Ограничение доступа к содержимому OneDrive пользователя для пользователей в группе
Для некоторых функций, приведенных в этой статье, требуется microsoft SharePoint премиум — Расширенное управление SharePoint
Доступ к содержимому OneDrive отдельного пользователя можно ограничить для пользователей в группе безопасности или группе Microsoft 365 с помощью политики ограничения доступа к сайту. Пользователи, не в указанной группе, не могут получить доступ к содержимому, даже если у них были предыдущие разрешения или общая ссылка.
Политика применяется с помощью Microsoft Entra групп безопасности или групп Microsoft 365, содержащих людей, которые должны иметь доступ к файлам в этом OneDrive.
При применении политики пользователям в указанных группах не предоставляются разрешения на доступ к файлам напрямую. Владелец OneDrive должен предоставить общий доступ к содержимому, как и обычно. Политика ограничения доступа к сайтам запрещает всем, кто не входит в группу безопасности или группу Microsoft 365, получать доступ к содержимому OneDrive, даже если оно им предоставлено.
Политики ограничения доступа применяются, когда пользователь пытается получить доступ к файлу. Пользователи по-прежнему могут видеть файлы в результатах поиска, если у них есть прямые разрешения на файл, но они не смогут получить доступ к файлу, если они не входят в указанную группу.
Вы также можете ограничить доступ к самой службе OneDrive для пользователей в группе безопасности. Дополнительные сведения см. в статье Ограничение доступа к OneDrive по группе безопасности.
Требования
Для политики ограничения доступа к сайту требуется Microsoft SharePoint премиум — Расширенное управление SharePoint.
Включение ограничения доступа к сайту для организации
Прежде чем настроить его для OneDrive пользователя, необходимо включить ограничение на доступ к сайтам для своей организации.
Чтобы включить ограничение доступа к сайтам для вашей организации в Центре администрирования SharePoint, выполните следующие действия:
Разверните узел Политики и выберите Управление доступом.
Выберите Ограничение доступа к сайту.
Выберите Разрешить ограничение доступа , а затем нажмите кнопку Сохранить.
Чтобы включить ограничение доступа к сайту для организации с помощью PowerShell, выполните следующую команду:
Set-SPOTenant -EnableRestrictedAccessControl $true
Выполнение команды может занять до одного часа.
Примечание.
Для пользователей Microsoft 365 с несколькими регионами выполните эту команду отдельно для каждого требуемого географического расположения.
Ограничение доступа к содержимому OneDrive пользователя
Каждому oneDrive можно назначить до 10 Microsoft Entra групп безопасности или Microsoft 365. После добавления группы только пользователи в группах получают доступ к содержимому в этом OneDrive, к которому им предоставлен общий доступ. Динамические группы безопасности можно использовать, если вы хотите, чтобы членство в группах основывалось на свойствах пользователей.
Важно!
Владелец OneDrive должен быть включен в одну из указанных вами групп безопасности или Microsoft 365, иначе он потеряет доступ к oneDrive и его содержимому.
Чтобы управлять ограничением доступа для OneDrive, используйте следующие команды:
| Действие | Команда PowerShell |
|---|---|
| Включите ограничение доступа для определенного OneDrive. (Выполните эту команду перед добавлением групп безопасности или Microsoft 365.) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Добавление безопасности или группы Microsoft 365 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Изменение безопасности или группы Microsoft 365 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Просмотр группы безопасности и Microsoft 365 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Удаление безопасности или группы Microsoft 365 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Сброс ограничения доступа к сайту | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Общий доступ к сайтам с помощью политики ограниченного доступа к сайтам
Общий доступ к сайтам OneDrive может быть заблокирован пользователями и группами, которым запрещено в рамках политики управления ограниченным доступом.
Функция управления общим доступом отключена по умолчанию. Чтобы включить его, выполните следующую команду PowerShell в командная консоль SharePoint Online от имени администратора:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Общий доступ с пользователями
Общий доступ разрешен только пользователям, которые входят в группы управления ограниченным доступом. Общий доступ будет заблокирован для всех пользователей, не входящих в группы управления ограниченным доступом, как показано ниже.
