使用 Microsoft 365 群組和 Entra 安全組來限制 SharePoint 網站存取
本文中的某些功能需要Microsoft SharePoint Premium - SharePoint 進階管理
您可以使用網站存取限制原則,將 SharePoint 網站和內容的存取限制限制為特定群組中的使用者。 不在指定群組中的用戶無法存取網站或其內容,即使他們具有先前的許可權或共用連結也一樣。 此原則可與Microsoft 365 群組連線、Teams 連線和非群組連線網站搭配使用。
當使用者嘗試開啟網站或存取檔案時,會套用網站存取限制原則。 具有檔案直接許可權的使用者仍然可以在搜尋結果中檢視檔案。 不過,如果檔案不是指定群組的一部分,就無法存取檔案。
透過群組成員資格限制網站存取可以將過度共享內容的風險降到最低。 如需數據共用的深入解析,請 參閱數據存取治理報告。
必要條件
網站存取限制原則需要Microsoft SharePoint Premium - SharePoint 進階管理。
為您的組織啟用網站層級存取限制
您必須先為組織啟用網站層級存取限制,才能針對個別網站進行設定。
若要在 SharePoint 系統管理中心為您的組織啟用網站層級存取限制:
展開 [原則 ],然後選 取 [訪問控制]。
選取 [月臺層級存取限制]。
選 取 [允許存取限制 ],然後選取 [ 儲存]。
若要使用 PowerShell 為您的組織啟用網站層級存取限制,請執行下列命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令最多可能需要一小時才會生效
注意事項
針對Microsoft 365 多地理位置使用者,請針對每個所需的地理位置個別執行此命令。
限制存取群組連線的網站 (Microsoft 365 群組 和 Teams)
群組連線網站的網站存取限制原則會將 SharePoint 網站存取限制為Microsoft 365 群組或與網站相關聯的小組成員。
在 SharePoint 系統管理中心管理群組連線網站的網站存取限制
- 在 SharePoint 系統管理中心中,展開 [ 網站 ],然後選取 [ 使用中網站]。
- 選取您要管理的網站,並顯示 [網站詳細數據] 面板。
- 在 [設定] 索引標籤中,選取 [限制的網站存取] 區段中的 [編輯]。
- 選取 [ 限制存取此網站] 方塊,然後選取 [ 儲存]。
若要使用PowerShell管理群組連線網站的網站存取限制,請使用下列命令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用群組連線網站的網站存取限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 檢視群組連線網站的網站存取限制 | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| 停用群組連線網站的網站存取限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
注意事項
一旦為網站啟用原則,網站擁有者就可以檢視網站存取限制原則如何影響網站的詳細數據。
對於群組連線的網站,原則狀態和設定的控制群組詳細數據會顯示在 [網站資訊 和權 限] 面板上。
限制非群組連線網站的網站存取
您可以藉由指定 Entra 安全組 或Microsoft 365 群組來限制非群組連線網站的存取權,這些群組包含應允許存取網站的人員。 您最多可以設定 10 個 Entra 安全組或Microsoft 365 個群組。 套用原則之後,指定群組中具有網站訪問許可權的使用者會被授與網站及其內容的存取權。 如果您想要以使用者屬性作為群組成員資格的基礎,您可以使用 動態安全組 。
若要管理非群組連線網站的網站存取:
在 SharePoint 系統管理中心中,展開 [ 網站 ],然後選取 [ 使用中網站]。
選取您要管理的網站,並顯示 [網站詳細數據] 面板。
在 [設定] 索引標籤中,選取 [限制的網站存取] 區段中的 [編輯]。
選取 [ 僅限指定群組中的使用者存取 SharePoint 網站 ] 複選框。
新增或移除您的安全組或Microsoft 365 群組,然後選取 [ 儲存]。
若要將網站存取限制套用至網站,您必須將至少一個群組新增至網站存取限制原則。
若要使用PowerShell管理非群組連線網站的網站存取限制,請使用下列命令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用網站存取限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 新增群組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 編輯群組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 檢視群組 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 拿掉群組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
啟用通訊網站的原則之後,除了 [網站資訊和許可權] 面板之外,網站存取面板上也會顯示網站擁有者的原則狀態和所有已設定的控制群組。
共用和私人頻道網站
共用和私人頻道網站 與標準通道使用的Microsoft 365 群組連線網站不同。 由於共用和私人頻道網站未連線至 Microsoft 365 群組,因此套用至小組的網站存取限制原則不會影響這些網站。 您必須個別啟用每個共用或私人頻道網站的網站存取限制,作為非群組連線的網站。
