Поделиться через

Ограничение доступа к сайту SharePoint с помощью групп Microsoft 365 и Microsoft Entra групп безопасности

Для некоторых функций, приведенных в этой статье, требуется microsoft SharePoint премиум — Расширенное управление SharePoint

Управление доступом к ограниченному сайту позволяет предотвратить чрезмерный общий доступ, назначая доступ к сайтам SharePoint и их содержимому пользователям в определенной группе. Пользователи, не в указанной группе, не могут получить доступ к сайту или его содержимому, даже если у них были предыдущие разрешения или общая ссылка. Эту политику можно применять на сайтах, подключенных к группам Microsoft 365, подключенных к Teams и не связанных с группами, с помощью групп Microsoft 365 или Microsoft Entra групп безопасности.

Политики ограничения доступа к сайту применяются, когда пользователь пытается открыть сайт или получить доступ к файлу. Пользователи с прямыми разрешениями на доступ к файлу по-прежнему могут просматривать файлы в результатах поиска. Однако они не могут получить доступ к файлам, если они не входят в указанную группу.

Ограничение доступа к сайту через членство в группах может свести к минимуму риск чрезмерного совместного использования содержимого. Сведения об общем доступе к данным см. в статье Отчеты об управлении доступом к данным.

Предварительные условия

Для политики ограничения доступа к сайту требуется microsoft SharePoint премиум — Расширенное управление SharePoint.

Включение ограничения доступа на уровне сайта для организации

Прежде чем настроить его для отдельных сайтов, необходимо включить ограничение доступа на уровне сайта для вашей организации.

Чтобы включить ограничение доступа на уровне сайта для организации в Центре администрирования SharePoint, выполните следующие действия:

  1. Разверните узел Политики и выберите Управление доступом.

  2. Выберите Ограничение доступа на уровне сайта.

  3. Выберите Разрешить ограничение доступа , а затем нажмите кнопку Сохранить.

    Снимок экрана: ограничение доступа к сайту на панели мониторинга Центра администрирования SharePoint.

Чтобы включить ограничение доступа на уровне сайта для организации с помощью PowerShell, выполните следующую команду:

Set-SPOTenant -EnableRestrictedAccessControl $true

Выполнение команды может занять до одного часа.

Примечание.

Для пользователей Microsoft 365 с несколькими регионами выполните эту команду отдельно для каждого требуемого географического расположения.

Ограничение доступа ко всем сайтам SharePoint с помощью группы безопасности Microsoft 365 или Microsoft Entra групп безопасности

Вы можете ограничить доступ к сайту SharePoint, указав Microsoft Entra группы безопасности или группы Microsoft 365 в качестве группы с ограниченным контроль доступа. В группе управления должны быть пользователи, которым должен быть разрешен доступ к сайту и его содержимому.

Для сайта можно настроить до 10 Microsoft Entra групп безопасности или групп Microsoft 365. После применения политики пользователям в указанной группе, имеющим разрешение на доступ к содержимому, будет разрешен доступ.

Важно!

Добавление пользователей в группу ограниченных контроль доступа (Microsoft Entra группу безопасности или группу Microsoft 365) не дает пользователям автоматически разрешения на доступ к сайту или содержимому. Чтобы пользователь мог получить доступ к содержимому, защищенному с помощью этой политики, он должен иметь разрешение на доступ к сайту или содержимому и быть членом группы "Ограниченный контроль доступа".

Примечание.

Динамические группы безопасности также можно использовать в качестве группы с ограниченным контроль доступа, если вы хотите использовать членство в группах на основе свойств пользователей.

Управление доступом к сайту для сайта

Чтобы управлять доступом к сайту для сайта, выполните приведенные далее действия.

