Поделиться через

Ограничение доступа к сайту SharePoint с помощью групп безопасности Microsoft 365 и Entra

  • Статья

Для некоторых функций, приведенных в этой статье, требуется microsoft SharePoint премиум — Расширенное управление SharePoint

Доступ к сайтам и содержимому SharePoint можно ограничить для пользователей в определенной группе с помощью политики ограничения доступа к сайтам. Пользователи, не в указанной группе, не могут получить доступ к сайту или его содержимому, даже если у них были предыдущие разрешения или общая ссылка. Эту политику можно использовать с сайтами, подключенными к группам Microsoft 365, подключенными к Teams и не связанными с группами сайтами.

Политики ограничения доступа к сайту применяются, когда пользователь пытается открыть сайт или получить доступ к файлу. Пользователи с прямыми разрешениями на доступ к файлу по-прежнему могут просматривать файлы в результатах поиска. Однако они не могут получить доступ к файлам, если они не входят в указанную группу.

Ограничение доступа к сайту через членство в группах может свести к минимуму риск чрезмерного совместного использования содержимого. Сведения об общем доступе к данным см. в статье Отчеты об управлении доступом к данным.

Предварительные условия

Для политики ограничения доступа к сайту требуется Microsoft SharePoint премиум — Расширенное управление SharePoint.

Включение ограничения доступа на уровне сайта для организации

Прежде чем настроить его для отдельных сайтов, необходимо включить ограничение доступа на уровне сайта для вашей организации.

Чтобы включить ограничение доступа на уровне сайта для организации в Центре администрирования SharePoint, выполните следующие действия:

  1. Разверните узел Политики и выберите Управление доступом.

  2. Выберите Ограничение доступа на уровне сайта.

  3. Выберите Разрешить ограничение доступа , а затем нажмите кнопку Сохранить.

    Снимок экрана: ограничение доступа к сайту на панели мониторинга Центра администрирования SharePoint.

Чтобы включить ограничение доступа на уровне сайта для организации с помощью PowerShell, выполните следующую команду:

Set-SPOTenant -EnableRestrictedAccessControl $true

Выполнение команды может занять до одного часа.

Примечание.

Для пользователей Microsoft 365 с несколькими регионами выполните эту команду отдельно для каждого требуемого географического расположения.

Ограничение доступа к сайтам, подключенным к группам (Группы Microsoft 365 и Teams)

Политика ограничения доступа к сайту для сайтов, подключенных к группам, ограничивает доступ к сайту SharePoint членам группы Или группы Microsoft 365, связанной с сайтом.

Управление ограничением доступа к сайту для сайта, подключенного к группе, в Центре администрирования SharePoint

  1. В Центре администрирования SharePoint разверните узел Сайты и выберите Активные сайты.
  2. Выберите сайт, которым вы хотите управлять, и откроется панель сведений о сайте.
  3. На вкладке Параметры выберите Изменить в разделе Ограниченный доступ к сайту .
  4. Установите флажок Ограничить доступ к этому сайту и нажмите кнопку Сохранить.

Чтобы управлять ограничением доступа к сайтам для сайтов, подключенных к группам, с помощью PowerShell используйте следующие команды:

Действие Команда PowerShell
Включение ограничения доступа к сайту для сайта, подключенного к группе Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Просмотр ограничения доступа к сайту для сайта, подключенного к группе Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl
Отключение ограничения доступа к сайту для сайта, подключенного к группе Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false

Примечание.

После включения политики для сайта владелец сайта может просмотреть сведения о том, как политика ограничения доступа сайта влияет на сайт.

Для сайтов, подключенных к группе, состояние политики и сведения о настроенной группе управления отображаются на панели Сведения о сайте и разрешения .

Снимок экрана: страница сведений о сайте для управления ограниченным доступом.

Снимок экрана: страница разрешений сайта для управления ограниченным доступом.

