OneDrive 中下载的文件的详细信息。

4.跟踪特定用户的文件下载

通过深入了解特定于用户的文件交互，管理员可以在发生安全事件时进行彻底调查。使用“DownloadedBy”参数执行脚本以检查特定用户的文件下载情况。这有助于获取用户的SharePoint下载历史记录。

.\AuditFileDownloads.ps1 -DownloadedBy [email protected]

上述执行将导出 Leena 从所有 SharePoint Online 网站和 OneDrive 页面下载的文件的详细信息。

注意： 与监视文件下载一样重要，在 SharePoint 中审核文件访问也同样重要。

5.跟踪外部用户下载的文件

用户经常与外部或来宾用户共享文件。在这种情况下，确保只有目标访客才能下载文件至关重要。利用“FileDownloadedByExternalUsersOnly”参数使管理员能够轻松识别访客或外部用户下载的文件。

.\AuditFileDownloads.ps1 -FileDownloadedByExternalUsersOnly

上述格式将导出过去 180 天内外部用户下载的文件的审核报告。

此外，您可以审核外部用户访问的文件以检测和响应可疑活动。此外，监视 SPO 中的外部文件共享有助于防止和阻止未经授权的访问。

6.单独跟踪 OneDrive 中的文件下载

作为管理员，您可以专门提取在 OneDrive 中执行的文件下载的详细信息。为此，您可以在每次执行时添加“OneDriveOnly”参数。

.\AuditFileDownloads.ps1 -OneDriveOnly

提供的示例将仅获取过去 180 天内下载的 OneDrive 文件的详细信息。

同样，您可以将“OneDriveOnly”参数与其他参数结合起来生成更精细的报告。例如，

• 要识别最近“n”天内最近下载的 OneDrive 文件，请执行如下所示。

.\AuditFileDownloads.ps1 -RecentlyDownloadedFiles_In_Days 30 -OneDriveOnly

上面的示例将获取过去 30 天内下载的 OneDrive 文件的详细信息。

• 要监控特定用户下载的OneDrive 文件，请由特定用户按如下所示运行。

.\AuditFileDownloads.ps1 -DownloadedBy [email protected] -OneDriveOnly

上面的示例检索 Leena 在过去 180 天内下载的 OneDrive 文件。

7.单独在 SharePoint Online 中审核文件下载

与上述执行类似，您可以检索报告以仅跟踪来自 SharePoint 的文件下载。要查看谁从 SharePoint 下载了文件，请使用“SharePointOnlineOnly” 参数。

.\AuditFileDownloads.ps1 -SharePointOnlineOnly

提供的示例将仅获取过去 180 天内下载的 SharePoint 文件的详细信息。

同样，您可以将“SharePointOnlineOnly”参数与其他参数结合起来生成更精细的报告。例如，

• 要跟踪最近“n”天内最近下载的 SharePoint Online 文件，请执行如下所示。

.\AuditFileDownloads.ps1 -RecentlyDownloadedFiles_In_Days 30 -SharePointOnlineOnly

上面的示例将获取过去 30 天内下载的 SharePoint Online 文件的详细信息。

• 要监视特定用户下载的SharePoint Online 文件，请按如下所示运行。

.\AuditFileDownloads.ps1 -DownloadedBy [email protected] -SharePointOnlineOnly

上面的示例仅检索 Leena 在过去 180 天内下载的 SharePoint 文件。

虽然上述报告有助于从各个角度审核下载，但您可以为 SharePoint Online 和 OneDrive 实施阻止下载策略，以限制下载并增强安全性。如果您发现任何匿名下载，您可以查看 SharePoint Online 权限级别以确保正确使用。

检查谁使用 AdminDroid 从 SharePoint 下载了文件

许多管理员发现自己渴望 SharePoint Online 报告中的附加功能。这些可能包括增强的用户友好界面、高级分析或特定的定制选项。

如果您正在寻找全面的解决方案，请不用担心 - AdminDroid 可以满足这些需求。 AdminDroid 不仅使您能够监控 SharePoint 中的文件下载，还可以深入了解 SharePoint 活动和 SPO 文件访问。

详细了解各种 SPO 文件审核活动，例如：

• 从 SharePoint 网站上传或下载的文件
• 与外部用户共享的文件
• 外部用户访问的文件
• 记录来宾执行的活动
• 管理员执行的文件活动
• 跨 SharePoint 网站复制或移动的 SharePoint 文件
• 文件删除和恢复
• 检测到恶意软件的文件
• 通过匿名访问共享的文件

使用 SharePoint Online 审核工具获得新级别的安全见解。深入了解全面的细节，通过持续监控用户权限、文件共享、文件访问和 DLP 操作来确保敏感数据的保护。

但是等等，还有更多！ SharePoint Online 管理并没有就此结束！通过 SharePoint Online 报告的实时统计数据提升您的体验。获得有关网站使用情况的宝贵见解、识别不活动用户并轻松跟踪 SharePoint 列表和文档库。

为什么大多数管理员更喜欢 AdminDroid 而不是大量工具？

大多数管理员更喜欢 AdminDroid Microsoft 365 报告工具，原因如下：

• AdminDroid 提供对 120 多个 Azure AD 报告的终身免费访问。
• 该工具提供15天的试用期，提供所有高级功能，包括报告、计划、导出、警报和合规性。
• AdminDroid 提供可定制的图表和生动的图形，以便清晰地了解报告数据。
• 总的来说，该工具提供 1800 多个关于 M365 服务的全面报告和 30 多个仪表板，例如 MS Teams、Entra ID、SharePoint Online、Exchange Online、OneDrive 等。

准备好提升您的 M365 管理体验了吗？立即下载 AdminDroid 并简化全面的报告和管理。

总之，我希望此博客可以帮助您通过全面的报告审核 SharePoint Online 中的下载。如果您有任何疑问，请随时通过评论部分与我们联系。敬请期待更多的更新！