Partilhar via


Restringir o acesso ao site SharePoint com grupos do Microsoft 365 e grupos de segurança Entra

Algumas funcionalidades neste artigo requerem o Microsoft SharePoint Premium – Gestão Avançada do SharePoint

Pode restringir o acesso a sites e conteúdos do SharePoint a utilizadores num grupo específico através de uma política de restrição de acesso a sites. Os utilizadores que não estejam no grupo especificado não podem aceder ao site ou ao respetivo conteúdo, mesmo que tenham permissões anteriores ou uma ligação partilhada. Esta política pode ser utilizada com sites ligados a grupos do Microsoft 365, ligados ao Teams e não ligados a grupos.

As políticas de restrição de acesso ao site são aplicadas quando um utilizador tenta abrir um site ou aceder a um ficheiro. Os utilizadores com permissões diretas para o ficheiro ainda podem ver ficheiros nos resultados da pesquisa. No entanto, não poderão aceder aos ficheiros se não fizerem parte do grupo especificado.

Restringir o acesso ao site através da associação a grupos pode minimizar o risco de partilha excessiva de conteúdos. Para obter informações sobre a partilha de dados, veja Relatórios de governação de acesso a dados.

Pré-requisitos

A política de restrição de acesso ao site requer o Microsoft SharePoint Premium – Gestão Avançada do SharePoint.

Ativar a restrição de acesso ao nível do site para a sua organização

Tem de ativar a restrição de acesso ao nível do site para a sua organização antes de a poder configurar para sites individuais.

Para ativar a restrição de acesso ao nível do site para a sua organização no centro de administração do SharePoint:

  1. Expanda Políticas e selecione Controlo de acesso.

  2. Selecione Restrição de acesso ao nível do site.

  3. Selecione Permitir restrição de acesso e, em seguida, selecione Guardar.

    captura de ecrã da restrição de acesso ao site no centro de administração do SharePoint dashboard.

Para ativar a restrição de acesso ao nível do site para a sua organização com o PowerShell, execute o seguinte comando:

Set-SPOTenant -EnableRestrictedAccessControl $true

O comando pode demorar até uma hora a entrar em vigor

Observação

Para utilizadores do Microsoft 365 Multi-Geo, execute este comando separadamente para cada localização geográfica pretendida.

Restringir o acesso a sites ligados a grupos (Grupos do Microsoft 365 e Teams)

A política de restrição de acesso ao site para sites ligados a grupos restringe o acesso do site do SharePoint aos membros do grupo ou equipa do Microsoft 365 associado ao site.

Para gerir a restrição de acesso ao site para um site ligado a grupos no centro de administração do SharePoint

  1. No centro de administração do SharePoint, expanda Sites e selecione Sites ativos.
  2. Selecione o site que pretende gerir e o painel de detalhes do site é apresentado.
  3. No separador Definições , selecione Editar na secção Acesso restrito ao site .
  4. Selecione a caixa Restringir acesso a este site e selecione Guardar.

Para gerir a restrição de acesso ao site para sites ligados a grupos com o PowerShell, utilize os seguintes comandos:

Ação Comando do PowerShell
Ativar a restrição de acesso ao site para o site ligado ao grupo Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Ver restrição de acesso ao site para o site ligado ao grupo Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl
Desativar a restrição de acesso ao site para o site ligado ao grupo Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false

Observação

Assim que a política estiver ativada para um site, o proprietário do site pode ver os detalhes de como a política de restrição de acesso ao site afeta o site.

Para sites ligados a grupos, a política status e os detalhes do grupo de controlo configurado são apresentados nos painéis Informações e Permissões do Site.

captura de ecrã da página de informações do site para controlo de acesso restrito.

captura de ecrã da página de permissões do site para controlo de acesso restrito.

