Limitare l'accesso al contenuto di OneDrive di un utente agli utenti di un gruppo
Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint
È possibile limitare l'accesso al contenuto di OneDrive di un singolo utente agli utenti di un gruppo di sicurezza usando un criterio di restrizione dell'accesso di OneDrive. Gli utenti che non fanno parte del gruppo specificato non possono accedere al contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso.
I criteri vengono applicati usando Microsoft Entra gruppi di sicurezza che contengono le persone che devono essere in grado di accedere ai file in tale OneDrive.
Quando vengono applicati i criteri, agli utenti del gruppo di sicurezza non vengono concesse direttamente le autorizzazioni per i file. Il proprietario di OneDrive deve condividere il contenuto come farebbe normalmente. I criteri di restrizione dell'accesso di OneDrive impediscono a chiunque non sia nel gruppo di sicurezza di accedere al contenuto di OneDrive anche se è condiviso con loro.
I criteri di restrizione di accesso vengono applicati quando un utente tenta di accedere a un file. Gli utenti possono comunque visualizzare i file nei risultati della ricerca se hanno autorizzazioni dirette per il file, ma non potranno accedere al file se non fanno parte del gruppo di sicurezza specificato.
È anche possibile limitare l'accesso al servizio OneDrive stesso agli utenti di un gruppo di sicurezza. Per altre informazioni, vedere Limitare l'accesso a OneDrive per gruppo di sicurezza.
Requisiti
I criteri di restrizione di accesso di OneDrive richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint.
Abilitare la restrizione di accesso al sito per l'organizzazione
È necessario abilitare la restrizione di accesso al sito per l'organizzazione prima di poterla configurare per OneDrive di un utente.
Per abilitare la restrizione di accesso al sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint:
Espandere Criteri e selezionare Controllo di accesso.
Selezionare Restrizione di accesso al sito.
Selezionare Consenti restrizione di accesso e quindi selezionare Salva.
Per abilitare la restrizione di accesso al sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:
Set-SPOTenant -EnableRestrictedAccessControl $true
L'applicazione del comando potrebbe richiedere fino a un'ora.
Nota
Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.
Limitare l'accesso al contenuto di OneDrive di un utente
A ogni OneDrive possono essere assegnati fino a 10 gruppi di sicurezza Microsoft Entra. Dopo l'aggiunta di un gruppo di sicurezza, solo gli utenti dei gruppi hanno accesso al contenuto di OneDrive che è stato condiviso con loro. È possibile usare i gruppi di sicurezza dinamici se si vuole basare l'appartenenza ai gruppi sulle proprietà utente.
Importante
Il proprietario di OneDrive deve essere incluso in uno dei gruppi di sicurezza specificati o perderà l'accesso a OneDrive e al relativo contenuto.
Per gestire la restrizione di accesso per OneDrive, usare i comandi seguenti:
Azione | Comando PowerShell |
---|---|
Abilitare la restrizione di accesso per un determinato OneDrive. Eseguire questo comando prima di aggiungere gruppi di sicurezza. | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
Aggiungere un gruppo di sicurezza | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
Modificare il gruppo di sicurezza | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
Visualizzare il gruppo di sicurezza | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
Rimuovere il gruppo di sicurezza | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
Reimpostare la restrizione di accesso al sito | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Condivisione di siti con criteri di accesso al sito con restrizioni
La condivisione dei siti di SharePoint e del relativo contenuto può essere bloccata con utenti e gruppi non consentiti in base ai criteri di controllo di accesso con restrizioni.
La funzionalità di controllo di condivisione è disabilitata per impostazione predefinita. Per abilitarlo, eseguire il comando di PowerShell seguente in SharePoint Online Management Shell come amministratore:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Condivisione con gli utenti
La condivisione è consentita solo con gli utenti che fanno parte di gruppi di controllo di accesso con restrizioni. La condivisione verrà bloccata con tutti gli utenti esterni ai gruppi di controllo di accesso con restrizioni, come illustrato di seguito:
Condivisione con gruppi
La condivisione è consentita con Microsoft Entra Security o i gruppi di Microsoft 365 che fanno parte dell'elenco dei gruppi di controllo di accesso con restrizioni. Pertanto, la condivisione con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint, non sarà consentita.
