Quando você compartilha arquivos do OneDrive com um grupo de segurança do Microsoft 365, esses arquivos não aparecem na lista Compartilhados da interface web do OneDrive. A visualização padrão de Compartilhados mostra apenas arquivos compartilhados com pessoas individuais ou grupos do Microsoft 365, não grupos de segurança habilitados para email ou grupos de distribuição. Este artigo explica como localizar esses arquivos usando os logs de auditoria do Microsoft 365 e a API do Microsoft Graph. Você aprenderá dois métodos para encontrar arquivos compartilhados com um grupo de segurança e entenderá as limitações de cada abordagem.
Principais Conclusões: Como Encontrar Arquivos do OneDrive Compartilhados com Grupos de Segurança
- Portal do Microsoft 365 Defender > Auditoria > Pesquisar: Execute uma pesquisa no log de auditoria pela atividade SharingPermissionAddedBySecurityGroup para encontrar arquivos compartilhados com um grupo de segurança.
- API do Microsoft Graph com filtro em sharedWith: Use o endpoint da API
/sites/{site-id}/drive/itemscom um filtro pelo ID do objeto do grupo de segurança para listar programaticamente os arquivos compartilhados. - Limitação da visualização Compartilhados do OneDrive web: A lista Compartilhados mostra apenas arquivos compartilhados com usuários individuais ou grupos do Microsoft 365, não grupos de segurança. Portanto, você deve usar logs de auditoria ou a API do Graph.
Por que o Compartilhamento com Grupo de Segurança no OneDrive Fica Oculto da Lista Compartilhados
O OneDrive for Business usa dois tipos distintos de permissão de compartilhamento: compartilhamento individual e compartilhamento em grupo. Quando você compartilha um arquivo com um grupo de segurança, o OneDrive registra a permissão como um compartilhamento de grupo, mas não o exibe na guia Compartilhados na interface web. A guia Compartilhados mostra apenas arquivos compartilhados com usuários individuais ou grupos do Microsoft 365 que têm uma representação na interface do seletor de compartilhamento.
Grupos de segurança, incluindo grupos de segurança habilitados para email e grupos de distribuição, não são exibidos no seletor de compartilhamento do OneDrive por padrão. O aplicativo web do OneDrive usa um endpoint de API diferente para a lista Compartilhados que filtra permissões onde o beneficiário é um grupo de segurança. Isso é proposital para reduzir a desordem na visualização Compartilhados, que é destinada a arquivos compartilhados com pessoas que você conhece individualmente.
A permissão subjacente ainda é válida. Os membros do grupo de segurança podem acessar o arquivo usando o link direto ou através da visualização Compartilhados Comigo se estiverem conectados. No entanto, o proprietário do arquivo não pode vê-lo em sua lista Compartilhados. Para encontrar esses arquivos, você deve usar o log de auditoria ou a API do Microsoft Graph.
Método 1: Usar o Log de Auditoria do Microsoft 365 para Encontrar Arquivos Compartilhados com um Grupo de Segurança
O log de auditoria do Microsoft 365 registra todos os eventos de compartilhamento, incluindo quando um arquivo é compartilhado com um grupo de segurança. Você pode pesquisar no log de auditoria para encontrar todos os arquivos compartilhados com um grupo de segurança específico. Este método requer a função de pesquisa de log de auditoria, que é atribuída por padrão a administradores do Exchange, administradores do SharePoint e administradores globais.
- Abra o portal do Microsoft 365 Defender
Acesse https://security.microsoft.com e faça login com uma conta que tenha a função de pesquisa de log de auditoria. - Navegue até Auditoria
No menu à esquerda, selecione Auditoria na seção Soluções. Se você não vir Auditoria, clique em Mostrar tudo primeiro. - Configure a pesquisa de auditoria
Defina o Intervalo de datas para o período em que o arquivo foi compartilhado. Em Atividades, selecione SharingPermissionAddedBySecurityGroup. Este nome de atividade captura especificamente eventos de compartilhamento onde um grupo de segurança é o beneficiário. - Execute a pesquisa
Clique em Pesquisar. Os resultados serão exibidos na tabela abaixo. Cada resultado mostra o usuário que compartilhou o arquivo, a URL do arquivo e o nome do grupo de segurança. - Exporte os resultados
Clique em Exportar e selecione Baixar todos os resultados para salvar o log de auditoria como um arquivo CSV. Abra o CSV no Excel para filtrar pelo nome do grupo de segurança ou usuário.
O arquivo CSV inclui colunas para CreationTime, User, Operation, ObjectId (a URL do arquivo) e TargetGroupName (o nome do grupo de segurança). Use a coluna TargetGroupName para encontrar todos os arquivos compartilhados com um grupo de segurança específico.
Método 2: Usar a API do Microsoft Graph para Listar Arquivos do OneDrive Compartilhados com um Grupo de Segurança
Para administradores de TI que precisam automatizar a descoberta de arquivos compartilhados com grupos de segurança, a API do Microsoft Graph oferece uma abordagem programática. Este método usa o endpoint /sites/{site-id}/drive/items com um filtro na propriedade sharedWith. Você precisa do ID do objeto do grupo de segurança, que pode obter no centro de administração do Microsoft Entra.
