Administradores do OneDrive for Business costumam usar o Relatório de Compartilhamento Externo no centro de administração do Microsoft 365 para auditar quem tem acesso a arquivos compartilhados. Um problema comum é que esse relatório não inclui links de convidados anônimos criados antes de uma data específica ou mudança de política. Esses links anônimos antigos, geralmente chamados de links “Qualquer pessoa”, permanecem ativos e podem conceder acesso a arquivos sem aparecer no relatório padrão de compartilhamento. Este artigo explica por que o relatório ignora esses links e fornece um método passo a passo para localizá-los e gerenciá-los usando o Microsoft Graph PowerShell.
Principais Conclusões: Como Encontrar e Remover Links Anônimos Antigos
- Centro de administração do Microsoft 365 > Relatórios > Compartilhamento: Exibe apenas atividades recentes de compartilhamento externo e não enumera todos os links anônimos ativos.
- Cmdlet Get-SPOSiteGroup do Microsoft Graph PowerShell: Lista todos os links de compartilhamento, incluindo links anônimos antigos, de um site específico.
- Cmdlet Remove-SPOSiteGroup do Microsoft Graph PowerShell: Remove um grupo de link anônimo para revogar todo o acesso concedido por meio desse link.
Por que o Relatório de Compartilhamento Externo Omite Links Anônimos Antigos
O Relatório de Compartilhamento Externo no centro de administração do Microsoft 365 é um registro de atividades, não um inventário completo de todos os links de compartilhamento. Ele registra eventos como quando um usuário envia um convite, cria um link de compartilhamento ou altera permissões. Depois que um link é criado, o relatório para de rastreá-lo a menos que alguém interaja novamente com ele. Links anônimos, especialmente aqueles configurados como “Qualquer pessoa com o link”, não geram atividade contínua. Se um usuário criou um link anônimo há seis meses e ninguém clicou nele desde então, esse link não aparecerá no relatório padrão.
Outro motivo é que o relatório filtra por intervalo de datas, geralmente mostrando os últimos 30 dias. Links criados antes desse período são excluídos completamente. Além disso, o relatório foca em eventos de compartilhamento iniciados por usuários e não examina todas as coleções de sites em busca de objetos de link persistentes. Links anônimos são armazenados como grupos ocultos do SharePoint dentro de cada site. O relatório não consulta esses grupos. Para encontrar links anônimos antigos, você deve usar uma ferramenta que possa enumerar todos os objetos de link de compartilhamento em seu locatário.
Passos para Encontrar e Gerenciar Links Anônimos Antigos Usando PowerShell
- Instalar o SharePoint Online Management Shell
Abra o Windows PowerShell como administrador e execute o comandoInstall-Module -Name Microsoft.Online.SharePoint.PowerShell. Pressione Enter e confirme quaisquer prompts de instalação. Este módulo é necessário para executar cmdlets específicos do SharePoint. - Conectar ao SharePoint Online
ExecuteConnect-SPOService -Url https://seulocatario-admin.sharepoint.com. Substituaseulocatariopelo nome real do seu locatário. Faça login com uma conta de administrador global ou administrador do SharePoint quando solicitado. - Obter uma lista de todas as coleções de sites
ExecuteGet-SPOSite -Limit All | Select-Object Url. Isso retorna a URL de cada coleção de sites em seu locatário. Anote a URL do site onde você suspeita que existam links anônimos antigos. Para uma pesquisa direcionada, você pode filtrar pelo nome do site ou usarGet-SPOSite -Identity "https://seulocatario.sharepoint.com/sites/nomedosite". - Listar todos os grupos de links de compartilhamento de um site
ExecuteGet-SPOSiteGroup -Site https://seulocatario.sharepoint.com/sites/nomedosite | Where-Object {$_.Title -like "SharingLinks"}. Este comando retorna todos os grupos cujo título contém “SharingLinks”. Links anônimos são armazenados em grupos com um formato de título comoSharingLinks.12345678-1234-1234-1234-123456789012. Cada grupo representa um link anônimo. - Inspecionar os membros de um grupo de link de compartilhamento
ExecuteGet-SPOSiteGroup -Site https://seulocatario.sharepoint.com/sites/nomedosite -Group "SharingLinks.12345678-1234-1234-1234-123456789012" | Select-Object Users. Isso mostra os endereços de e-mail ou nomes de usuário que acessaram o link. Se o grupo contiver “Everyone except external users” ou “Everyone”, o link é anônimo. - Remover um link anônimo antigo
Para revogar o acesso, executeRemove-SPOSiteGroup -Site https://seulocatario.sharepoint.com/sites/nomedosite -Group "SharingLinks.12345678-1234-1234-1234-123456789012". Confirme a remoção quando solicitado. Isso exclui o grupo de link e bloqueia imediatamente todo o acesso por meio desse link. As permissões do arquivo ou pasta subjacente permanecem inalteradas para outros usuários.
