Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом к ограниченному сайту помогает предотвратить чрезмерный доступ, назначая доступ к сайтам SharePoint и их содержимому пользователям в определенной группе. Пользователи, не в указанной группе, не могут получить доступ к сайту или его содержимому, даже если у них были предыдущие разрешения или общая ссылка. Эту политику можно применить к сайтам, подключенным к группам Microsoft 365, Подключенным к Teams и негруппово подключенным сайтам с помощью групп Microsoft 365 или Microsoft Entra групп безопасности.
Политики ограничения доступа к сайту вступают в силу, когда пользователь пытается открыть сайт или получить доступ к файлу. Пользователи с прямыми разрешениями на доступ к файлу по-прежнему могут просматривать файлы в результатах поиска. Однако они не могут получить доступ к файлам, если они не входят в указанную группу.
Ограничение доступа к сайту за счет членства в группах может свести к минимуму риск чрезмерного совместного использования содержимого. Сведения об общем доступе к данным см. в статье Отчеты об управлении доступом к данным.
Что необходимо для ограничения доступа к сайту?
Требования лицензирования
Ваша организация должна иметь необходимые лицензии и соответствовать определенным административным разрешениям или ролям для использования функции, описанной в этой статье.
Во-первых, ваша организация должна иметь одну из следующих базовых лицензий:
- Office 365 E3, E5 или A5
- Microsoft 365 E1, E3, E5 или A5
Кроме того, вам потребуется по крайней мере одна из следующих лицензий:
- Microsoft 365 Copilot лицензия. По крайней мере одному пользователю в вашей организации должна быть назначена лицензия Copilot (этот пользователь не должен быть администратором SharePoint).
- Лицензия на расширенное управление Microsoft SharePoint: Доступно как отдельная покупка.
Требования к администратору
Вы должны быть администратором SharePoint или иметь эквивалентные разрешения.
Дополнительные сведения
Если в вашей организации есть лицензия Copilot и хотя бы одному сотруднику назначена лицензия Copilot, администраторы SharePoint автоматически получают доступ к расширенному управлению SharePoint, необходимым для развертывания Copilot.
Для организаций без лицензии Copilot можно использовать функции расширенного управления SharePoint, приобретя автономную лицензию на расширенное управление SharePoint.
Включение ограничения доступа на уровне сайта для организации
Прежде чем настроить его для отдельных сайтов, необходимо включить ограничение доступа на уровне сайта для вашей организации. Вы также можете делегировать управление ограничениями доступа к сайтам всем администраторам сайта вашей организации.
Чтобы включить ограничение доступа на уровне сайта для организации в Центре администрирования SharePoint, выполните следующие действия.
Разверните узел Политики и выберите Управление доступом.
Выберите Ограничение доступа на уровне сайта.
Выберите Разрешить ограничение доступа , а затем нажмите кнопку Сохранить.
Чтобы включить ограничение доступа на уровне сайта для организации с помощью PowerShell, выполните следующую команду:
Set-SPOTenant -EnableRestrictedAccessControl $true
Выполнение команды может занять до одного часа.
Делегирование управления ограниченными контроль доступа администраторам сайта
Администратор SharePoint также может делегировать управление ограниченными контроль доступа администраторам сайтов. Если они обновят политику, они должны предоставить соответствующее обоснование того, почему политика обновляется.
По умолчанию делегирование отключено. Если вы решили включить его, выполните следующую команду:
Set-SPOTenant -DelegateRestrictedAccessControlManagement $true
После делегирования ограниченного контроль доступа всем администраторам сайта они смогут управлять политикой.
Проверка состояния управления делегированием управления ограниченным доступом для администраторов сайта
Чтобы проверка состояние делегирования, выполните следующую команду:
Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement
Примечание.
Для пользователей Microsoft 365 с несколькими регионами выполните эту команду отдельно для каждого требуемого географического расположения.
Ограничение доступа ко всем сайтам SharePoint с помощью группы безопасности Microsoft 365 или Microsoft Entra групп безопасности
Вы можете ограничить доступ к сайту SharePoint, указав Microsoft Entra группы безопасности или группы Microsoft 365 в качестве группы с ограниченным контроль доступа. В группу управления должны входить пользователи, которым разрешен доступ к сайту и его содержимому.
Для сайта можно настроить до 10 Microsoft Entra групп безопасности или групп Microsoft 365. После применения политики пользователям в указанной группе, имеющим разрешение на доступ к содержимому, будет предоставлен доступ.
Важно!
