将用户的 OneDrive 内容的访问权限限制为组中的人员
本文中的某些功能需要Microsoft SharePoint 高级版 - SharePoint 高级管理
可以使用网站访问限制策略,将单个用户的 OneDrive 内容的访问限制为安全组或 Microsoft 365 组中的用户。 非指定组中的用户无法访问内容,即使他们以前具有权限或共享链接也是如此。
使用Microsoft Entra安全组或Microsoft 365 个组应用策略,这些组包含应该能够访问该 OneDrive 中的文件的人员。
应用策略时,不会直接向指定组中的人员授予对任何文件的权限。 OneDrive 所有者必须像平常一样共享内容。 网站访问限制策略会阻止安全组或 Microsoft 365 组中的任何人访问 OneDrive 内容,即使内容是与他们共享的。
当用户尝试访问文件时,将应用访问限制策略。 如果用户对文件具有直接权限,则仍然可以在搜索结果中查看文件,但如果他们不是指定组的一部分,他们将无法访问该文件。
还可以将 OneDrive 服务本身的访问权限限制为安全组中的人员。 有关详细信息,请参阅 按安全组限制 OneDrive 访问。
要求
网站访问限制策略需要Microsoft SharePoint 高级版 - SharePoint 高级管理。
为组织启用站点访问限制
必须先为组织启用站点访问限制,然后才能为用户的 OneDrive 配置站点访问限制。
若要在 SharePoint 管理中心中为组织启用网站访问限制,请执行以下作:
展开 “策略 ”,然后选择“ 访问控制”。
选择“ 站点访问限制”。
选择 “允许访问限制 ”,然后选择“ 保存”。
若要使用 PowerShell 为组织启用站点访问限制,请运行以下命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要长达一小时才能生效。
注意
对于 Microsoft 365 多地理位置用户,请为每个所需的地理位置单独运行此命令。
限制对用户的 OneDrive 内容的访问
每个 OneDrive 最多可以分配 10 个Microsoft Entra安全性或Microsoft 365 个组。 添加组后,只有组中的用户有权访问已与他们共享的 OneDrive 中的内容。 如果要将组成员身份基于用户属性,则可以使用 动态安全组 。
重要
OneDrive 的所有者必须包含在你指定的安全或Microsoft 365 组中,否则他们将失去对其 OneDrive 及其内容的访问权限。
若要管理 OneDrive 的访问限制,请使用以下命令:
| 操作 | PowerShell 命令 |
|---|---|
| 为给定的 OneDrive 启用访问限制。 (在添加安全性或Microsoft 365 个组之前运行此命令。) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 添加 security/Microsoft 365 组 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 编辑安全性/Microsoft 365 组 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 查看安全性/Microsoft 365 组 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 删除安全/Microsoft 365 组 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重置站点访问限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
使用受限网站访问策略共享网站
根据受限访问控制策略,不允许用户和组共享 OneDrive 网站。
默认情况下,共享控件功能处于禁用状态。 若要启用它,请以管理员身份在 SharePoint Online 命令行管理程序 中运行以下 PowerShell 命令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
与用户共享
仅允许属于受限访问控制组的用户共享。 将阻止与受限访问控制组以外的任何人共享,如下所示:
与组共享
允许共享Microsoft Entra安全或Microsoft 365 个组,这些组是受限访问控制组列表的一部分。 因此,不允许与除外部用户或 SharePoint 组以外的所有其他组(包括所有人)共享。
注意
目前,作为受限访问控制组一部分的嵌套安全组不允许共享网站及其内容。 将在下一个版本迭代中添加此支持。
配置访问拒绝错误页的“了解详细信息”链接
配置“了解详细信息”链接,以通知因受限制的站点访问控制策略而被拒绝访问 OneDrive 站点的用户。 通过此可自定义的错误链接,可以为用户提供更多信息和指导。
注意
“了解详细信息”链接是一个租户级设置,适用于启用了受限访问控制策略的所有 OneDrive 站点。
若要配置链接,请在 SharePoint PowerShell 中运行以下命令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
若要提取链接的值,请运行以下命令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
当用户选择“ 在此处详细了解组织策略 ”链接时,将启动配置的“了解详细信息”链接。
受限站点访问策略见解
作为 IT 管理员,可以查看以下报告,深入了解受限制站点访问策略保护的 OneDrive 站点:
- 受受限站点访问策略 (RACProtectedSites) 保护的网站
- 由于站点访问受限而拒绝访问的详细信息 (ActionsBlockedByPolicy)
注意
生成每个报表可能需要几个小时。
受限制站点访问策略保护的网站报告
可以在 SharePoint PowerShell 中运行以下命令,以生成、查看和下载报表:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 生成报告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
生成受限制站点访问策略保护的站点列表 |
| 查看报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
报表显示受策略保护的页面浏览量最高的前 100 个网站。 |
| 下载报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此命令必须以管理员身份运行。 下载的报表位于运行命令的路径上。 |
| 受限制网站访问保护的网站百分比报告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
此报表显示受策略保护的网站占网站总数的百分比 |
由于受限制的站点访问策略而拒绝访问
可以运行以下命令来创建、提取和查看因受限制的站点访问报告而拒绝访问的报告:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 创建访问拒绝报告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
创建用于提取访问拒绝详细信息的新报表 |
| 提取访问拒绝报告状态 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
提取生成的报表的状态。 |
| 过去 28 天内的最新访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
获取过去 28 天内发生的最近 100 次访问拒绝的列表 |
| 查看被拒绝访问的热门用户列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
获取收到最多访问拒绝的前 100 个用户的列表 |
| 查看收到最多访问拒绝的顶级站点列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
获取访问拒绝最多的前 100 个站点的列表 |
| 跨不同类型的站点分布访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
显示不同类型站点之间访问拒绝的分布情况 |
注意
若要查看最多 10,000 个拒绝,必须下载报告。 以管理员身份运行下载命令,下载的报表位于运行命令的路径上。
审核
Microsoft Purview 合规门户中提供了审核事件,可帮助你监视站点访问限制活动。 为以下活动记录审核事件:
- 为网站应用站点访问限制
- 删除站点的站点访问限制
- 更改站点的站点访问限制组