Teilen über


Einschränken des SharePoint-Websitezugriffs mit Microsoft 365-Gruppen und Entra-Sicherheitsgruppen

Einige Features in diesem Artikel erfordern Microsoft SharePoint Premium – SharePoint Advanced Management

Sie können den Zugriff auf SharePoint-Websites und -Inhalte auf Benutzer in einer bestimmten Gruppe beschränken, indem Sie eine Websitezugriffseinschränkungsrichtlinie verwenden. Benutzer, die sich nicht in der angegebenen Gruppe befinden, können nicht auf die Website oder deren Inhalte zugreifen, auch wenn sie über vorherige Berechtigungen oder einen freigegebenen Link verfügten. Diese Richtlinie kann mit Microsoft 365-Websites verwendet werden, die mit Microsoft 365- und Teams verbunden sind und nicht gruppengebunden sind.

Richtlinien für Websitezugriffseinschränkung werden angewendet, wenn ein Benutzer versucht, eine Website zu öffnen oder auf eine Datei zuzugreifen. Benutzer mit direkten Berechtigungen für die Datei können weiterhin Dateien in Suchergebnissen anzeigen. Sie können jedoch nicht auf die Dateien zugreifen, wenn sie nicht Teil der angegebenen Gruppe sind.

Das Einschränken des Websitezugriffs über die Gruppenmitgliedschaft kann das Risiko einer übermäßigen Freigabe von Inhalten minimieren. Einblicke in die Datenfreigabe finden Sie unter Berichte zur Datenzugriffsgovernance.

Voraussetzungen

Die Richtlinie für Websitezugriffseinschränkung erfordert Microsoft SharePoint Premium – SharePoint Advanced Management.

Aktivieren der Zugriffsbeschränkung auf Websiteebene für Ihre organization

Sie müssen die Zugriffsbeschränkung auf Standortebene für Ihre organization aktivieren, bevor Sie sie für einzelne Websites konfigurieren können.

So aktivieren Sie die Zugriffsbeschränkung auf Websiteebene für Ihre organization im SharePoint Admin Center:

  1. Erweitern Sie Richtlinien , und wählen Sie Zugriffssteuerung aus.

  2. Wählen Sie Zugriffseinschränkung auf Websiteebene aus.

  3. Wählen Sie Zugriffseinschränkung zulassen und dann Speichern aus.

    Screenshot der Websitezugriffseinschränkung im sharepoint Admin Center Dashboard.

Führen Sie den folgenden Befehl aus, um die Zugriffseinschränkung auf Websiteebene für Ihre organization mithilfe von PowerShell zu aktivieren:

Set-SPOTenant -EnableRestrictedAccessControl $true

Es kann bis zu einer Stunde dauern, bis der Befehl wirksam wird.

Hinweis

Führen Sie diesen Befehl für Microsoft 365 Multi-Geo-Benutzer separat für jeden gewünschten geografischen Standort aus.

Einschränken des Zugriffs auf mit Gruppen verbundene Websites (Microsoft 365-Gruppen und Teams)

Die Websitezugriffseinschränkungsrichtlinie für mit Gruppen verbundene Websites schränkt den Zugriff auf SharePoint-Websites auf Mitglieder der Microsoft 365-Gruppe oder des Microsoft 365-Teams ein, die der Website zugeordnet sind.

So verwalten Sie die Websitezugriffseinschränkung für eine mit einer Gruppe verbundene Website im SharePoint Admin Center

  1. Erweitern Sie im SharePoint Admin Center Websites , und wählen Sie Aktive Websites aus.
  2. Wählen Sie die Website aus, die Sie verwalten möchten, und der Bereich mit den Websitedetails wird angezeigt.
  3. Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Eingeschränkter Websitezugriff die Option Bearbeiten aus.
  4. Aktivieren Sie das Kontrollkästchen Zugriff auf diese Website einschränken , und wählen Sie Speichern aus.

Verwenden Sie die folgenden Befehle, um die Websitezugriffseinschränkung für mit einer Gruppe verbundene Websites mithilfe von PowerShell zu verwalten:

Aktion PowerShell-Befehl
Aktivieren der Websitezugriffseinschränkung für mit einer Gruppe verbundene Website Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Anzeigen der Websitezugriffseinschränkung für mit einer Gruppe verbundene Website Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl
Deaktivieren der Websitezugriffseinschränkung für mit einer Gruppe verbundene Website Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false

Hinweis

Sobald die Richtlinie für eine Website aktiviert ist, kann der Websitebesitzer die Details darüber anzeigen, wie sich die Richtlinie für die Websitezugriffseinschränkung auf die Website auswirkt.

Für mit Gruppen verbundene Websites werden die Richtlinien status und die konfigurierten Steuerungsgruppendetails in den Bereichen Websiteinformationen und Berechtigungen angezeigt.

