使用 PowerShell 审核 SharePoint Online 中的匿名访问

Office 365 允许与组织内部和外部共享资源（文件、文件夹等）。根据业务需求和数据的敏感性，您可以在 SharePoint Online 和 OneDrive 中配置外部共享设置。

如果组织允许外部共享，管理员需要监控外部共享活动，以限制与访客共享时有意或无意泄露文件。与其他外部共享方法不同，未经身份验证的共享（匿名链接）是共享内容的最简单方法。但它会带来很高的暴露风险。

什么是匿名链接？

匿名链接是允许用户匿名访问资源而无需任何形式的身份验证的任何人链接。即，用户无需登录即可打开链接，并且可以将链接转发给其他人。只有知道链接的人才能访问该资源。

一般来说，组织中的所有内容都不适合未经身份验证的共享。因此，管理员需要特别注意任何链接，以保护组织的数据。

如何跟踪 Office 365 中的匿名共享和访问？

要监视匿名链接活动，例如创建、修改、删除和访问的共享链接，您可以使用审核日志搜索或 PowerShell cmdlet。

在合规中心搜索审核日志：通过应用所需的过滤器，您可以查看和下载匿名访问数据。但通过下载的报告，您无法一目了然地查看所需的数据，如共享资源、工作负载、用户IP等。这些属性被格式化为 JSON 对象，需要对其进行解析以获取更多信息。

PowerShell：“Search-UnifiedAuditLog”检索 Office 365 匿名链接活动，例如 AnonymousLinkCreated、AnonymousLinkUpdated、AnonymousLinkRemoved、AnonymousLinkUsed。然而，使用 PowerShell 检索审核日志并不容易。因为如果您没有正确获取审核日志，最终会导致数据丢失，从而破坏了目的。

考虑到上述挑战，我们创建了一个一体化 PowerShell 脚本，该脚本有助于跟踪 Microsoft 365 环境中的匿名活动。

下载脚本：AnonymousLinkActivityReport.PS1

脚本亮点：

• 允许生成8不同的匿名链接报告。
• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出到 CSV 文件。
• 在您确认后自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

示例输出：

导出的匿名活动报告包含活动时间、活动名称、用户访问/共享、用户 IP、资源类型、共享/访问资源、允许编辑、站点 URL、工作负载和更多审核信息。

审核匿名链接活动报告 - 脚本执行：

要运行该脚本，您可以选择以下任意一种方法。

方法 1： 使用 MFA 和非 MFA 帐户执行脚本

./AnonymousLinkActivityReport.ps1

导出的报告包含过去 90 天内的匿名链接创建、修改、删除和访问活动。

方法 2：通过明确提及凭据来执行脚本。

./AnonymousLinkActivityReport.ps1 -AdminName [email protected] -Password XXX

注意：上述格式仅适用于非 MFA 帐户。如果管理员帐户具有 MFA，则您需要根据条件访问政策禁用 MFA 才能使其正常工作。

释放此 PowerShell 脚本的全部潜力：

如前所述，该脚本可以根据要求生成八种不同的匿名活动报告。您可以使用内置的高级过滤选项来生成所需的报告。我们在这里列出了一些用例。

• 监控 Office 365 中的所有匿名链接活动
• 审核 SharePoint Online 中的匿名共享
• 跟踪 OneDrive for Business 中的匿名共享
• SharePoint Online 匿名访问报告
• 监控 OneDrive 中的匿名访问
• 审核 SharePoint 中的匿名链接活动
• 跟踪 OneDrive 中的匿名链接活动
• 获取自定义期间的审计报告
• 获取匿名活动的月度报告
• 安排匿名链接活动报告

跟踪 Office 365 中的匿名链接活动：

默认情况下，该脚本审核所有匿名链接活动，例如过去 90 天内在 SharePoint Online 和 OneDrive for Business 中创建、修改、删除和访问的匿名链接。

要生成报告，请使用以下格式：

./AnonymousLinkActivityReport.ps1

导出的报告提供了所有与共享相关的问题的答案，例如

• 谁创建了匿名链接，
• 创建链接时，
• 谁更改了匿名链接，
• 谁使用匿名链接查看了文件等

审核 SharePoint Online 中的匿名共享：

通过未经身份验证的链接共享，任何知道该链接的人都可以访问该资源。为了避免资源落入坏人之手，管理员需要密切关注匿名链接的创建。要跟踪 SharePoint Online 中的匿名共享，请同时使用 -SharePointOnline 和-AnonymousSharing 切换参数。

./AnonymousLinkActivityReport.ps1 -SharePointOnline -AnonymousSharing

跟踪 OneDrive 中的匿名共享：

与 SharePoint Online 一样，OneDrive 也允许匿名共享。要审核匿名共享，您可以使用 -OneDrive 和-AnonymousSharing 切换参数。

./AnonymousLinkActivityReport.ps1 -OneDrive -AnonymousSharing

导出的报告列出了过去 90 天内创建的所有匿名链接以及权限级别。即该链接是否允许用户编辑资源或仅查看文档。

SharePoint Online 匿名访问报告：

任何人链接授予对文件和文件夹的匿名访问权限。因此，我们不可能知道用户的身份，但我们可以跟踪他们的 IP 地址。要识别匿名访问，请同时使用 -SharePointOnline 和 -AnonymousAccess 参数。

