Freigeben über

Einschränken des Zugriffs auf oneDrive-Inhalte eines Benutzers auf Personen in einer Gruppe

  • Artikel

Einige Features in diesem Artikel erfordern Microsoft SharePoint Premium – SharePoint Advanced Management

Sie können den Zugriff auf die OneDrive-Inhalte eines einzelnen Benutzers auf Benutzer in einer Sicherheitsgruppe oder Microsoft 365-Gruppe beschränken, indem Sie eine Websitezugriffseinschränkungsrichtlinie verwenden. Benutzer, die nicht in der angegebenen Gruppe sind, können nicht auf den Inhalt zugreifen, auch wenn sie über vorherige Berechtigungen oder einen freigegebenen Link verfügten.

Die Richtlinie wird mithilfe von Microsoft Entra Sicherheitsgruppen oder Microsoft 365-Gruppen angewendet, die die Personen enthalten, die auf Dateien in diesem OneDrive zugreifen können sollen.

Wenn die Richtlinie angewendet wird, werden den Personen in den angegebenen Gruppen keine Berechtigungen für Dateien direkt gewährt. Der OneDrive-Besitzer muss den Inhalt wie gewohnt freigeben. Die Websitezugriffseinschränkungsrichtlinie verhindert, dass jeder, der sich nicht in der Sicherheitsgruppe oder der Microsoft 365-Gruppe befindet, auf den OneDrive-Inhalt zugreifen kann, auch wenn er für ihn freigegeben wurde.

Zugriffseinschränkungsrichtlinien werden angewendet, wenn ein Benutzer versucht, auf eine Datei zuzugreifen. Benutzer können weiterhin Dateien in Suchergebnissen sehen, wenn sie über direkte Berechtigungen für die Datei verfügen, aber sie können nicht auf die Datei zugreifen, wenn sie nicht Teil der angegebenen Gruppe sind.

Sie können auch den Zugriff auf den OneDrive-Dienst selbst auf Personen in einer Sicherheitsgruppe beschränken. Weitere Informationen finden Sie unter Einschränken des OneDrive-Zugriffs nach Sicherheitsgruppe.

Anforderungen

Die Richtlinie für Websitezugriffseinschränkung erfordert Microsoft SharePoint Premium – SharePoint Advanced Management.

Aktivieren der Websitezugriffseinschränkung für Ihre organization

Sie müssen die Websitezugriffseinschränkung für Ihre organization aktivieren, bevor Sie sie für das OneDrive eines Benutzers konfigurieren können.

So aktivieren Sie die Websitezugriffseinschränkung für Ihre organization im SharePoint Admin Center:

  1. Erweitern Sie Richtlinien , und wählen Sie Zugriffssteuerung aus.

  2. Wählen Sie Websitezugriffseinschränkung aus.

  3. Wählen Sie Zugriffseinschränkung zulassen und dann Speichern aus.

    Screenshot der Websitezugriffseinschränkung im sharepoint Admin Center Dashboard.

Führen Sie den folgenden Befehl aus, um die Websitezugriffseinschränkung für Ihre organization mithilfe von PowerShell zu aktivieren:

Set-SPOTenant -EnableRestrictedAccessControl $true

Es kann bis zu einer Stunde dauern, bis der Befehl wirksam wird.

Hinweis

Führen Sie diesen Befehl für Microsoft 365 Multi-Geo-Benutzer separat für jeden gewünschten geografischen Standort aus.

Einschränken des Zugriffs auf die OneDrive-Inhalte eines Benutzers

Jedem OneDrive können bis zu 10 Microsoft Entra Sicherheits- oder Microsoft 365-Gruppen zugewiesen werden. Sobald eine Gruppe hinzugefügt wurde, haben nur Benutzer in den Gruppen Zugriff auf Inhalte in diesem OneDrive, die für sie freigegeben wurden. Sie können dynamische Sicherheitsgruppen verwenden, wenn Sie die Gruppenmitgliedschaft auf Benutzereigenschaften basieren möchten.

Wichtig

Der Besitzer des OneDrive muss in einer der von Ihnen angegebenen Sicherheits- oder Microsoft 365-Gruppen enthalten sein, andernfalls verliert er den Zugriff auf sein OneDrive und dessen Inhalte.

Verwenden Sie die folgenden Befehle, um die Zugriffsbeschränkung für OneDrive zu verwalten:

Aktion PowerShell-Befehl
Aktivieren Sie die Zugriffsbeschränkung für ein bestimmtes OneDrive. (Führen Sie diesen Befehl aus, bevor Sie Sicherheits- oder Microsoft 365-Gruppen hinzufügen.) Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Hinzufügen von Sicherheit/Microsoft 365-Gruppe Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Bearbeiten der Sicherheit/Microsoft 365-Gruppe Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Anzeigen der Sicherheit/Microsoft 365-Gruppe Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Entfernen der Sicherheit/Microsoft 365-Gruppe Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Zurücksetzen der Websitezugriffseinschränkung Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Freigeben von Websites mit richtlinie für eingeschränkten Websitezugriff

Die Freigabe von OneDrive-Websites kann für Benutzer und Gruppen blockiert werden, die gemäß der Richtlinie für eingeschränkte Zugriffssteuerung nicht zulässig sind.

Die Freigabesteuerungsfunktion ist standardmäßig deaktiviert. Führen Sie zum Aktivieren den folgenden PowerShell-Befehl in SharePoint Online-Verwaltungsshell als Administrator aus:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false

Freigeben für Benutzer

Die Freigabe ist nur für Benutzer zulässig, die Teil von Gruppen mit eingeschränkter Zugriffssteuerung sind. Die Freigabe wird für personen außerhalb der Gruppen mit eingeschränkten Zugriffssteuerungen blockiert, wie unten gezeigt:

Screenshot der Freigabe für Benutzer.