Добавление пользователей в группу ограниченных контроль доступа (Microsoft Entra группу безопасности или группу Microsoft 365) не дает пользователям автоматически разрешения на доступ к сайту или содержимому. Для доступа пользователя к содержимому, защищенному этой политикой, ему требуется разрешение на доступ к сайту или содержимому и быть членом группы "Ограниченный контроль доступа".
Примечание.
Динамические группы безопасности также можно использовать в качестве группы с ограниченным контроль доступа, если вы хотите использовать членство в группах на основе свойств пользователей.
Управление доступом к сайту для сайта
Чтобы управлять доступом к сайту для сайта, выполните следующие действия.
В Центре администрирования SharePoint разверните узел Сайты и выберите Активные сайты.
Выберите сайт, которым вы хотите управлять. Откроется панель сведений о сайте.
На вкладке Параметры выберите Изменить в разделе Ограниченный доступ к сайту.
Установите флажок Ограничить доступ к сайту SharePoint только пользователям в указанных группах проверка.
Добавьте или удалите группы безопасности или группы Microsoft 365 и нажмите кнопку Сохранить.
Чтобы применить ограничение доступа к сайту, необходимо добавить хотя бы одну группу в политику ограничения доступа сайта.
Для сайта, подключенного к группе, группа Microsoft 365, подключенная к сайту, является ограниченной контроль доступа группой по умолчанию. Вы можете сохранить эту группу и добавить дополнительные microsoft 365 или Microsoft Entra группы безопасности в качестве группы с ограниченным контроль доступа.
Примечание.
Тег помечен как группа по умолчанию , помеченный для группы Microsoft 365, подключенной к сайту, как показано на предыдущем рисунке.
Чтобы управлять ограничением доступа к сайту SharePoint с помощью PowerShell, используйте следующие команды:
| Действие | Команда PowerShell |
|---|---|
| Включение ограничения доступа к сайту | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Добавление группы | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Изменить группу | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Просмотр группы | Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Удаление группы | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Сброс ограничения доступа к сайту | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Интерфейс администратора сайта
После делегирования управления доступом к сайту администраторам сайта они могут настроить параметр ограничения доступа к сайту на панели Сведения о сайте .
Чтобы ограничить доступ к сайту SharePoint, выполните приведенные далее действия.
- Ограничьте доступ к сайту с помощью Microsoft Entra групп безопасности или групп Microsoft 365.
- Добавьте группы, содержащие пользователей, которым должен быть доступ.
- Добавьте до 10 групп для каждого сайта.
- При сохранении конфигурации параметра ограничения доступа к сайту доступ к сайту могут получить только пользователи из этих групп и пользователи, которые уже имеют разрешение на доступ к содержимому.
- Укажите обоснование при каждом обновлении параметра ограничения доступа к сайту.
Взаимодействие с владельцем сайта
После применения политики к сайту на панели доступ к сайту отображаются состояние политики и все настроенные группы управления для владельцев сайтов, а также панели "Сведения о сайте " и "Разрешения ".
Сайты общих и частных каналов
Сайты общих и частных каналов отделены от сайта, подключенного к группе Microsoft 365, который используется стандартными каналами. Так как сайты общих и частных каналов не подключены к группе Microsoft 365, политики ограничения доступа к сайтам, применяемые к команде, не влияют на них. Необходимо включить ограничение доступа к сайтам для каждого сайта общего или частного канала отдельно как для сайтов, не подключенных к группам.
Для сайтов общих каналов только внутренние пользователи в клиенте ресурсов распространяются на доступ к сайту. Участники внешних каналов исключаются из политики ограничения доступа к сайту и оцениваются только по существующим разрешениям сайта.
Важно!
Добавление пользователей в группу безопасности или группу Microsoft 365 не предоставляет пользователям доступ к каналу в Teams. Добавьте или удалите одних и того же пользователя канала Teams в Teams, а также группу безопасности или группу Microsoft 365, чтобы пользователи имели доступ к сайтам Teams и SharePoint.
Аудит
Портал Microsoft Purview предоставляет события аудита, которые помогают отслеживать действия ограничения доступа к сайту. Система регистрирует события аудита для следующих действий:
- Применение ограничения доступа к сайту
- Удаление ограничения доступа к сайту для сайта
- Изменение групп ограничений доступа к сайту для сайта
- Обоснование администратором сайта для обновления ограничения доступа к сайту
Reporting
Аналитика политики ограниченного доступа к сайту
Ит-администратор может просмотреть следующие отчеты, чтобы получить дополнительные сведения о сайтах SharePoint, защищенных политикой ограниченного доступа к сайтам:
- Сайты, защищенные политикой ограниченного доступа к сайту (RACProtectedSites)
- Сведения об отказе в доступе из-за политики ограниченного доступа к сайту (ActionsBlockedByPolicy)
Отчеты в настоящее время недоступны для Gallatin, даже если у вас есть необходимые лицензии.