Restringir o acesso ao site a sites não ligados a grupos

Pode restringir o acesso a sites ligados não agrupados ao especificar grupos de segurança entra ou grupos do Microsoft 365 que contêm as pessoas que devem ter permissão para aceder ao site. Pode configurar até 10 grupos de segurança entra ou grupos do Microsoft 365. Assim que a política for aplicada, é concedido acesso ao site e ao respetivo conteúdo aos utilizadores do grupo especificado que têm permissões de acesso ao site. Pode utilizar grupos de segurança dinâmicos se quiser basear a associação a grupos nas propriedades do utilizador.

Para gerir o acesso do site a um site ligado sem grupo:

  1. No centro de administração do SharePoint, expanda Sites e selecione Sites ativos.

  2. Selecione o site que pretende gerir e o painel de detalhes do site é apresentado.

  3. No separador Definições , selecione Editar na secção Acesso restrito ao site .

  4. Selecione a caixa restringir o acesso ao site SharePoint apenas a utilizadores em grupos especificados marcar.

  5. Adicione ou remova os seus grupos de segurança ou grupos do Microsoft 365 e selecione Guardar.

    Para que a restrição de acesso ao site seja aplicada ao site, tem de adicionar, pelo menos, um grupo à política de restrição de acesso ao site.

    captura de ecrã a mostrar grupos de segurança de restrição de acesso ao site que estão a ser adicionados a sites ligados sem grupo.

Para gerir a restrição de acesso ao site para sites ligados não agrupados com o PowerShell, utilize os seguintes comandos:

Ação Comando do PowerShell
Ativar restrição de acesso ao site Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Adicionar grupo Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Editar grupo Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Ver grupo Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Remover grupo Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Repor restrição de acesso ao site Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Depois de ativar a política para sites de comunicação, a política status e todos os grupos de controlo configurados são apresentados para os proprietários do site no painel Acesso ao site, além dos painéis Informações e Permissões do Site.

captura de ecrã do painel de acesso do site para controlo de acesso restrito.

Sites de canais partilhados e privados

Os sites de canais partilhados e privados são separados do site ligado ao grupo do Microsoft 365 que os canais padrão utilizam. Uma vez que os sites de canais partilhados e privados não estão ligados ao grupo do Microsoft 365, as políticas de restrição de acesso ao site aplicadas à equipa não os afetam. Tem de ativar a restrição de acesso ao site para cada site de canal partilhado ou privado separadamente como sites ligados não agrupados.

Para sites de canais partilhados, apenas os utilizadores internos no inquilino do recurso estão sujeitos a restrições de acesso ao site. Os participantes de canais externos são excluídos da política de restrição de acesso ao site e avaliados apenas de acordo com as permissões de site existentes do site.

Importante

Adicionar pessoas ao grupo de segurança ou ao grupo do Microsoft 365 não dará aos utilizadores acesso ao canal no Teams. Recomenda-se adicionar ou remover os mesmos utilizadores do canal de equipas no Teams e no grupo de segurança ou grupo do Microsoft 365 para que os utilizadores tenham acesso ao Teams e ao SharePoint.

Partilha de sites com a política de acesso restrito a sites

A partilha de sites do SharePoint e respetivos conteúdos pode ser bloqueada com utilizadores e grupos que não são permitidos de acordo com a política de controlo de acesso restrito.

A funcionalidade de controlo de partilha está desativada por predefinição. Para a ativar, execute o seguinte comando do PowerShell na Shell de Gestão do SharePoint Online como Administrador:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false 

Partilhar com utilizadores

A partilha só é permitida com utilizadores que façam parte de grupos de controlo de acesso restritos. A partilha será bloqueada com qualquer pessoa fora dos grupos de controlo de acesso restrito, conforme mostrado abaixo:

A captura de ecrã da partilha com os utilizadores.

Partilhar com grupos

A partilha é permitida com Microsoft Entra grupos de Segurança ou M365 que fazem parte da lista de grupos de controlo de acesso restrito. Assim, não será permitida a partilha com todos os outros grupos, incluindo Todos, exceto utilizadores externos ou grupos do SharePoint.