Freigeben für Gruppen

Die Freigabe ist für Microsoft Entra Security- oder Microsoft 365-Gruppen zulässig, die Teil der Liste der Gruppen mit eingeschränktem Zugriff sind. Daher ist die Freigabe für alle anderen Gruppen, einschließlich Jeder außer externen Benutzern oder SharePoint-Gruppen, nicht zulässig.

Screenshot der Freigabe für Gruppen.

Hinweis

Derzeit ist die Freigabe einer Website und ihrer Inhalte für die geschachtelten Sicherheitsgruppen, die Teil der Gruppen mit eingeschränkter Zugriffssteuerung sind, nicht zulässig. Diese Unterstützung wird in der nächsten Releaseiteration hinzugefügt.

Konfigurieren des Links "Weitere Informationen" für die Seite "Zugriffsverweigerungsfehler"

Konfigurieren Sie Ihren Link "Weitere Informationen", um Benutzer zu informieren, denen der Zugriff auf eine OneDrive-Website aufgrund der Richtlinie für die eingeschränkte Websitezugriffssteuerung verweigert wurde. Mit diesem anpassbaren Fehlerlink können Sie Ihren Benutzern weitere Informationen und Anleitungen bereitstellen.

Hinweis

Der Link "Weitere Informationen" ist eine Einstellung auf Mandantenebene, die für alle OneDrive-Websites gilt, für die die Richtlinie für die eingeschränkte Zugriffssteuerung aktiviert ist.

Führen Sie den folgenden Befehl in SharePoint PowerShell aus, um den Link zu konfigurieren:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”

Führen Sie den folgenden Befehl aus, um den Wert des Links abzurufen:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink

Der konfigurierte Link weitere Informationen wird gestartet, wenn der Benutzer hier den Link Weitere Informationen zu den Richtlinien Ihrer organization auswählt.

Screenshot: Link

Einblicke in Richtlinien für eingeschränkten Zugriff auf Websites

Als IT-Administrator können Sie die folgenden Berichte anzeigen, um weitere Einblicke in OneDrive-Websites zu erhalten, die mit einer Richtlinie für den eingeschränkten Zugriff auf Websites geschützt sind:

  • Websites, die durch eine Richtlinie für eingeschränkten Zugriff auf Websites geschützt sind (RACProtectedSites)
  • Details zu Zugriffsverweigerungen aufgrund des eingeschränkten Websitezugriffs (ActionsBlockedByPolicy)

Hinweis

Es kann einige Stunden dauern, jeden Bericht zu generieren.

Bericht zu Websites, die durch Richtlinien für eingeschränkten Zugriff geschützt sind

Sie können die folgenden Befehle in SharePoint PowerShell ausführen, um die Berichte zu generieren, anzuzeigen und herunterzuladen:

Aktion PowerShell-Befehl Beschreibung
Bericht generieren Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Generiert eine Liste von Websites, die durch eine Richtlinie für eingeschränkten Websitezugriff geschützt sind.
Bericht anzeigen Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> Der Bericht zeigt die 100 Websites mit den höchsten Seitenaufrufen an, die durch die Richtlinie geschützt sind.
Bericht herunterladen Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Dieser Befehl muss als Administrator ausgeführt werden. Der heruntergeladene Bericht befindet sich in dem Pfad, unter dem der Befehl ausgeführt wurde.
Prozentsatz der Website, die mit einem Eingeschränkten Websitezugriffsbericht geschützt ist Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary Dieser Bericht zeigt den Prozentsatz der Websites, die durch die Richtlinie geschützt sind, an der Gesamtzahl der Websites an.

Zugriffsverweigerungen aufgrund einer Richtlinie für eingeschränkten Websitezugriff

Sie können die folgenden Befehle ausführen, um Berichte für Zugriffsverweigerungen aufgrund von Berichten über eingeschränkten Websitezugriff zu erstellen, abzurufen und anzuzeigen:

Aktion PowerShell-Befehl Beschreibung
Erstellen eines Berichts zu Zugriffsverweigerungen Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Erstellt einen neuen Bericht zum Abrufen von Zugriffsverweigerungsdetails.
Abrufen des Zugriffsverweigerungsberichts status Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Ruft die status des generierten Berichts ab.
Letzte Zugriffsverweigerung in den letzten 28 Tagen Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Ruft eine Liste der letzten 100 Zugriffsverweigerungen ab, die in den letzten 28 Tagen aufgetreten sind.
Anzeigen der Liste der wichtigsten Benutzer, denen der Zugriff verweigert wurde Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Ruft eine Liste der 100 häufigsten Benutzer ab, die die meisten Zugriffsverweigerungen erhalten haben.
Anzeigen der Liste der wichtigsten Websites, die die meisten Zugriffsverweigerungen erhalten haben Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Ruft eine Liste der 100 websites mit den meisten Zugriffsverweigerungen ab.
Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Standorten Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Zeigt die Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Websites an.

Hinweis

Um bis zu 10.000 Ablehnungen anzuzeigen, müssen Sie die Berichte herunterladen. Führen Sie den Downloadbefehl als Administrator aus, und die heruntergeladenen Berichte befinden sich unter dem Pfad, von dem aus der Befehl ausgeführt wurde.

Überwachung

Überwachungsereignisse sind im Microsoft Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Websitezugriffseinschränkungsaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:

  • Anwenden der Websitezugriffseinschränkung für die Website
  • Entfernen der Websitezugriffseinschränkung für die Website
  • Ändern von Websitezugriffseinschränkungsgruppen für website

Einschränken des SharePoint-Websitezugriffs auf Mitglieder einer Gruppe

Erkenntnisse zur Datenzugriffsgovernance für SharePoint-Websites