Einschränken des SharePoint-Websitezugriffs mit Microsoft 365-Gruppen und Entra-Sicherheitsgruppen
Einige Features in diesem Artikel erfordern Microsoft SharePoint Premium – SharePoint Advanced Management
Sie können den Zugriff auf SharePoint-Websites und -Inhalte auf Benutzer in einer bestimmten Gruppe beschränken, indem Sie eine Websitezugriffseinschränkungsrichtlinie verwenden. Benutzer, die sich nicht in der angegebenen Gruppe befinden, können nicht auf die Website oder deren Inhalte zugreifen, auch wenn sie über vorherige Berechtigungen oder einen freigegebenen Link verfügten. Diese Richtlinie kann mit Microsoft 365-Websites verwendet werden, die mit Microsoft 365- und Teams verbunden sind und nicht gruppengebunden sind.
Richtlinien für Websitezugriffseinschränkung werden angewendet, wenn ein Benutzer versucht, eine Website zu öffnen oder auf eine Datei zuzugreifen. Benutzer mit direkten Berechtigungen für die Datei können weiterhin Dateien in Suchergebnissen anzeigen. Sie können jedoch nicht auf die Dateien zugreifen, wenn sie nicht Teil der angegebenen Gruppe sind.
Das Einschränken des Websitezugriffs über die Gruppenmitgliedschaft kann das Risiko einer übermäßigen Freigabe von Inhalten minimieren. Einblicke in die Datenfreigabe finden Sie unter Berichte zur Datenzugriffsgovernance.
Voraussetzungen
Die Richtlinie für Websitezugriffseinschränkung erfordert Microsoft SharePoint Premium – SharePoint Advanced Management.
Aktivieren der Zugriffsbeschränkung auf Websiteebene für Ihre organization
Sie müssen die Zugriffsbeschränkung auf Standortebene für Ihre organization aktivieren, bevor Sie sie für einzelne Websites konfigurieren können.
So aktivieren Sie die Zugriffsbeschränkung auf Websiteebene für Ihre organization im SharePoint Admin Center:
Erweitern Sie Richtlinien , und wählen Sie Zugriffssteuerung aus.
Wählen Sie Zugriffseinschränkung auf Websiteebene aus.
Wählen Sie Zugriffseinschränkung zulassen und dann Speichern aus.
Führen Sie den folgenden Befehl aus, um die Zugriffseinschränkung auf Websiteebene für Ihre organization mithilfe von PowerShell zu aktivieren:
Set-SPOTenant -EnableRestrictedAccessControl $true
Es kann bis zu einer Stunde dauern, bis der Befehl wirksam wird.
Hinweis
Führen Sie diesen Befehl für Microsoft 365 Multi-Geo-Benutzer separat für jeden gewünschten geografischen Standort aus.
Einschränken des Zugriffs auf mit Gruppen verbundene Websites (Microsoft 365-Gruppen und Teams)
Die Websitezugriffseinschränkungsrichtlinie für mit Gruppen verbundene Websites schränkt den Zugriff auf SharePoint-Websites auf Mitglieder der Microsoft 365-Gruppe oder des Microsoft 365-Teams ein, die der Website zugeordnet sind.
So verwalten Sie die Websitezugriffseinschränkung für eine mit einer Gruppe verbundene Website im SharePoint Admin Center
- Erweitern Sie im SharePoint Admin Center Websites , und wählen Sie Aktive Websites aus.
- Wählen Sie die Website aus, die Sie verwalten möchten, und der Bereich mit den Websitedetails wird angezeigt.
- Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Eingeschränkter Websitezugriff die Option Bearbeiten aus.
- Aktivieren Sie das Kontrollkästchen Zugriff auf diese Website einschränken , und wählen Sie Speichern aus.
Verwenden Sie die folgenden Befehle, um die Websitezugriffseinschränkung für mit einer Gruppe verbundene Websites mithilfe von PowerShell zu verwalten:
| Aktion | PowerShell-Befehl |
|---|---|
| Aktivieren der Websitezugriffseinschränkung für mit einer Gruppe verbundene Website | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Anzeigen der Websitezugriffseinschränkung für mit einer Gruppe verbundene Website | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| Deaktivieren der Websitezugriffseinschränkung für mit einer Gruppe verbundene Website | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
Hinweis
Sobald die Richtlinie für eine Website aktiviert ist, kann der Websitebesitzer die Details darüber anzeigen, wie sich die Richtlinie für die Websitezugriffseinschränkung auf die Website auswirkt.