Ограничение доступа к сайтам, не подключенным к группам

Вы можете ограничить доступ к сайтам, не подключенным к группам, указав группы безопасности Entra или группы Microsoft 365, содержащие пользователей, которым должен быть разрешен доступ к сайту. Вы можете настроить до 10 групп безопасности Entra или Microsoft 365. После применения политики пользователи в указанной группе, имеющие разрешения на доступ к сайту, получают доступ к сайту и его содержимому. Динамические группы безопасности можно использовать, если вы хотите, чтобы членство в группах основывалось на свойствах пользователей.

Чтобы управлять доступом к сайту, не связанному с группой, выполните приведенные далее действия.

  1. В Центре администрирования SharePoint разверните узел Сайты и выберите Активные сайты.

  2. Выберите сайт, которым вы хотите управлять, и откроется панель сведений о сайте.

  3. На вкладке Параметры выберите Изменить в разделе Ограниченный доступ к сайту .

  4. Установите флажок Ограничить доступ к сайту SharePoint только пользователям в указанных группах проверка.

  5. Добавьте или удалите группы безопасности или группы Microsoft 365 и нажмите кнопку Сохранить.

    Чтобы к сайту было применено ограничение доступа к сайту, необходимо добавить хотя бы одну группу в политику ограничения доступа к сайту.

    Снимок экрана: группы безопасности ограничения доступа к сайтам, добавляемые на сайты, не подключенные к группам.

Чтобы управлять ограничением доступа к сайтам для сайтов, не подключенных к группам, с помощью PowerShell используйте следующие команды:

Действие Команда PowerShell
Включение ограничения доступа к сайту Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Добавление группы Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Изменить группу Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Просмотр группы Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Удаление группы Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Сброс ограничения доступа к сайту Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

После включения политики для коммуникационных сайтов состояние политики и все настроенные группы управления отображаются для владельцев сайтов на панели доступ к сайту в дополнение к панелям Сведений о сайте и разрешений .

Снимок экрана: панель доступа к сайту для управления ограниченным доступом.

Сайты общих и частных каналов

Сайты общих и частных каналов отделены от сайта, подключенного к группе Microsoft 365, который используется стандартными каналами. Так как сайты общих и частных каналов не подключены к группе Microsoft 365, политики ограничения доступа к сайтам, применяемые к команде, не влияют на них. Необходимо включить ограничение доступа к сайтам для каждого сайта общего или частного канала отдельно как для сайтов, не подключенных к группам.

Для сайтов общих каналов только внутренние пользователи в клиенте ресурсов распространяются на доступ к сайту. Участники внешних каналов исключаются из политики ограничения доступа к сайту и оцениваются только по существующим разрешениям сайта.

Важно!

Добавление пользователей в группу безопасности или Группу Microsoft 365 не предоставит пользователям доступ к каналу в Teams. Рекомендуется добавлять или удалять одни и те же пользователи канала Teams в Teams, а также группу безопасности или группу Microsoft 365, чтобы пользователи имели доступ к Teams и SharePoint.

Общий доступ к сайтам с помощью политики ограниченного доступа к сайтам

Общий доступ к сайтам SharePoint и их содержимому может быть заблокирован пользователями и группами, которым запрещено в рамках политики управления ограниченным доступом.

Функция управления общим доступом отключена по умолчанию. Чтобы включить его, выполните следующую команду PowerShell в командной консоли SharePoint Online от имени администратора:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false

Общий доступ с пользователями

Общий доступ разрешен только пользователям, которые входят в группы управления ограниченным доступом. Общий доступ будет заблокирован для всех пользователей, не входящих в группы управления ограниченным доступом, как показано ниже.

Снимок экрана: общий доступ с пользователями.

Общий доступ с группами

Общий доступ разрешен с группами Microsoft Entra Security или M365, которые входят в список групп управления ограниченным доступом. Таким образом, общий доступ ко всем другим группам, включая Все, кроме внешних пользователей или групп SharePoint, не будет разрешен.

Снимок экрана: общий доступ с группами.