  1. В Центре администрирования SharePoint разверните узел Сайты и выберите Активные сайты.
  2. Выберите сайт, которым вы хотите управлять, и откроется панель сведений о сайте.
  3. На вкладке Параметры выберите Изменить в разделе Ограниченный доступ к сайту.
  4. Установите флажок Ограничить доступ к сайту SharePoint только пользователям в указанных группах проверка.
  5. Добавьте или удалите группы безопасности или группы Microsoft 365 и нажмите кнопку Сохранить.

Чтобы к сайту было применено ограничение доступа к сайту, необходимо добавить хотя бы одну группу в политику ограничения доступа к сайту.

снимок экрана: группы безопасности ограничения доступа к сайтам, добавляемые на сайты, не подключенные к группам.

Для сайта, подключенного к группе, группа Microsoft 365, подключенная к сайту, добавляется в качестве группы ограниченных контроль доступа по умолчанию. Вы можете сохранить эту группу и добавить дополнительные microsoft 365 или Microsoft Entra группы безопасности в качестве группы с ограниченным контроль доступа.

снимок экрана: группы безопасности ограничения доступа к сайтам, добавляемые на подключенные сайты.

Примечание.

Тег помечен как группа по умолчанию , помеченный для группы Microsoft 365, подключенной к сайту, как показано на предыдущем рисунке.

Чтобы управлять ограничением доступа к сайту SharePoint с помощью PowerShell, используйте следующие команды:

Действие Команда PowerShell
Включение ограничения доступа к сайту Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Добавление группы Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Изменить группу Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Просмотр группы Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Удаление группы Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Сброс ограничения доступа к сайту Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Взаимодействие с администратором сайта и владельцем сайта

После применения политики к сайту состояние политики и все настроенные группы управления отображаются для владельцев сайтов и администраторов сайта на панели доступ к сайту в дополнение к панелям сведений о сайте и разрешений .

Снимок экрана: панель ограничения доступа к сайту.

Сайты общих и частных каналов

Сайты общих и частных каналов отделены от сайта, подключенного к группе Microsoft 365, который используется стандартными каналами. Так как сайты общих и частных каналов не подключены к группе Microsoft 365, политики ограничения доступа к сайтам, применяемые к команде, не влияют на них. Необходимо включить ограничение доступа к сайтам для каждого сайта общего или частного канала отдельно как для сайтов, не подключенных к группам.

Для сайтов общих каналов только внутренние пользователи в клиенте ресурсов распространяются на доступ к сайту. Участники внешних каналов исключаются из политики ограничения доступа к сайту и оцениваются только по существующим разрешениям сайта.

Важно!

Добавление пользователей в группу безопасности или группу Microsoft 365 не предоставляет пользователям доступ к каналу в Teams. Рекомендуется добавлять или удалять одних и те же пользователей канала Teams в Teams, а также группу безопасности или группу Microsoft 365, чтобы пользователи имели доступ к сайтам Teams и SharePoint.

Аудит

События аудита доступны на портале Microsoft Purview, чтобы помочь вам отслеживать действия ограничения доступа к сайту. События аудита регистрируются для следующих действий:

  • Применение ограничения доступа к сайту
  • Удаление ограничения доступа к сайту для сайта
  • Изменение групп ограничений доступа к сайту для сайта

Reporting

Аналитика политики ограниченного доступа к сайту

Ит-администратор может просмотреть следующие отчеты, чтобы получить дополнительные сведения о сайтах SharePoint, защищенных политикой ограниченного доступа к сайтам:

  • Сайты, защищенные политикой ограниченного доступа к сайту (RACProtectedSites)
  • Сведения об отказе в доступе из-за ограниченного доступа к сайту (ActionsBlockedByPolicy)

Примечание.

Создание каждого отчета может занять несколько часов.