Screenshot der Seite

Screenshot der Seite

Einschränken des Websitezugriffs auf nicht gruppengebundene Websites

Sie können den Zugriff auf nicht gruppengebundene Websites einschränken, indem Sie Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen angeben, die die Personen enthalten, denen der Zugriff auf die Website gewährt werden soll. Sie können bis zu 10 Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen konfigurieren. Nachdem die Richtlinie angewendet wurde, wird Benutzern in der angegebenen Gruppe, die über Websitezugriffsberechtigungen verfügen, Zugriff auf die Website und deren Inhalt gewährt. Sie können dynamische Sicherheitsgruppen verwenden, wenn Sie die Gruppenmitgliedschaft auf Benutzereigenschaften basieren möchten.

So verwalten Sie den Websitezugriff auf einen nicht gruppengebundenen Standort:

  1. Erweitern Sie im SharePoint Admin Center Websites , und wählen Sie Aktive Websites aus.

  2. Wählen Sie die Website aus, die Sie verwalten möchten, und der Bereich mit den Websitedetails wird angezeigt.

  3. Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Eingeschränkter Websitezugriff die Option Bearbeiten aus.

  4. Aktivieren Sie das Kontrollkästchen Zugriff auf SharePoint-Websites auf nur Benutzer in angegebenen Gruppen beschränken .

  5. Fügen Sie Ihre Sicherheitsgruppen oder Microsoft 365-Gruppen hinzu, oder entfernen Sie sie, und wählen Sie Speichern aus.

    Damit die Websitezugriffseinschränkung auf den Standort angewendet wird, müssen Sie mindestens eine Gruppe zur Websitezugriffseinschränkungsrichtlinie hinzufügen.

    Screenshot: Sicherheitsgruppen für Websitezugriffseinschränkung, die zu nicht gruppengebundenen Websites hinzugefügt werden

Verwenden Sie die folgenden Befehle, um die Websitezugriffseinschränkung für nicht gruppengebundene Websites mithilfe von PowerShell zu verwalten:

Aktion PowerShell-Befehl
Aktivieren der Websitezugriffseinschränkung Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Gruppe hinzufügen Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Gruppe bearbeiten Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Gruppe anzeigen Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Gruppe entfernen Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Zurücksetzen der Websitezugriffseinschränkung Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Nach dem Aktivieren der Richtlinie für Kommunikationswebsites werden die Richtlinien status und alle konfigurierten Steuerungsgruppen für Websitebesitzer zusätzlich zu den Bereichen Websiteinformationen und Berechtigungen im Bereich Websitezugriff angezeigt.

Screenshot des Bereichs

Freigegebene und private Kanalwebsites

Freigegebene und private Kanalwebsites sind getrennt von der mit microsoft 365-Gruppe verbundenen Website, die Standardkanäle verwenden. Da freigegebene und private Kanalwebsites nicht mit der Microsoft 365-Gruppe verbunden sind, wirken sich richtlinien für websitezugriffseinschränkung, die auf das Team angewendet werden, nicht darauf aus. Sie müssen die Websitezugriffseinschränkung für jeden freigegebenen oder privaten Kanalstandort separat als nicht gruppengebundene Standorte aktivieren.

Für Freigegebene Kanalwebsites unterliegen nur interne Benutzer im Ressourcenmandanten einer Websitezugriffseinschränkung. Externe Kanalteilnehmer werden von der Richtlinie für Websitezugriffseinschränkung ausgeschlossen und nur anhand der vorhandenen Websiteberechtigungen ausgewertet.

Wichtig

Durch das Hinzufügen von Personen zur Sicherheitsgruppe oder Microsoft 365-Gruppe erhalten Benutzer keinen Zugriff auf den Kanal in Teams. Es wird empfohlen, die gleichen Benutzer des Teams-Kanals in Teams und der Sicherheitsgruppe oder Microsoft 365-Gruppe hinzuzufügen oder zu entfernen, damit Benutzer Zugriff auf Teams und SharePoint haben.

Freigeben von Websites mit richtlinie für eingeschränkten Websitezugriff

Die Freigabe von SharePoint-Websites und deren Inhalten kann für Benutzer und Gruppen blockiert werden, die gemäß der Richtlinie für eingeschränkte Zugriffssteuerung nicht zulässig sind.

Die Freigabesteuerungsfunktion ist standardmäßig deaktiviert. Führen Sie zum Aktivieren den folgenden PowerShell-Befehl in der SharePoint Online-Verwaltungsshell als Administrator aus:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false 

Freigeben für Benutzer

Die Freigabe ist nur für Benutzer zulässig, die Teil von Gruppen mit eingeschränkter Zugriffssteuerung sind. Die Freigabe wird für personen außerhalb der Gruppen mit eingeschränkten Zugriffssteuerungen blockiert, wie unten gezeigt:

Screenshot der Freigabe für Benutzer.

Freigeben für Gruppen

Die Freigabe ist für Microsoft Entra Security- oder M365-Gruppen zulässig, die Teil der Liste der Gruppen mit eingeschränktem Zugriff sind. Daher ist die Freigabe für alle anderen Gruppen, einschließlich Jeder außer externen Benutzern oder SharePoint-Gruppen, nicht zulässig.

Screenshot der Freigabe für Gruppen.