./AnonymousLinkActivityReport.ps1 -SharePointOnline -AnonymousAccess

注意：要查找访问该文件的外部用户，您可以使用“特定人员链接”与访客共享资源。

监控 OneDrive 中的匿名访问：

要查看哪些 IP 地址通过 OneDrive 匿名链接访问了文件，您可以执行以下脚本：

./AnonymousLinkActivityReport.ps1 -OneDrive -AnonymousAccess

通过参考此报告，管理员可以关闭任何人链接以阻止未经身份验证的访问

审核 SharePoint Online 中的匿名访问链接：

要跟踪在 SharePoint Online 中创建、更新、删除和使用匿名链接的用户，请执行如下所示的脚本。

./AnonymousLinkActivityReport.ps1 -SharePointOnline

跟踪 OneDrive 中的匿名链接：

审核 OneDrive 的匿名链接可帮助您识别谁共享了匿名链接、共享了哪些资源以及访问资源的时间等。

通过使用 -OneDrive 开关参数，您可以获得 OneDrive for Business 的匿名链接审核报告。

./AnonymousLinkActivityReport.ps1 -OneDrive

获取自定义期间的审核报告：

您可以使用 -StartDate 和 -EndDate参数用于生成自定义期间的报告。它将减少脚本执行时间。

./AnonymousLinkActivityReport.ps1 -StartDate 6/1/21 -EndDate 6/15/21

上述报告包含 2021 年 6 月 1 日至 2021 年 6 月 15 日期间执行的所有匿名链接相关活动。

再举几个例子：

• 要检索自定义期限内的 SharePoint Online 匿名访问权限，请执行以下操作：

./AnonymousLinkActivityReport.ps1 -StartDate 6/1/21 -EndDate 6/15/21 -SharePointOnline -AnonymousAccess

• 要在自定义期间审核 OneDrive 中的匿名共享，

./AnonymousLinkActivityReport.ps1 -StartDate 6/1/21 -EndDate 6/15/21 -OneDrive -AnonymousSharing

获取匿名活动的月度报告：

要获取匿名链接活动的月度报告，您可以运行以下脚本，

./AnonymousLinkActivityReport.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date)

导出的报告包含过去 30 天的匿名链接活动审核数据。

安排匿名链接活动报告：

由于“Search-UnifiedAuditLog”可以进行过去 90 天内的审核活动，因此您可能需要旧数据进行分析。在这种情况下，安排将帮助您将审核日志保留 90 天以上。

要从任务计划程序运行 PowerShell 脚本，您可以使用以下格式：

./AnonymousLinkActivityReport.ps1 -AdminName [email protected] -Password XXX

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA。

我希望这个博客有助于跟踪匿名链接活动。如果您有任何疑问或要求，请通过评论部分与我们分享。

使用 AdminDroid 更好地控制匿名链接

SharePoint Online 审核日志和 PowerShell 脚本可以提供有关匿名链接活动的高级信息，但它们可能无法提供有关单个用户所执行的特定操作的详细信息。此外，审核日志可能无法捕获 SharePoint Online 中的所有匿名链接活动，从而在审核跟踪中留下空白。同样，使用 PowerShell 脚本提取和分析匿名链接活动可能是一个耗时的手动过程，特别是当您需要执行定期审核或跟踪多个网站的活动时。

为了克服上述所有缺点，AdminDroid提供了一种有效管理匿名链接的解决方案。借助 AdminDroid 的 SharePoint Online 匿名链接报告，管理员可以监控匿名链接的创建、删除和修改。在报告中，您将找到有关每个链接的全面信息，包括目标项 URL、文件类型和权限详细信息以及其他有用的数据点。

另一方面，本机报告仅提供基本信息，例如过去 30 天内创建的链接数量以及创建该链接的主管理员。但此工具使管理员能够获得更深入的见解，并更好地控制 SharePoint Online 中的匿名链接。

除此之外，AdminDroid SharePoint Online 审核工具还提供有关 SPO 活动的详细见解，例如组成员身份审核、外部网站共享、网站集成员资格和其他与访问相关的活动。这些见解可帮助用户定期监控可疑活动并采取必要的措施。 AdminDroid 的 SharePoint Online 管理工具还提供 180 多个报告，涉及组织中的网站集、非活动 SPO 网站、列表、库和 SPO 网站使用情况，帮助管理员更有效地管理 SPO 环境。

正在寻找一款一体化工具来管理您的 Office 365 环境？ AdminDroid 就是您的最佳选择！凭借超过 1800 份 报告和 30+ 富有洞察力的仪表板，这个易于使用的界面提供了有关 Exchange Online 的报告、SharePoint Online、Microsoft Teams 和 OneDrive for Business 等。有了 15 天的免费试用期，没有理由不尝试一下 AdminDroid，亲自看看有何不同！

下载 AdminDroid 并开始优化您的 Office 365 体验！