Отчет о сайтах, защищенных политикой ограниченного доступа к сайтам

Для создания, просмотра и скачивания отчетов в SharePoint PowerShell можно выполнить следующие команды:

Действие Команда PowerShell Описание
Создание отчета Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Создает список сайтов, защищенных политикой ограниченного доступа к сайтам.
Просмотр отчета Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> В отчете отображаются первые 100 сайтов с самыми высокими представлениями страниц, защищенными политикой.
Скачивание отчета Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Эту команду необходимо выполнить от имени администратора. Скачанный отчет находится по пути, по которому была выполнена команда.
Отчет о процентах сайтов, защищенных с помощью ограниченного доступа к сайту Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary В этом отчете показан процент сайтов, защищенных политикой, от общего числа сайтов

Отчет об отказе в доступе из-за политики ограниченного доступа к сайту

Чтобы создать, получить и просмотреть отчет об отказе в доступе из-за ограниченного доступа, можно выполнить следующие команды:

Действие Команда PowerShell Описание
Создание отчета об отказе в доступе Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Создает новый отчет для получения сведений об отказе в доступе
Состояние отчета об отказе в выборке доступа Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Получает состояние созданного отчета.
Последние отказы в доступе за последние 28 дней Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Возвращает список последних 100 отказов в доступе, произошедших за последние 28 дней.
Просмотр списка основных пользователей, которым было отказано в доступе Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Возвращает список из 100 основных пользователей, которые получили наибольшее количество отказов в доступе
Просмотр списка основных сайтов, на которых больше всего отказано в доступе Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Возвращает список из 100 лучших сайтов, на которых было больше всего отказов в доступе
Распределение отказов в доступе между различными типами сайтов Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Показывает распределение отказов в доступе между различными типами сайтов

Примечание.

Чтобы просмотреть до 10 000 отказов, необходимо скачать отчеты. Выполните команду загрузки от имени администратора, и скачанные отчеты находятся по пути, по которому была выполнена команда.

Предоставление общего доступа к сайту и содержимому пользователям за пределами ограниченных групп контроль доступа (возможность согласия)

Общий доступ к сайтам SharePoint и их содержимому не соответствует политике ограниченного доступа к сайту по умолчанию. Администратор SharePoint может ограничить общий доступ к сайту и его содержимому пользователям, которые не являются членами группы с ограниченным контроль доступа.

Чтобы ограничить возможность предоставления общего доступа пользователям за пределами группы "Ограниченный контроль доступа", включите ее, выполните следующую команду PowerShell в командная консоль SharePoint Online от имени администратора:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false

Общий доступ с пользователями

После применения ограничения общего доступа общий доступ блокируется для пользователей, которые не являются членами группы "Ограниченный контроль доступа".

снимок экрана: сообщение общего доступа к пользователям.

Общий доступ с группами

Общий доступ разрешен с группами Microsoft Entra Security или Microsoft 365, которые входят в список ограниченных групп контроль доступа. Таким образом, общий доступ ко всем остальным группам, включая все, кроме внешних пользователей или групп SharePoint, запрещен.

снимок экрана: сообщение о совместном доступе с группами.

Примечание.

Общий доступ к сайту и его содержимому запрещен для вложенных групп безопасности, входящих в группы с ограниченным контроль доступа. Эта поддержка будет добавлена в следующей итерации выпуска.

Настройка страницы "Дополнительные сведения" для ошибки отказа в доступе (возможность согласия)

Настройте ссылку Подробнее , чтобы информировать пользователей, которым было отказано в доступе к сайту SharePoint из-за политики управления доступом к сайту с ограниченным доступом. С помощью этой настраиваемой ссылки на ошибку можно предоставить пользователям дополнительные сведения и рекомендации.

Примечание.

Ссылка Подробнее — это параметр на уровне клиента, который применяется ко всем сайтам с включенной политикой ограниченного контроль доступа.

Чтобы настроить ссылку, выполните следующую команду в SharePoint PowerShell:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”

Чтобы получить значение ссылки, выполните следующую команду:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink

Настроенная ссылка learn more запускается, когда пользователь выбирает ссылку Узнать больше о политиках вашей организации здесь .

Снимок экрана: ссылка

Политика условного доступа для сайтов SharePoint и OneDrive

Отчеты об управлении доступом к данным