Restringir o acesso aos conteúdos do OneDrive de um utilizador a pessoas num grupo
Algumas funcionalidades neste artigo requerem o Microsoft SharePoint Premium – Gestão Avançada do SharePoint
Pode restringir o acesso aos conteúdos do OneDrive de um utilizador individual aos utilizadores num grupo de segurança ou grupo do Microsoft 365 através de uma política de restrição de acesso ao site. Os utilizadores que não estejam no grupo especificado não podem aceder ao conteúdo, mesmo que tenham permissões anteriores ou ligação partilhada.
A política é aplicada com Microsoft Entra grupos de segurança ou grupos do Microsoft 365 que contêm as pessoas que devem poder aceder aos ficheiros nesse OneDrive.
Quando a política é aplicada, as pessoas nos grupos especificados não recebem permissões para quaisquer ficheiros diretamente. O proprietário do OneDrive tem de partilhar o conteúdo como faria normalmente. A política de restrição de acesso ao site impede que qualquer pessoa que não esteja no grupo de segurança ou no grupo do Microsoft 365 aceda aos conteúdos do OneDrive, mesmo que seja partilhado com os mesmos.
As políticas de restrição de acesso são aplicadas quando um utilizador tenta aceder a um ficheiro. Os utilizadores ainda podem ver ficheiros nos resultados da pesquisa se tiverem permissões diretas para o ficheiro, mas não poderão aceder ao ficheiro se não fizerem parte do grupo especificado.
Também pode restringir o acesso ao próprio serviço Do OneDrive a pessoas num grupo de segurança. Para obter mais informações, consulte Restringir o acesso ao OneDrive por grupo de segurança.
Requisitos
A política de restrição de acesso ao site requer o Microsoft SharePoint Premium – Gestão Avançada do SharePoint.
Ativar a restrição de acesso ao site para a sua organização
Tem de ativar a restrição de acesso ao site para a sua organização antes de a poder configurar para o OneDrive de um utilizador.
Para ativar a restrição de acesso ao site para a sua organização no centro de administração do SharePoint:
Expanda Políticas e selecione Controlo de acesso.
Selecione Restrição de acesso ao site.
Selecione Permitir restrição de acesso e, em seguida, selecione Guardar.
Para ativar a restrição de acesso ao site para a sua organização com o PowerShell, execute o seguinte comando:
Set-SPOTenant -EnableRestrictedAccessControl $true
O comando pode demorar até uma hora a entrar em vigor.
Observação
Para utilizadores do Microsoft 365 Multi-Geo, execute este comando separadamente para cada localização geográfica pretendida.
Restringir o acesso aos conteúdos do OneDrive de um utilizador
Cada OneDrive pode ser atribuído a 10 Microsoft Entra segurança ou grupos do Microsoft 365. Assim que um grupo é adicionado, apenas os utilizadores nos grupos têm acesso ao conteúdo nesse OneDrive que foi partilhado com os mesmos. Pode utilizar grupos de segurança dinâmicos se quiser basear a associação a grupos nas propriedades do utilizador.
Importante
O proprietário do OneDrive tem de estar incluído num dos grupos de segurança ou do Microsoft 365 que especificar ou perderá o acesso ao respetivo OneDrive e aos respetivos conteúdos.
Para gerir a restrição de acesso do OneDrive, utilize os seguintes comandos:
| Ação | Comando do PowerShell |
|---|---|
| Ative a restrição de acesso para um determinado OneDrive. (Execute este comando antes de adicionar segurança ou grupos do Microsoft 365.) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Adicionar segurança/ grupo do Microsoft 365 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Editar segurança/ grupo do Microsoft 365 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Ver segurança/grupo do Microsoft 365 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Remover segurança/ grupo do Microsoft 365 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Repor restrição de acesso ao site | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Partilha de sites com a política de acesso restrito a sites
A partilha de sites do OneDrive pode ser bloqueada com utilizadores e grupos que não são permitidos de acordo com a política de controlo de acesso restrito.
