Quando você compartilha arquivos do OneDrive com pessoas fora da sua empresa, esses arquivos podem não estar mais protegidos pelas políticas de segurança da sua organização. Um único link de compartilhamento externo pode expor dados confidenciais a usuários não autorizados. Este artigo explica como usar a auditoria do Microsoft 365 e o centro de administração do SharePoint para identificar todos os arquivos do OneDrive compartilhados com usuários externos. Você aprenderá a gerar um relatório de auditoria detalhado e a revisar os links de compartilhamento de arquivos individuais.
Principais Conclusões: Como Encontrar Arquivos do OneDrive Compartilhados Externamente
- Portal de conformidade do Microsoft 365 Purview > Auditoria: Pesquise as atividades “Convite de compartilhamento” e “Link anônimo criado” para encontrar compartilhamentos externos.
- Centro de administração do SharePoint > Sites ativos > Site do OneDrive > Compartilhamento: Veja links de compartilhamento externo, datas de expiração e as pessoas ou grupos específicos com acesso.
- Aplicativo web do OneDrive > Painel de informações > Gerenciar acesso: Verifique cada arquivo individualmente para usuários externos e remova-os se necessário.
O Que é Considerado Compartilhamento Fora da Organização
Compartilhamento externo no OneDrive significa conceder acesso a alguém que não possui uma conta de usuário no seu locatário do Microsoft 365. Isso inclui convidados adicionados via colaboração B2B do Azure AD e qualquer pessoa que receba um link anônimo que não exige login. A plataforma Microsoft registra cada evento de compartilhamento externo no log de auditoria unificado. No entanto, encontrar esses logs exige saber quais atividades pesquisar.
Existem dois tipos principais de eventos de compartilhamento externo:
1. Convites de Compartilhamento
Quando um usuário envia um convite para um endereço de e-mail externo, o log de auditoria registra um evento “Convite de compartilhamento”. Esse evento inclui o endereço de e-mail do destinatário, o arquivo ou pasta compartilhada e as permissões concedidas.
2. Links Anônimos
Quando um usuário cria um link que pode ser compartilhado com qualquer pessoa, o log de auditoria registra um evento “Link anônimo criado”. Esse evento não inclui o destinatário, pois o link pode ser encaminhado para qualquer número de pessoas. O log de auditoria captura o caminho do arquivo, a expiração do link (se houver) e as permissões.
Antes de iniciar a pesquisa, verifique se o log de auditoria está ativado no seu locatário. Vá para o centro de administração do Microsoft 365, abra o Centro de Segurança e Conformidade e verifique se a pesquisa de log de auditoria está ativada. Se estiver desativada, ative-a. Pode levar até 24 horas para os registros de auditoria aparecerem após a ativação.
Passos para Encontrar Arquivos do OneDrive Compartilhados Fora da Organização
Use os passos a seguir para localizar arquivos compartilhados com usuários externos em todas as contas do OneDrive no seu locatário. Você precisa de pelo menos a função Leitor de Logs de Auditoria ou a função Visualizar Logs de Auditoria para executar esses passos.
- Abra o portal de conformidade do Microsoft 365 Purview
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função Leitor de Logs de Auditoria ou Administrador de Segurança. - Navegue até a página de pesquisa de Auditoria
No painel de navegação esquerdo, selecione Auditoria. Se você não vir Auditoria, expanda a seção Soluções e depois selecione Auditoria. - Configure o intervalo de datas
Defina a Data inicial e a Data final para cobrir o período que deseja investigar. Para uma varredura completa, defina a data inicial para 90 dias atrás. O Microsoft 365 retém logs de auditoria por até 90 dias por padrão. - Adicione o filtro de atividade de compartilhamento
Em Atividades, digite ou selecione Convite de compartilhamento e Link anônimo criado. Você também pode pesquisar por Arquivo compartilhado e Pasta compartilhada para capturar métodos adicionais de compartilhamento. - Pesquise atividades do SharePoint
Como o OneDrive for Business usa o SharePoint como backend de armazenamento, todos os eventos de compartilhamento do OneDrive aparecem sob a carga de trabalho do SharePoint. No menu suspenso Cargas de trabalho, selecione SharePoint. Isso garante que você veja apenas eventos do OneDrive e do SharePoint. - Execute a pesquisa
Clique em Pesquisar. A pesquisa de log de auditoria retorna uma lista de eventos. Cada evento mostra a data, o usuário que realizou a ação, o tipo de atividade e o nome do item. - Revise os resultados
Clique em qualquer evento para abrir o painel de detalhes. No painel de detalhes, procure o campo Item. Este campo contém o caminho completo da URL para o arquivo compartilhado. O caminho inclui a URL do site do OneDrive, por exemplohttps://yourtenant-my.sharepoint.com/personal/user_domain_com/Documents/File.xlsx. - Exporte os resultados para análise
Clique em Exportar no topo da página de log de auditoria. Escolha o formato CSV. Abra o arquivo CSV no Excel. Filtre a coluna Atividade para mostrar apenas Convite de compartilhamento e Link anônimo criado. A exportação CSV inclui a URL do arquivo, o usuário que compartilhou e o e-mail de destino para convites.