Примечание.
Создание каждого отчета может занять несколько часов.
Отчет о сайтах, защищенных политикой ограниченного доступа к сайтам
Выполните следующие команды в SharePoint PowerShell, чтобы создать, просмотреть и скачать отчеты:
| Действие | Команда PowerShell | Описание |
|---|---|---|
| Создание отчета | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Создает список сайтов, защищенных политикой ограниченного доступа к сайтам. |
| Просмотр отчета | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
В отчете отображаются первые 100 сайтов с самыми высокими представлениями страниц, защищенными политикой. |
| Скачивание отчета | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Выполните эту команду от имени администратора. Скачанный отчет находится по пути, по которому была выполнена команда. |
| Отчет о процентах сайтов, защищенных с помощью ограниченного доступа к сайту | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
В этом отчете показан процент сайтов, защищенных политикой, от общего числа сайтов |
Отчет об отказе в доступе из-за политики ограниченного доступа к сайту
Выполните следующие команды, чтобы создать, получить и просмотреть отчет об отказе в доступе из-за отчетов об ограниченном доступе к сайту:
| Действие | Команда PowerShell | Описание |
|---|---|---|
| Создание отчета об отказе в доступе | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Создает новый отчет для получения сведений об отказе в доступе |
| Состояние отчета об отказе в выборке доступа | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Получает состояние созданного отчета. |
| Последние отказы в доступе за последние 28 дней | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Возвращает список последних 100 отказов в доступе, произошедших за последние 28 дней. |
| Просмотр списка основных пользователей, которым было отказано в доступе | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Возвращает список из 100 основных пользователей, которые получили наибольшее количество отказов в доступе |
| Просмотр списка основных сайтов, на которых больше всего отказано в доступе | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Возвращает список из 100 лучших сайтов, на которых было больше всего отказов в доступе |
| Распределение отказов в доступе между различными типами сайтов | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Показывает распределение отказов в доступе между различными типами сайтов |
Примечание.
Чтобы просмотреть до 10 000 отказов, необходимо скачать отчеты. Выполните команду загрузки от имени администратора. Скачанные отчеты находятся по пути, по которому выполняется команда.
Предоставление общего доступа к сайту и содержимому пользователям за пределами ограниченных групп контроль доступа (возможность согласия)
По умолчанию общий доступ к сайтам SharePoint и их содержимому не соответствует политике ограниченного доступа к сайту. Администратор SharePoint может ограничить общий доступ к сайту и его содержимому пользователям, которые не являются членами группы с ограниченным доступом контроль доступа.
Чтобы предоставить доступ пользователям за пределами группы "Ограниченный контроль доступа", выполните следующую команду PowerShell в командная консоль SharePoint Online от имени администратора:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Общий доступ с пользователями
При применении ограничения общего доступа он блокирует общий доступ для пользователей, которые не являются членами группы с ограниченным доступом контроль доступа.
Общий доступ с группами
Общий доступ разрешен с группами Microsoft Entra Security или Microsoft 365, которые входят в список ограниченных групп контроль доступа. Общий доступ разрешен не всем другим группам, включая все, кроме внешних пользователей или групп SharePoint.
Примечание.
Общий доступ к сайту и его содержимому теперь разрешен для вложенных групп безопасности, входящих в группы с ограниченным контроль доступа.
Настройка страницы "Дополнительные сведения" для ошибки отказа в доступе (возможность согласия)
Настройте ссылку Дополнительные сведения , чтобы информировать пользователей, которым запрещен доступ к сайту SharePoint из-за политики управления доступом к ограниченному сайту. Настроив эту ссылку на ошибку, вы можете предоставить пользователям дополнительные сведения и рекомендации.
Примечание.
Ссылка Подробнее — это параметр на уровне клиента, который применяется ко всем сайтам с включенной политикой ограниченного контроль доступа.
Чтобы настроить ссылку, выполните следующую команду в SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
Чтобы получить значение ссылки, выполните следующую команду:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Настроенная ссылка Подробнее запускается, когда пользователь выбирает ссылку Узнать больше о политиках вашей организации здесь .