- Obtenha o ID do objeto do grupo de segurança
Acesse https://entra.microsoft.com e faça login como administrador global. Selecione Grupos > Todos os grupos, encontre o grupo de segurança e copie o valor do ID do objeto. - Obtenha o ID do site do OneDrive
Use o endpoint da API Graphhttps://graph.microsoft.com/v1.0/users/{user-principal-name}/drivepara obter o ID da unidade do OneDrive do usuário. Substitua{user-principal-name}pelo endereço de email do usuário. A resposta inclui o campo id, que é o ID da unidade. - Liste itens com permissões de grupo de segurança
Chame o endpoint da API Graph:GET /drives/{drive-id}/items?$expand=permissions&$filter=permissions/any(p:p/grantedToV2/group/id eq '{security-group-object-id}'). Substitua{drive-id}pelo ID da unidade da etapa 2 e{security-group-object-id}pelo ID do objeto da etapa 1. - Analise a resposta
A API retorna um objeto JSON com um array de itens value. Cada item tem um campo name (o nome do arquivo) e um campo webUrl (o link direto para o arquivo). O array permissions confirma que o grupo tem acesso.
Você pode executar essa chamada de API usando ferramentas como Graph Explorer, Postman ou um script PowerShell. O filtro funciona apenas se o grupo de segurança recebeu permissões explícitas no arquivo. Se o arquivo for compartilhado com um grupo que está aninhado dentro de outro grupo, o filtro pode não retornar o arquivo a menos que a permissão explícita esteja no grupo aninhado.
Limitações e Pontos a Verificar
O arquivo foi compartilhado com um grupo de distribuição, não com um grupo de segurança
Grupos de distribuição também não são exibidos na lista Compartilhados do OneDrive. No entanto, a atividade do log de auditoria SharingPermissionAddedBySecurityGroup não captura compartilhamentos com grupos de distribuição. Para grupos de distribuição, use a atividade SharingPermissionAdded e filtre o CSV pelo nome do grupo na coluna TargetGroupName.
A pesquisa no log de auditoria não retorna resultados
O log de auditoria deve estar ativado no seu locatário. Acesse o portal do Microsoft 365 Defender > Auditoria > Ativar auditoria se ainda não estiver ativado. Verifique também se o arquivo foi compartilhado após a ativação da auditoria. Os logs de auditoria são retidos por 90 dias para usuários com licença Office 365 E3 e até um ano para licenças E5.
A API Graph retorna uma resposta vazia
O filtro em grantedToV2/group/id corresponde apenas a permissões onde o grupo recebeu acesso explicitamente. Se o grupo de segurança for membro de outro grupo que tem acesso, o arquivo não aparecerá nos resultados do filtro. Use o método do log de auditoria para cenários de grupos aninhados.
O arquivo foi compartilhado com um grupo do Microsoft 365, não com um grupo de segurança
Grupos do Microsoft 365 aparecem na lista Compartilhados do OneDrive. Se você está procurando arquivos compartilhados com um grupo do Microsoft 365, use a visualização Compartilhados do OneDrive web e filtre por Pessoas para ver o nome do grupo. Os métodos de log de auditoria e API Graph descritos acima são necessários apenas para grupos de segurança.
Pesquisa no Log de Auditoria vs API do Microsoft Graph: Principais Diferenças
| Item | Pesquisa no Log de Auditoria | API do Microsoft Graph |
|---|---|---|
| Acesso necessário | Função de pesquisa de log de auditoria | Permissões de aplicativo ou delegadas com Sites.Read.All |
| Retenção de dados | 90 dias a 1 ano dependendo da licença | Sem limite de retenção, retorna permissões atuais |
| Suporte a grupos aninhados | Sim, captura o evento de compartilhamento explícito | Não, corresponde apenas a permissões explícitas do grupo |
| Automação | Pesquisa manual ou exportação para CSV | Totalmente automatizável com PowerShell ou chamadas REST |
| Granularidade | Mostra quem compartilhou o arquivo e quando | Mostra as permissões atuais, mas não o histórico de compartilhamento |
A pesquisa no log de auditoria é o método mais simples para uma investigação pontual. A API Graph é melhor para varreduras recorrentes ou integração com ferramentas de gerenciamento existentes.
Agora você pode encontrar arquivos do OneDrive compartilhados com um grupo de segurança usando o log de auditoria do Microsoft 365 ou a API do Microsoft Graph. Comece com a pesquisa no log de auditoria se precisar de uma resposta rápida para um único grupo de segurança. Para monitoramento contínuo, configure um script PowerShell que chame a API Graph e grave os resultados em um relatório. Lembre-se de que a visualização Compartilhados do OneDrive nunca mostrará esses arquivos, portanto, você deve confiar nesses dois métodos para auditar o compartilhamento com grupos de segurança.