Revisando Links de Compartilhamento de Arquivos Individuais do OneDrive
Depois de identificar um arquivo que pode estar compartilhado externamente, você pode verificar seu status de compartilhamento atual diretamente no OneDrive. Este método não requer acesso de administrador e funciona para qualquer usuário que tenha pelo menos acesso de leitura ao arquivo.
- Abra o arquivo no aplicativo web do OneDrive
Acesse https://onedrive.live.com e faça login. Navegue até o arquivo que deseja verificar. - Abra o painel de Informações
Selecione o arquivo clicando nele, depois clique no ícone Informações na barra de ferramentas superior. O ícone parece um “i” minúsculo dentro de um círculo. - Selecione Gerenciar acesso
No painel de Informações, role para baixo até a seção Pessoas. Clique em Gerenciar acesso. Um painel é aberto mostrando todos os usuários e links que têm acesso a este arquivo. - Verifique se há usuários externos
Usuários externos aparecem com um ícone de convidado ao lado do nome. Se você vir uma entrada que diz Qualquer pessoa com o link, isso é um link anônimo que pode ser compartilhado fora da organização. - Remova o acesso externo se necessário
Para remover um usuário externo, clique no nome do usuário e depois clique em Remover acesso direto. Para excluir um link anônimo, clique na entrada do link e depois clique em Remover link.
O Que Fazer Depois de Encontrar Arquivos Compartilhados Externamente
Arquivos do OneDrive Que Não Deveriam Ser Compartilhados Externamente
Se um arquivo contém informações confidenciais, remova o link de compartilhamento externo ou o convite imediatamente. Depois, altere as permissões do arquivo para restringir o compartilhamento. Use o aplicativo web do OneDrive para definir o tipo de link de compartilhamento padrão como Pessoas na sua organização para esse arquivo específico.
O Log de Auditoria Mostra Compartilhamento, Mas o Arquivo Não Está Mais Compartilhado
O log de auditoria captura eventos históricos. Se um usuário criou um link anônimo há dois meses e depois o excluiu, o log de auditoria ainda mostra o evento de criação. Para verificar o status de compartilhamento atual, você deve usar o painel Gerenciar acesso conforme descrito acima.
Muitos Resultados para Revisar Manualmente
Se seu locatário tem milhares de eventos de compartilhamento externo, use a exportação CSV e filtre por extensão de arquivo ou usuário. Você também pode usar o PowerShell com o cmdlet Search-UnifiedAuditLog para automatizar a pesquisa e gerar um relatório. Para usar o PowerShell, instale o módulo Exchange Online Management e conecte-se ao Exchange Online.
Pesquisa de Log de Auditoria vs Gerenciar Acesso: Principais Diferenças
| Item | Pesquisa de Log de Auditoria | Painel Gerenciar Acesso |
|---|---|---|
| Finalidade | Encontrar eventos históricos de compartilhamento em todos os usuários | Visualizar status de compartilhamento atual de um arquivo |
| Escopo | Todos os sites do OneDrive e SharePoint | Arquivo ou pasta individual |
| Retenção de dados | Até 90 dias por padrão | Tempo real, sem histórico |
| Permissões necessárias | Leitor de Logs de Auditoria, Administrador de Segurança ou Administrador Global | Acesso de leitura ao arquivo |
| Saída | CSV ou lista na tela de eventos | Painel interativo com nomes de usuários e tipos de link |
| Pode remover acesso | Não | Sim |
Use a pesquisa de log de auditoria para descobrir arquivos que foram compartilhados externamente. Depois, use o painel Gerenciar acesso para cada arquivo para verificar e remover o acesso externo indesejado.
Agora você pode identificar todos os arquivos do OneDrive que foram compartilhados com pessoas fora da sua organização executando uma pesquisa de log de auditoria para eventos de Convite de compartilhamento e Link anônimo criado. Depois de encontrar os arquivos, use o painel Gerenciar acesso para revisar as permissões atuais e revogar qualquer acesso externo indesejado. Para monitoramento contínuo, agende uma exportação mensal do log de auditoria e revise o CSV no Excel. Se você gerencia um locatário grande, considere criar um script PowerShell que pesquise o log de auditoria e envie um resumo de todos os novos eventos de compartilhamento externo por e-mail.