針對共用通道網站,只有資源租使用者中的內部使用者受限於網站存取限制。 外部通道參與者會從網站存取限制原則中排除,而且只會根據網站的現有網站許可權進行評估。
重要事項
將人員新增至安全組或Microsoft 365 群組不會讓使用者存取Teams中的頻道。 建議您在 Teams 和安全組或Microsoft 365 群組中新增或移除 Teams 頻道的相同使用者,讓使用者可以同時存取 Teams 和 SharePoint。
使用受限制的網站存取原則共享網站
根據限制訪問控制原則,不允許共用 SharePoint 網站及其內容的使用者和群組可能會遭到封鎖。
共用控制項功能預設為停用。 若要啟用它,請以系統管理員身分在 SharePoint Online 管理命令介面中執行下列 PowerShell 命令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
與用戶共用
只有屬於受限制訪問控制群組的使用者才能共用。 與受限制訪問控制群組以外的任何人共用將會遭到封鎖,如下所示:
與群組共用
Microsoft Entra 安全性或屬於受限制訪問控制群組清單一部分的 M365 群組允許共用。 因此,不允許與所有其他群組共用,包括外部使用者或 SharePoint 群組以外的所有人。
注意事項
目前,屬於受限制訪問控制群組的巢狀安全組將不允許共享網站及其內容。 這項支援將會在下一個版本反覆專案中新增。
設定深入瞭解存取拒絕錯誤頁面連結
設定您的深入了解連結,以通知因受限制的網站訪問控制原則而拒絕存取 SharePoint 網站的使用者。 透過這個可自定義的錯誤連結,您可以為使用者提供更多資訊和指引。
注意事項
深入了解連結是租用戶層級設定,適用於已啟用限制訪問控制原則的所有網站。
若要設定連結,請在 SharePoint PowerShell 中執行下列命令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
若要擷取連結的值,請執行下列命令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
當用戶選取 [在這裡 深入瞭解貴組織 的原則] 連結時,就會啟動已設定的深入了解連結。
受限制的網站存取原則深入解析
身為 IT 系統管理員,您可以檢視下列報告,以深入瞭解受限制網站存取原則保護的 SharePoint 網站:
- 受限制網站存取原則保護的網站 (RACProtectedSites)
- 因限制網站存取 (ActionsBlockedByPolicy) 而拒絕存取的詳細數據
注意事項
產生每個報表可能需要數小時的時間。
受限制網站存取原則報告保護的網站
您可以在 SharePoint PowerShell 中執行下列命令,以產生、檢視和下載報表:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 產生報表 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
產生受限制網站存取原則保護的網站清單 |
| 檢視報表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
此報表顯示前 100 個網站,其中具有受原則保護的最高頁面檢視。 |
| 下載報表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此命令必須以系統管理員身分執行。 下載的報表位於執行命令的路徑上。 |
| 受限制網站存取報告保護的網站百分比 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
此報表顯示受原則保護的網站百分比,不在網站總數中 |
因受限制的網站存取原則而拒絕存取
您可以執行下列命令來建立、擷取和檢視因網站存取報告受限制而拒絕存取的報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 建立存取阻斷報告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
建立新的報表以擷取存取拒絕詳細數據 |
| 擷取存取拒絕報告狀態 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
擷取所產生報表的狀態。 |
| 過去 28 天記憶體取拒絕 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
取得過去 28 天內最近發生的 100 次存取拒絕清單 |
| 檢視被拒絕存取的熱門用戶清單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
取得收到最多存取拒絕的前 100 名用戶清單 |
| 檢視收到最多存取拒絕的熱門網站清單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
取得拒絕存取最多前100個網站的清單 |
| 跨不同類型的網站散發存取阻斷 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
顯示不同網站類型之間的存取阻斷分佈 |
注意事項
若要檢視最多 10,000 次拒絕,您必須下載報告。 以系統管理員身分執行下載命令,且下載的報表會位於執行命令的路徑上。
稽核
Purview 合規性入口網站 中提供稽核事件,以協助您監視網站存取限制活動。 稽核事件會針對下列活動記錄:
- 套用網站的網站存取限制
- 拿掉網站的網站存取限制
- 變更網站的網站存取限制群組