將使用者 OneDrive 內容的存取權限制為群組中的人員
本文中的某些功能需要 Microsoft SharePoint Premium - SharePoint 進階管理
您可以使用 OneDrive 存取限制原則,將個別使用者 OneDrive 內容的存取限制限制為安全組中的使用者。 不在指定群組中的用戶無法存取內容,即使他們具有先前的許可權或共用連結也一樣。
此原則會使用 Microsoft Entra 安全組 套用,其中包含應該能夠存取該 OneDrive 中檔案的人員。
套用原則時,安全組中的人員不會直接被授與任何檔案的許可權。 OneDrive 擁有者必須如往常般共享內容。 OneDrive 存取限制原則可防止不在安全組中的任何人存取 OneDrive 內容,即使該內容與他們共用也一致。
當用戶嘗試存取檔案時,會套用存取限制原則。 如果使用者具有檔案的直接許可權,他們仍然可以在搜尋結果中看到檔案,但如果使用者不屬於指定的安全組,他們就無法存取該檔案。
您也可以將 OneDrive 服務本身的存取權限限。 如需詳細資訊,請參閱 依安全組限制 OneDrive 存取。
需求
OneDrive 存取限制原則需要 Microsoft SharePoint Premium - SharePoint 進階管理。
為您的組織啟用網站存取限制
您必須先為組織啟用網站存取限制,才能為使用者的 OneDrive 進行設定。
若要在 SharePoint 系統管理中心為您的組織啟用網站存取限制:
展開 [原則 ],然後選 取 [訪問控制]。
選 取 [網站存取限制]。
選 取 [允許存取限制 ],然後選取 [ 儲存]。
若要使用 PowerShell 為您的組織啟用網站存取限制,請執行下列命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要一小時才會生效。
注意事項
針對 Microsoft 365 多地理位置使用者,請針對每個所需的地理位置個別執行此命令。
限制存取使用者的 OneDrive 內容
每個 OneDrive 最多可以指派 10 個 Microsoft Entra 安全組。 新增安全組之後,只有群組中的使用者可以存取該 OneDrive 中已與他們共用的內容。 如果您想要以使用者屬性作為群組成員資格的基礎,您可以使用 動態安全組 。
重要事項
OneDrive 的擁有者必須包含在您指定的其中一個安全組中,否則他們將無法存取其 OneDrive 及其內容。
若要管理 OneDrive 的存取限制,請使用下列命令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用指定 OneDrive 的存取限制。 (在新增安全組之前執行此命令。) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 新增安全組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 編輯安全組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 檢視安全組 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 拿掉安全組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
稽核
稽核事件可在 Microsoft Purview 合規性入口網站中取得,以協助您監視網站存取限制活動。 稽核事件會針對下列活動記錄:
- 套用網站的網站存取限制
- 拿掉網站的網站存取限制
- 變更網站的網站存取限制群組