Примечание.

В настоящее время общий доступ к сайту и его содержимому не будет разрешен для вложенных групп безопасности, входящих в группы управления ограниченным доступом. Эта поддержка будет добавлена в следующей итерации выпуска.

Настройка ссылки на дополнительные сведения для страницы ошибки отказа в доступе

Настройте ссылку learn more для информирования пользователей, которым было отказано в доступе к сайту SharePoint из-за политики ограниченного управления доступом к сайту. С помощью этой настраиваемой ссылки на ошибку можно предоставить пользователям дополнительные сведения и рекомендации.

Примечание.

Ссылка на дополнительные сведения — это параметр на уровне клиента, который применяется ко всем сайтам с включенной политикой ограниченного управления доступом.

Чтобы настроить ссылку, выполните следующую команду в SharePoint PowerShell:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”

Чтобы получить значение ссылки, выполните следующую команду:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink

Настроенная ссылка learn more запускается, когда пользователь выбирает ссылку Узнать больше о политиках вашей организации здесь .

Снимок экрана: ссылка

Аналитика политики ограниченного доступа к сайту

Ит-администратор может просмотреть следующие отчеты, чтобы получить дополнительные сведения о сайтах SharePoint, защищенных политикой ограниченного доступа к сайтам:

  • Сайты, защищенные политикой ограниченного доступа к сайту (RACProtectedSites)
  • Сведения об отказе в доступе из-за ограниченного доступа к сайту (ActionsBlockedByPolicy)

Примечание.

Создание каждого отчета может занять несколько часов.

Отчет о сайтах, защищенных политикой ограниченного доступа к сайтам

Для создания, просмотра и скачивания отчетов в SharePoint PowerShell можно выполнить следующие команды:

Действие Команда PowerShell Описание
Создание отчета Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Создает список сайтов, защищенных политикой ограниченного доступа к сайтам.
Просмотр отчета Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> В отчете отображаются первые 100 сайтов с самыми высокими представлениями страниц, защищенными политикой.
Скачивание отчета Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Эту команду необходимо выполнить от имени администратора. Скачанный отчет находится по пути, по которому была выполнена команда.
Отчет о процентах сайтов, защищенных с помощью ограниченного доступа к сайту Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary В этом отчете показан процент сайтов, защищенных политикой, от общего числа сайтов

Отказы в доступе из-за политики ограниченного доступа к сайту

Чтобы создать, получить и просмотреть отчет об отказе в доступе из-за ограниченного доступа, можно выполнить следующие команды:

Действие Команда PowerShell Описание
Создание отчета об отказе в доступе Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Создает новый отчет для получения сведений об отказе в доступе
Состояние отчета об отказе в выборке доступа Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Получает состояние созданного отчета.
Последние отказы в доступе за последние 28 дней Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Возвращает список последних 100 отказов в доступе, произошедших за последние 28 дней.
Просмотр списка основных пользователей, которым было отказано в доступе Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Возвращает список из 100 основных пользователей, которые получили наибольшее количество отказов в доступе
Просмотр списка основных сайтов, на которых больше всего отказано в доступе Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Возвращает список из 100 лучших сайтов, на которых было больше всего отказов в доступе
Распределение отказов в доступе между различными типами сайтов Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Показывает распределение отказов в доступе между различными типами сайтов

Примечание.

Чтобы просмотреть до 10 000 отказов, необходимо скачать отчеты. Выполните команду загрузки от имени администратора, и скачанные отчеты будут находиться по пути, по которому выполнялась команда.

Аудит

События аудита доступны на портале соответствия требованиям Purview, чтобы помочь вам отслеживать действия ограничения доступа к сайту. События аудита регистрируются для следующих действий:

  • Применение ограничения доступа к сайту
  • Удаление ограничения доступа к сайту для сайта
  • Изменение групп ограничений доступа к сайту для сайта

Политика условного доступа для сайтов SharePoint и OneDrive

Отчеты об управлении доступом к данным