Общий доступ с группами
Общий доступ разрешен с группами Microsoft Entra Security или Microsoft 365, которые входят в список групп управления ограниченным доступом. Таким образом, общий доступ ко всем другим группам, включая Все, кроме внешних пользователей или групп SharePoint, не будет разрешен.
Примечание.
В настоящее время общий доступ к сайту и его содержимому не будет разрешен для вложенных групп безопасности, входящих в группы управления ограниченным доступом. Эта поддержка будет добавлена в следующей итерации выпуска.
Настройка ссылки на дополнительные сведения для страницы ошибки отказа в доступе
Настройте ссылку learn more для информирования пользователей, которым было отказано в доступе к сайту OneDrive из-за политики ограниченного управления доступом к сайту. С помощью этой настраиваемой ссылки на ошибку можно предоставить пользователям дополнительные сведения и рекомендации.
Примечание.
Ссылка на дополнительные сведения — это параметр на уровне клиента, который применяется ко всем сайтам OneDrive, на которых включена политика ограниченного управления доступом.
Чтобы настроить ссылку, выполните следующую команду в SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Чтобы получить значение ссылки, выполните следующую команду:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Настроенная ссылка learn more запускается, когда пользователь выбирает ссылку Узнать больше о политиках вашей организации здесь .
Аналитика политики ограниченного доступа к сайту
Ит-администратор может просмотреть следующие отчеты, чтобы получить дополнительные сведения о сайтах OneDrive, защищенных политикой ограниченного доступа к сайтам:
- Сайты, защищенные политикой ограниченного доступа к сайту (RACProtectedSites)
- Сведения об отказе в доступе из-за ограниченного доступа к сайту (ActionsBlockedByPolicy)
Примечание.
Создание каждого отчета может занять несколько часов.
Отчет о сайтах, защищенных политикой ограниченного доступа к сайтам
Для создания, просмотра и скачивания отчетов в SharePoint PowerShell можно выполнить следующие команды:
| Действие | Команда PowerShell | Описание |
|---|---|---|
| Создание отчета | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Создает список сайтов, защищенных политикой ограниченного доступа к сайтам. |
| Просмотр отчета | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
В отчете отображаются первые 100 сайтов с самыми высокими представлениями страниц, защищенными политикой. |
| Скачивание отчета | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Эту команду необходимо выполнить от имени администратора. Скачанный отчет находится по пути, по которому была выполнена команда. |
| Отчет о процентах сайтов, защищенных с помощью ограниченного доступа к сайту | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
В этом отчете показан процент сайтов, защищенных политикой, от общего числа сайтов |
Отказы в доступе из-за политики ограниченного доступа к сайту
Чтобы создать, получить и просмотреть отчет об отказе в доступе из-за ограниченного доступа, можно выполнить следующие команды:
| Действие | Команда PowerShell | Описание |
|---|---|---|
| Создание отчета об отказе в доступе | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Создает новый отчет для получения сведений об отказе в доступе |
| Состояние отчета об отказе в выборке доступа | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Получает состояние созданного отчета. |
| Последние отказы в доступе за последние 28 дней | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Возвращает список последних 100 отказов в доступе, произошедших за последние 28 дней. |
| Просмотр списка основных пользователей, которым было отказано в доступе | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Возвращает список из 100 основных пользователей, которые получили наибольшее количество отказов в доступе |
| Просмотр списка основных сайтов, на которых больше всего отказано в доступе | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Возвращает список из 100 лучших сайтов, на которых было больше всего отказов в доступе |
| Распределение отказов в доступе между различными типами сайтов | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Показывает распределение отказов в доступе между различными типами сайтов |
Примечание.
Чтобы просмотреть до 10 000 отказов, необходимо скачать отчеты. Выполните команду загрузки от имени администратора, и скачанные отчеты находятся по пути, по которому была выполнена команда.
Аудит
События аудита доступны в Портал соответствия требованиям Microsoft Purview, чтобы помочь отслеживать действия ограничения доступа к сайту. События аудита регистрируются для следующих действий:
- Применение ограничения доступа к сайту
- Удаление ограничения доступа к сайту для сайта
- Изменение групп ограничений доступа к сайту для сайта
Статьи по теме
Ограничение доступа к сайту SharePoint для членов группы
Аналитика управления доступом к данным для сайтов SharePoint