A funcionalidade de controlo de partilha está desativada por predefinição. Para a ativar, execute o seguinte comando do PowerShell no Shell de Gerenciamento do SharePoint Online como Administrador:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Partilhar com utilizadores
A partilha só é permitida com utilizadores que façam parte de grupos de controlo de acesso restritos. A partilha será bloqueada com qualquer pessoa fora dos grupos de controlo de acesso restrito, conforme mostrado abaixo:
Partilhar com grupos
A partilha é permitida com a Segurança Microsoft Entra ou os grupos do Microsoft 365 que fazem parte da lista de grupos de controlo de acesso restrito. Assim, não será permitida a partilha com todos os outros grupos, incluindo Todos, exceto utilizadores externos ou grupos do SharePoint.
Observação
Atualmente, a partilha de um site e do respetivo conteúdo não será permitida para os grupos de segurança aninhados que fazem parte dos grupos de controlo de acesso restrito. Este suporte será adicionado na próxima iteração de versão.
Configurar a ligação saiba mais para a página de erro de negação de acesso
Configure a ligação saiba mais para informar os utilizadores a quem foi negado o acesso a um site do OneDrive devido à política de controlo de acesso ao site restrita. Com esta ligação de erro personalizável, pode fornecer mais informações e orientações aos seus utilizadores.
Observação
A ligação saiba mais é uma definição ao nível do inquilino que se aplica a todos os sites do OneDrive que tenham a política de controlo de acesso restrito ativada.
Para configurar a ligação, execute o seguinte comando no SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Para obter o valor da ligação, execute o seguinte comando:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
A ligação saiba mais configurada é iniciada quando o utilizador seleciona a ligação Saiba mais sobre as políticas da sua organização aqui .
Informações restritas da política de acesso ao site
Enquanto administrador de TI, pode ver os seguintes relatórios para obter mais informações sobre os sites do OneDrive protegidos com a política de acesso restrito ao site:
- Sites protegidos por política de acesso restrito a sites (RACProtectedSites)
- Detalhes das negações de acesso devido a acesso restrito ao site (ActionsBlockedByPolicy)
Observação
Pode demorar algumas horas a gerar cada relatório.
Sites protegidos por relatório de política de acesso a sites restritos
Pode executar os seguintes comandos no SharePoint PowerShell para gerar, ver e transferir os relatórios:
| Ação | Comando do PowerShell | Descrição |
|---|---|---|
| Gerar relatório | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Gera uma lista de sites protegidos por política de acesso restrito a sites |
| Ver relatório | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
O relatório mostra os 100 principais sites com as vistas de página mais altas que estão protegidas pela política. |
| Transferir relatório | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Este comando tem de ser executado como administrador. O relatório transferido está localizado no caminho onde o comando foi executado. |
| Percentagem de site protegido com relatório de acesso restrito ao site | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Este relatório mostra a percentagem de sites protegidos pela política do número total de sites |
Negações de acesso devido à política de acesso restrito ao site
Pode executar os seguintes comandos para criar, obter e ver relatórios de negações de acesso devido a relatórios de acesso restrito ao site:
| Ação | Comando do PowerShell | Descrição |
|---|---|---|
| Criar relatório denials de acesso | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Cria um novo relatório para obter detalhes de negação de acesso |
| Obter status de relatório denials de acesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Obtém a status do relatório gerado. |
| Negações de acesso mais recentes nos últimos 28 dias | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Obtém uma lista das 100 negações de acesso mais recentes que ocorreram nos últimos 28 dias |
| Ver lista dos principais utilizadores a quem foi negado o acesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Obtém uma lista dos 100 principais utilizadores que receberam mais negações de acesso |
| Ver lista de sites principais que receberam mais negações de acesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Obtém uma lista dos 100 principais sites com mais negações de acesso |
| Distribuição de denials de acesso entre diferentes tipos de sites | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Mostra a distribuição de denials de acesso em diferentes tipos de sites |
Observação
Para ver até 10 000 negações, tem de transferir os relatórios. Execute o comando de transferência como administrador e os relatórios transferidos estão localizados no caminho a partir do qual o comando foi executado.
Auditoria
Os eventos de auditoria estão disponíveis no portal de conformidade do Microsoft Purview para o ajudar a monitorizar as atividades de restrição de acesso ao site. Os eventos de auditoria são registados para as seguintes atividades:
- Aplicar restrição de acesso ao site para o site
- Remover a restrição de acesso ao site do site
- Alterar grupos de restrição de acesso ao site para o site
Artigos relacionados
Restringir o acesso de sites do SharePoint a membros de um grupo
Informações de governação de acesso a dados para sites do SharePoint