Se Ainda Não Consegue Encontrar Todos os Links Anônimos Antigos
Links anônimos criados antes de uma mudança de política no locatário
Se sua organização alterou o tipo de link de compartilhamento padrão de “Qualquer pessoa” para “Pessoas específicas” ou “Pessoas em sua organização”, os links criados antes dessa mudança permanecem ativos. O Relatório de Compartilhamento Externo não verifica retroativamente esses links anteriores à mudança. Use o método PowerShell acima para pesquisar todas as coleções de sites. Considere executar um script que percorra cada site e exporte todos os grupos de links de compartilhamento para um arquivo CSV para revisão offline.
Links anônimos em sites pessoais do OneDrive
Os sites pessoais do OneDrive (perfis de usuário) também armazenam links anônimos. O cmdlet Get-SPOSite inclui esses sites por padrão. Para filtrar apenas sites do OneDrive, procure URLs que contenham -my.sharepoint.com/personal/. Execute Get-SPOSite -IncludePersonalSite $true -Limit All | Where-Object {$_.Url -like "/personal/"} para obter uma lista de sites do OneDrive. Em seguida, aplique os mesmos passos de Get-SPOSiteGroup e Remove-SPOSiteGroup para cada site.
Links anônimos em sites excluídos
Quando um site é excluído e movido para a lixeira do SharePoint, seus links anônimos são preservados. O cmdlet Get-SPOSite não mostra sites excluídos por padrão. Execute Get-SPOSite -IncludePersonalSite $true -Limit All -Filter "Url -like 'https://seulocatario.sharepoint.com/sites/siteexcluido'" após restaurar o site da lixeira. Alternativamente, use o centro de administração do SharePoint para restaurar o site e, em seguida, execute os passos do PowerShell para remover os links.
Relatório de Compartilhamento Externo vs Enumeração PowerShell: Principais Diferenças
| Item | Relatório de Compartilhamento Externo | Enumeração PowerShell |
|---|---|---|
| Escopo | Eventos de compartilhamento recentes (últimos 30 dias) | Todos os grupos de links de compartilhamento em todos os sites |
| Links anônimos incluídos | Apenas aqueles com atividade recente | Todos os links anônimos, independentemente da idade |
| Capacidade de remover links | Não | Sim, via Remove-SPOSiteGroup |
| Requer funções de administrador | Leitor global ou superior | Administrador do SharePoint ou administrador global |
| Formato de saída | Tabela baseada na web ou exportação CSV | Objetos PowerShell (exportáveis para CSV) |
O Relatório de Compartilhamento Externo é útil para monitorar atividades recentes de compartilhamento e comportamento do usuário. A enumeração PowerShell é necessária para uma auditoria completa de todos os links anônimos, especialmente aqueles criados há meses ou anos. Use ambas as ferramentas juntas: execute o relatório para monitoramento semanal e execute o script PowerShell trimestralmente para limpar links anônimos antigos.
Agora você pode localizar e remover links anônimos antigos que o Relatório de Compartilhamento Externo ignora. A chave é usar os cmdlets Get-SPOSiteGroup e Remove-SPOSiteGroup no SharePoint Online Management Shell. Para auditorias contínuas, agende um script PowerShell para ser executado mensalmente e exporte os resultados para um arquivo CSV. Como dica avançada, combine isso com o cmdlet Set-SPOTenant -SharingCapability para restringir a criação futura de links anônimos, evitando que o problema se repita.