A captura de ecrã da partilha com grupos.

Observação

Atualmente, a partilha de um site e do respetivo conteúdo não será permitida para os grupos de segurança aninhados que fazem parte dos grupos de controlo de acesso restrito. Este suporte será adicionado na próxima iteração de versão.

Configure a ligação saiba mais para informar os utilizadores a quem foi negado o acesso a um site do SharePoint devido à política de controlo de acesso ao site restrita. Com esta ligação de erro personalizável, pode fornecer mais informações e orientações aos seus utilizadores.

Observação

A ligação saiba mais é uma definição ao nível do inquilino que se aplica a todos os sites que tenham a política de controlo de acesso restrito ativada.

Para configurar a ligação, execute o seguinte comando no SharePoint PowerShell:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>” 

Para obter o valor da ligação, execute o seguinte comando:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink 

A ligação saiba mais configurada é iniciada quando o utilizador seleciona a ligação Saiba mais sobre as políticas da sua organização aqui .

Captura de ecrã que mostra a ligação saiba mais para o controlo de acesso restrito

Informações restritas da política de acesso ao site

Enquanto administrador de TI, pode ver os seguintes relatórios para obter mais informações sobre sites do SharePoint protegidos com política de acesso restrito a sites:

  • Sites protegidos por política de acesso restrito a sites (RACProtectedSites)
  • Detalhes das negações de acesso devido a acesso restrito ao site (ActionsBlockedByPolicy)

Observação

Pode demorar algumas horas a gerar cada relatório.

Sites protegidos por relatório de política de acesso a sites restritos

Pode executar os seguintes comandos no SharePoint PowerShell para gerar, ver e transferir os relatórios:

Ação Comando do PowerShell Descrição
Gerar relatório Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Gera uma lista de sites protegidos por política de acesso restrito a sites
Ver relatório Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> O relatório mostra os 100 principais sites com as vistas de página mais altas que estão protegidas pela política.
Transferir relatório Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Este comando tem de ser executado como administrador. O relatório transferido está localizado no caminho onde o comando foi executado.
Percentagem de site protegido com relatório de acesso restrito ao site Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary Este relatório mostra a percentagem de sites protegidos pela política do número total de sites

Negações de acesso devido à política de acesso restrito ao site

Pode executar os seguintes comandos para criar, obter e ver relatórios de negações de acesso devido a relatórios de acesso restrito ao site:

Ação Comando do PowerShell Descrição
Criar relatório denials de acesso Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Cria um novo relatório para obter detalhes de negação de acesso
Obter status de relatório denials de acesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Obtém a status do relatório gerado.
Negações de acesso mais recentes nos últimos 28 dias Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Obtém uma lista das 100 negações de acesso mais recentes que ocorreram nos últimos 28 dias
Ver lista dos principais utilizadores a quem foi negado o acesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Obtém uma lista dos 100 principais utilizadores que receberam mais negações de acesso
Ver lista de sites principais que receberam mais negações de acesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Obtém uma lista dos 100 principais sites com mais negações de acesso
Distribuição de denials de acesso entre diferentes tipos de sites Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Mostra a distribuição de denials de acesso em diferentes tipos de sites

Observação

Para ver até 10 000 negações, tem de transferir os relatórios. Execute o comando de transferência como administrador e os relatórios transferidos estarão localizados no caminho a partir do qual o comando foi executado.

Auditoria

Os eventos de auditoria estão disponíveis no portal de conformidade do Purview para o ajudar a monitorizar as atividades de restrição de acesso ao site. Os eventos de auditoria são registados para as seguintes atividades:

  • Aplicar restrição de acesso ao site para o site
  • Remover a restrição de acesso ao site do site
  • Alterar grupos de restrição de acesso ao site para o site

Política de acesso condicional para sites do SharePoint e OneDrive

Relatórios de Governação de Acesso a Dados