Nota
Al momento, la condivisione di un sito e del relativo contenuto non sarà consentita per i gruppi di sicurezza annidati che fanno parte dei gruppi di controllo di accesso con restrizioni. Questo supporto verrà aggiunto nell'iterazione della versione successiva.
Configurare il collegamento per altre informazioni per la pagina degli errori di negazione dell'accesso
Configurare il collegamento altre informazioni per informare gli utenti a cui è stato negato l'accesso a un sito di SharePoint a causa dei criteri di controllo di accesso al sito con restrizioni. Con questo collegamento di errore personalizzabile, è possibile fornire altre informazioni e indicazioni agli utenti.
Nota
Il collegamento Altre informazioni è un'impostazione a livello di tenant che si applica a tutti i siti in cui sono abilitati criteri di controllo di accesso con restrizioni.
Per configurare il collegamento, eseguire il comando seguente in SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Per recuperare il valore del collegamento, eseguire il comando seguente:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Il collegamento per altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .
Informazioni dettagliate sui criteri di accesso al sito con restrizioni
In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere informazioni più dettagliate sui siti di SharePoint protetti con criteri di accesso al sito con restrizioni:
- Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
- Dettagli delle negazioni di accesso dovute all'accesso limitato al sito (ActionsBlockedByPolicy)
Nota
La generazione di ogni report può richiedere alcune ore.
Report dei siti protetti da criteri di accesso ai siti con restrizioni
È possibile eseguire i comandi seguenti in SharePoint PowerShell per generare, visualizzare e scaricare i report:
Azione | Comando PowerShell | Descrizione |
---|---|---|
Generare report | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Genera un elenco di siti protetti da criteri di accesso ai siti con restrizioni |
Visualizzare il report | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Il report mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri. |
Scaricare il report | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Questo comando deve essere eseguito come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando. |
Percentuale di siti protetti con report di accesso al sito con restrizioni | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti |
Access denials a causa di criteri di accesso al sito con restrizioni
È possibile eseguire i comandi seguenti per creare, recuperare e visualizzare report per attacchi denial di accesso a causa di report di accesso al sito con restrizioni:
Azione | Comando PowerShell | Descrizione |
---|---|---|
Creare un report access denials | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crea un nuovo report per il recupero dei dettagli di negazione di accesso |
Recuperare lo stato del report access denials | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Recupera lo stato del report generato. |
Negazioni di accesso più recenti negli ultimi 28 giorni | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Ottiene un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni |
Visualizzare l'elenco dei principali utenti a cui è stato negato l'accesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Ottiene un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di access denial |
Visualizzare l'elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Ottiene un elenco dei primi 100 siti con il maggior numero di access denial |
Distribuzione di negazioni di accesso tra diversi tipi di siti | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Mostra la distribuzione di access denial tra diversi tipi di siti |
Nota
Per visualizzare fino a 10.000 negazioni, è necessario scaricare i report. Eseguire il comando di download come amministratore e i report scaricati si trovano nel percorso da cui è stato eseguito il comando.
Controllo
Gli eventi di controllo sono disponibili nella Portale di conformità di Microsoft Purview per monitorare le attività di restrizione dell'accesso al sito. Gli eventi di controllo vengono registrati per le attività seguenti:
- Applicazione della restrizione di accesso al sito per il sito
- Rimozione della restrizione di accesso al sito per il sito
- Modifica dei gruppi di restrizioni di accesso al sito per il sito
Articoli correlati
Limitare l'accesso al sito di SharePoint ai membri di un gruppo
Informazioni dettagliate sulla governance dell'accesso ai dati per i siti di SharePoint