將使用者 OneDrive 內容的存取權限制為群組中的人員
本文中的某些功能需要Microsoft SharePoint Premium - SharePoint 進階管理
您可以使用網站存取限制原則,將個別使用者 OneDrive 內容的存取限制為安全組或Microsoft 365 群組中的使用者。 不在指定群組中的用戶無法存取內容,即使他們具有先前的許可權或共用連結也一樣。
此原則會使用 Microsoft Entra 安全組或Microsoft 365 群組來套用,這些群組包含應該能夠存取該 OneDrive 中檔案的人員。
套用原則時,指定群組中的人員不會直接被授與任何檔案的許可權。 OneDrive 擁有者必須如往常般共享內容。 網站存取限制原則可防止不在安全組或Microsoft 365 群組中的任何人存取 OneDrive 內容,即使該內容與他們共用也一致。
當用戶嘗試存取檔案時,會套用存取限制原則。 如果使用者具有檔案的直接許可權,仍可在搜尋結果中看到檔案,但如果使用者不屬於指定群組,則無法存取該檔案。
您也可以將 OneDrive 服務本身的存取權限限。 如需詳細資訊,請參閱 依安全組限制 OneDrive 存取。
需求
網站存取限制原則需要Microsoft SharePoint Premium - SharePoint 進階管理。
為您的組織啟用網站存取限制
您必須先為組織啟用網站存取限制,才能為使用者的 OneDrive 進行設定。
若要在 SharePoint 系統管理中心為您的組織啟用網站存取限制:
展開 [原則 ],然後選 取 [訪問控制]。
選 取 [網站存取限制]。
選 取 [允許存取限制 ],然後選取 [ 儲存]。
若要使用 PowerShell 為您的組織啟用網站存取限制,請執行下列命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要一小時才會生效。
注意事項
針對Microsoft 365 多地理位置使用者,請針對每個所需的地理位置個別執行此命令。
限制存取使用者的 OneDrive 內容
每個 OneDrive 最多可以指派 10 個 Microsoft Entra 安全性或Microsoft 365 個群組。 新增群組之後,只有群組中的使用者可以存取該 OneDrive 中已與他們共用的內容。 如果您想要以使用者屬性作為群組成員資格的基礎,您可以使用 動態安全組 。
重要事項
OneDrive 的擁有者必須包含在您指定的其中一個安全性或Microsoft 365 群組中,否則他們將無法存取其 OneDrive 及其內容。
若要管理 OneDrive 的存取限制,請使用下列命令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用指定 OneDrive 的存取限制。 (在新增安全性或Microsoft 365 群組之前執行此命令。) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 新增安全性/Microsoft 365 群組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 編輯安全性/Microsoft 365 群組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 檢視安全性/Microsoft 365 群組 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 拿掉安全性/Microsoft 365 群組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
使用受限制的網站存取原則共享網站
根據限制訪問控制原則,可以禁止使用者和群組共用 OneDrive 網站。
共用控制項功能預設為停用。 若要啟用此功能,請以系統管理員身分在 SharePoint Online 管理命令介面 中執行下列 PowerShell 命令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
與用戶共用
只有屬於受限制訪問控制群組的使用者才能共用。 與受限制訪問控制群組以外的任何人共用將會遭到封鎖,如下所示:
與群組共用
Microsoft Entra 安全性或Microsoft屬於受限制訪問控制群組清單的 365 群組允許共用。 因此,不允許與所有其他群組共用,包括外部使用者或 SharePoint 群組以外的所有人。
注意事項
目前,屬於受限制訪問控制群組的巢狀安全組不允許共享網站及其內容。 這項支援將會在下一個版本反覆專案中新增。
設定深入瞭解存取拒絕錯誤頁面連結
設定您的深入了解連結,以通知因受限制的網站訪問控制原則而拒絕存取 OneDrive 網站的使用者。 透過這個可自定義的錯誤連結,您可以為使用者提供更多資訊和指引。
注意事項
深入了解連結是租用戶層級設定,適用於已啟用限制訪問控制原則的所有 OneDrive 網站。
若要設定連結,請在 SharePoint PowerShell 中執行下列命令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
若要擷取連結的值,請執行下列命令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
當用戶選取 [在這裡 深入瞭解貴組織 的原則] 連結時,就會啟動已設定的深入了解連結。
受限制的網站存取原則深入解析
身為 IT 系統管理員,您可以檢視下列報告,以深入瞭解受限制網站存取原則保護的 OneDrive 網站:
- 受限制網站存取原則保護的網站 (RACProtectedSites)
- 因限制網站存取 (ActionsBlockedByPolicy) 而拒絕存取的詳細數據
注意事項
產生每個報表可能需要數小時的時間。
受限制網站存取原則報告保護的網站
您可以在 SharePoint PowerShell 中執行下列命令,以產生、檢視和下載報表:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 產生報表 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
產生受限制網站存取原則保護的網站清單 |
| 檢視報表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
此報表顯示前 100 個網站,其中具有受原則保護的最高頁面檢視。 |
| 下載報表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此命令必須以系統管理員身分執行。 下載的報表位於執行命令的路徑上。 |
| 受限制網站存取報告保護的網站百分比 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
此報表顯示受原則保護的網站百分比,不在網站總數中 |
因受限制的網站存取原則而拒絕存取
您可以執行下列命令來建立、擷取和檢視因網站存取報告受限制而拒絕存取的報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 建立存取阻斷報告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
建立新的報表以擷取存取拒絕詳細數據 |
| 擷取存取拒絕報告狀態 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
擷取所產生報表的狀態。 |
| 過去 28 天記憶體取拒絕 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
取得過去 28 天內最近發生的 100 次存取拒絕清單 |
| 檢視被拒絕存取的熱門用戶清單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
取得收到最多存取拒絕的前 100 名用戶清單 |
| 檢視收到最多存取拒絕的熱門網站清單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
取得拒絕存取最多前100個網站的清單 |
| 跨不同類型的網站散發存取阻斷 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
顯示不同網站類型之間的存取阻斷分佈 |
注意事項
若要檢視最多 10,000 次拒絕,您必須下載報告。 以系統管理員身分執行下載命令,且下載的報表位於執行命令的路徑上。
稽核
稽核事件可在 Microsoft Purview 合規性入口網站 中取得,以協助您監視網站存取限制活動。 稽核事件會針對下列活動記錄:
- 套用網站的網站存取限制
- 拿掉網站的網站存取限制
- 變更網站的網站存取限制群組