使用 PowerShell 审核 SharePoint Online 外部共享

共享资源是 SharePoint Online 中的关键活动之一。它允许用户与其他用户共享文件、文件夹和网站。如果您的组织启用了外部共享，则管理员需要跟踪外部文件访问和共享事件。监控外部共享事件将帮助您防止未经授权的访问。

永远不要让您的资源落入坏人之手：

作为管理员，跟踪用户在 Microsoft 365 环境中的活动总是好的。但由于其功能有限，本机 Office 365 报告并不总是可行 - 您需要依赖 Microsoft 365 报告工具或 PowerShell。

如前所述，微软也没有提供任何直接报告来监控外部共享事件。

如何识别与外部用户共享的资源：

要审核与外部用户共享的文件，您可以使用以下任意一种方法。

共享审核：您可以使用审核日志搜索中提供的“共享审核”功能。它将列出所有共享事件，包括内部共享。因此，您需要通过从 JSON 对象转换 AuditData 列来识别外部共享。然后，您可以将“TargetUserOrGroupType”列过滤为“Guest”以获取外部共享事件。

PowerShell：您可以使用“Search-UnifiedAuditLog”cmdlet 检索在组织中执行的活动。要检索外部共享事件，您需要过滤掉外部共享活动，例如 AnonymousLinkCreated、SecureLinkCreated、AddedToSecureLink 和 SharingInvitationCreated 以及其他一些过滤器。

上述方法需要 PowerShell 知识。如果您是 PowerShell 新手，那么这会有点棘手。

使用 PowerShell 审核 Office 365 外部共享：

为了简单起见，我们创建了一个 PowerShell 脚本来审核 Office 365 外部共享活动。导出的报告包括 SharePoint Online 和 OneDrive 外部共享活动。

下载脚本：ExternalSharingReport.ps1

脚本亮点：

• 该脚本使用新式身份验证来连接到 Exchange Online。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出到 CSV 文件。
• 允许您生成自定义时间段的外部共享报告。
• 在您确认后自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

审核外部共享报告 - 示例输出：

导出的外部共享报告包含以下属性：共享时间、共享者、共享对象、共享资源类型、共享资源、站点 URL、共享类型、工作负载和审核信息。

外部共享报告 - 脚本执行步骤：

要运行此脚本，您可以选择以下任意一种方法。

方法 1：使用 MFA 和非 MFA 帐户执行脚本

./ExternalSharingReport.ps1

方法 2：通过明确提及凭据来执行脚本（调度程序友好）。

./ExternalSharingReport.ps1 -AdminName [email protected] -Password xxxx

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

“Office 365 外部共享报告”的更多用例

通过此脚本，您可以使用内置的过滤选项导出更精细的报告。我们列出了一些重要的报告。

• 审核 OneDrive 中的外部共享
• 审核 SharePoint Online 中的外部共享
• 监控自定义期间的外部共享活动
• 安排外部共享审核报告
• 获取外部共享的月度报告

OneDrive 外部共享报告：

与 SharePoint Online 一样，OneDrive for Business 也允许用户与外部用户共享文件和文件夹。如前所述，我们的脚本跟踪 SharePoint Online 和 OneDrive for Business 外部共享活动。

如果您想要获取 OneDrive 外部共享活动，请使用'OneDrive' 开关参数运行脚本。

./ExternalSharingReport.ps1 -OneDrive

通过此报告，您可以识别与外部用户共享的 OneDrive 文件和文件夹。

跟踪 SharePoint Online 外部共享：

要审核 SharePoint Online 中的外部共享活动，您可以使用 'SharePoint' 切换参数。

./ExternalSharingReport.ps1 -SharePointOnline

通过参考此报告，您可以通过更改外部共享设置来保护组织的资源。

导出自定义期间的外部共享活动：

如果您想获取特定时间范围内与外部用户共享的资源列表，可以使用 'StartDate' 和 'EndDate' 参数。

./ExternalSharingReport.ps1 -StartDate 4/13/21 -EndDate 5/14/21

导出的报告包含 2021 年 4 月 13 日至 2021 年 5 月 14 日与外部用户共享的文件和文件夹列表。

安排“外部共享报告”：

由于“Search-UnifiedAuditLog”可以获取过去 90 天内的外部文件/文件夹共享活动，因此您可能需要旧数据进行分析。在这种情况下，安排将帮助您将审核日志保留 90 天以上。

要从任务计划程序运行 PowerShell 脚本，您可以使用以下格式：

./ExternalSharingReport.ps1 -AdminName [email protected] -Password xxxx

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

获取每月外部共享报告：

要获取有关文件和文件夹共享的月度报告，您可以按如下方式运行脚本：

./ExternalSharingReport.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date)

导出的报告包含过去 30 天的外部文件共享审核数据。

停止与外部用户共享：

如果您发现任何异常共享，您可以停止与外部用户共享

• 通过从共享项目中删除他们的权限，或者
• 将他们作为访客从目录中删除。

使用 AdminDroid 获取深入的 SPO 共享报告：

AdminDroid 提供功能强大的 SharePoint 共享报告，可详细了解用户如何在 SharePoint 中共享内容和访问信息。使用 AdminDroid，您可以轻松跟踪共享邀请、文件共享和访问、公司链接创建和访问、匿名链接创建和访问、外部文件共享和访问等。

除了详细的共享报告之外，AdminDroid 还提供180+ SharePoint Online 报告，包括站点信息、使用摘要、权限更改、文件夹和页面活动、外部用户在 SharePoint 上的活动等。这些报告可以帮助您识别使用趋势、监控安全性并确保遵守法规。

为什么管理员更喜欢 AdminDroid 来实现轻松无忧的 SharePoint Online 报告？

• 针对关键活动触发警报，例如外部文件共享、敏感文件访问和共享等。
• 只需点击几下鼠标即可提供 SharePoint 使用情况报告
• 安排报告并将其发送到电子邮件
• 以多种格式导出数据，例如 CSV、HTML、PDF 等。
• 过滤数据以生成细粒度的报告
• 将报告数据可视化为图表/AI 生成的图表
• 管理多个租户
• 用户友好的用户界面
• 免费版提供 100 多个 Azure AD 报告和仪表板本身。

此外，AdminDroid 的 Office 365 报告软件提供1800 多个预构建报告和30 多个智能仪表板，帮助您更深入地了解 Microsoft 365 环境。该工具包括有关多个 Office 365 服务的报告，包括 Azure AD、Exchange Online、Teams、SharePoint Online、OneDrive、OneNote、Yammer、Stream、Power BI 等。此外，它还提供有关 Office 365 环境各个方面的报告，包括报告、审核、分析、使用统计、安全性和合规性。

我希望这篇博客能够帮助您审核 SharePoint 活动。您如何管理组织中的外部共享？通过评论部分分享您的技术。