Hinweis

Derzeit ist die Freigabe einer Website und ihrer Inhalte für die geschachtelten Sicherheitsgruppen, die Teil der Gruppen mit eingeschränkter Zugriffssteuerung sind, nicht zulässig. Diese Unterstützung wird in der nächsten Releaseiteration hinzugefügt.

Konfigurieren Sie Ihren Link "Weitere Informationen", um Benutzer zu informieren, denen der Zugriff auf eine SharePoint-Website aufgrund der Richtlinie für die eingeschränkte Websitezugriffssteuerung verweigert wurde. Mit diesem anpassbaren Fehlerlink können Sie Ihren Benutzern weitere Informationen und Anleitungen bereitstellen.

Hinweis

Der Link "Weitere Informationen" ist eine Einstellung auf Mandantenebene, die für alle Websites gilt, für die die Richtlinie für die Eingeschränkte Zugriffssteuerung aktiviert ist.

Führen Sie den folgenden Befehl in SharePoint PowerShell aus, um den Link zu konfigurieren:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>” 

Führen Sie den folgenden Befehl aus, um den Wert des Links abzurufen:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink 

Der konfigurierte Link weitere Informationen wird gestartet, wenn der Benutzer hier den Link Weitere Informationen zu den Richtlinien Ihrer organization auswählt.

Screenshot: Link

Einblicke in Richtlinien für eingeschränkten Zugriff auf Websites

Als IT-Administrator können Sie die folgenden Berichte anzeigen, um weitere Einblicke in SharePoint-Websites zu erhalten, die mit einer Richtlinie für den eingeschränkten Zugriff auf Websites geschützt sind:

  • Websites, die durch eine Richtlinie für eingeschränkten Zugriff auf Websites geschützt sind (RACProtectedSites)
  • Details zu Zugriffsverweigerungen aufgrund des eingeschränkten Websitezugriffs (ActionsBlockedByPolicy)

Hinweis

Es kann einige Stunden dauern, jeden Bericht zu generieren.

Bericht zu Websites, die durch Richtlinien für eingeschränkten Zugriff geschützt sind

Sie können die folgenden Befehle in SharePoint PowerShell ausführen, um die Berichte zu generieren, anzuzeigen und herunterzuladen:

Aktion PowerShell-Befehl Beschreibung
Bericht generieren Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Generiert eine Liste von Websites, die durch eine Richtlinie für eingeschränkten Websitezugriff geschützt sind.
Bericht anzeigen Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> Der Bericht zeigt die 100 Websites mit den höchsten Seitenaufrufen an, die durch die Richtlinie geschützt sind.
Bericht herunterladen Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Dieser Befehl muss als Administrator ausgeführt werden. Der heruntergeladene Bericht befindet sich in dem Pfad, unter dem der Befehl ausgeführt wurde.
Prozentsatz der Website, die mit einem Eingeschränkten Websitezugriffsbericht geschützt ist Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary Dieser Bericht zeigt den Prozentsatz der Websites, die durch die Richtlinie geschützt sind, an der Gesamtzahl der Websites an.

Zugriffsverweigerungen aufgrund einer Richtlinie für eingeschränkten Websitezugriff

Sie können die folgenden Befehle ausführen, um Berichte für Zugriffsverweigerungen aufgrund von Berichten über eingeschränkten Websitezugriff zu erstellen, abzurufen und anzuzeigen:

Aktion PowerShell-Befehl Beschreibung
Erstellen eines Berichts zu Zugriffsverweigerungen Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Erstellt einen neuen Bericht zum Abrufen von Zugriffsverweigerungsdetails.
Abrufen des Zugriffsverweigerungsberichts status Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Ruft die status des generierten Berichts ab.
Letzte Zugriffsverweigerung in den letzten 28 Tagen Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Ruft eine Liste der letzten 100 Zugriffsverweigerungen ab, die in den letzten 28 Tagen aufgetreten sind.
Anzeigen der Liste der wichtigsten Benutzer, denen der Zugriff verweigert wurde Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Ruft eine Liste der 100 häufigsten Benutzer ab, die die meisten Zugriffsverweigerungen erhalten haben.
Anzeigen der Liste der wichtigsten Websites, die die meisten Zugriffsverweigerungen erhalten haben Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Ruft eine Liste der 100 websites mit den meisten Zugriffsverweigerungen ab.
Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Standorten Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Zeigt die Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Websites an.

Hinweis

Um bis zu 10.000 Ablehnungen anzuzeigen, müssen Sie die Berichte herunterladen. Führen Sie den Downloadbefehl als Administrator aus, und die heruntergeladenen Berichte befinden sich in dem Pfad, von dem aus der Befehl ausgeführt wurde.

Überwachung

Überwachungsereignisse sind im Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Websitezugriffseinschränkungsaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:

  • Anwenden der Websitezugriffseinschränkung für die Website
  • Entfernen der Websitezugriffseinschränkung für die Website
  • Ändern von Websitezugriffseinschränkungsgruppen für website

Richtlinie für bedingten Zugriff für SharePoint-Websites und OneDrive

Berichte zur Datenzugriffsgovernance