Für mit Gruppen verbundene Websites werden die Richtlinien status und die konfigurierten Steuerungsgruppendetails in den Bereichen Websiteinformationen und Berechtigungen angezeigt.
Einschränken des Websitezugriffs auf nicht gruppengebundene Websites
Sie können den Zugriff auf nicht gruppengebundene Websites einschränken, indem Sie Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen angeben, die die Personen enthalten, denen der Zugriff auf die Website gewährt werden soll. Sie können bis zu 10 Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen konfigurieren. Nachdem die Richtlinie angewendet wurde, wird Benutzern in der angegebenen Gruppe, die über Websitezugriffsberechtigungen verfügen, Zugriff auf die Website und deren Inhalt gewährt. Sie können dynamische Sicherheitsgruppen verwenden, wenn Sie die Gruppenmitgliedschaft auf Benutzereigenschaften basieren möchten.
So verwalten Sie den Websitezugriff auf einen nicht gruppengebundenen Standort:
Erweitern Sie im SharePoint Admin Center Websites , und wählen Sie Aktive Websites aus.
Wählen Sie die Website aus, die Sie verwalten möchten, und der Bereich mit den Websitedetails wird angezeigt.
Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Eingeschränkter Websitezugriff die Option Bearbeiten aus.
Aktivieren Sie das Kontrollkästchen Zugriff auf SharePoint-Websites auf nur Benutzer in angegebenen Gruppen beschränken .
Fügen Sie Ihre Sicherheitsgruppen oder Microsoft 365-Gruppen hinzu, oder entfernen Sie sie, und wählen Sie Speichern aus.
Damit die Websitezugriffseinschränkung auf den Standort angewendet wird, müssen Sie mindestens eine Gruppe zur Websitezugriffseinschränkungsrichtlinie hinzufügen.
Verwenden Sie die folgenden Befehle, um die Websitezugriffseinschränkung für nicht gruppengebundene Websites mithilfe von PowerShell zu verwalten:
| Aktion | PowerShell-Befehl |
|---|---|
| Aktivieren der Websitezugriffseinschränkung | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Gruppe hinzufügen | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Gruppe bearbeiten | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Gruppe anzeigen | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Gruppe entfernen | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Zurücksetzen der Websitezugriffseinschränkung | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Nach dem Aktivieren der Richtlinie für Kommunikationswebsites werden die Richtlinien status und alle konfigurierten Steuerungsgruppen für Websitebesitzer zusätzlich zu den Bereichen Websiteinformationen und Berechtigungen im Bereich Websitezugriff angezeigt.
Freigegebene und private Kanalwebsites
Freigegebene und private Kanalwebsites sind getrennt von der mit microsoft 365-Gruppe verbundenen Website, die Standardkanäle verwenden. Da freigegebene und private Kanalwebsites nicht mit der Microsoft 365-Gruppe verbunden sind, wirken sich richtlinien für websitezugriffseinschränkung, die auf das Team angewendet werden, nicht darauf aus. Sie müssen die Websitezugriffseinschränkung für jeden freigegebenen oder privaten Kanalstandort separat als nicht gruppengebundene Standorte aktivieren.
Für Freigegebene Kanalwebsites unterliegen nur interne Benutzer im Ressourcenmandanten einer Websitezugriffseinschränkung. Externe Kanalteilnehmer werden von der Richtlinie für Websitezugriffseinschränkung ausgeschlossen und nur anhand der vorhandenen Websiteberechtigungen ausgewertet.
Wichtig
Durch das Hinzufügen von Personen zur Sicherheitsgruppe oder Microsoft 365-Gruppe erhalten Benutzer keinen Zugriff auf den Kanal in Teams. Es wird empfohlen, die gleichen Benutzer des Teams-Kanals in Teams und der Sicherheitsgruppe oder Microsoft 365-Gruppe hinzuzufügen oder zu entfernen, damit Benutzer Zugriff auf Teams und SharePoint haben.
Freigeben von Websites mit richtlinie für eingeschränkten Websitezugriff
Die Freigabe von SharePoint-Websites und deren Inhalten kann für Benutzer und Gruppen blockiert werden, die gemäß der Richtlinie für eingeschränkte Zugriffssteuerung nicht zulässig sind.
Die Freigabesteuerungsfunktion ist standardmäßig deaktiviert. Führen Sie zum Aktivieren den folgenden PowerShell-Befehl in der SharePoint Online-Verwaltungsshell als Administrator aus:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Freigeben für Benutzer
Die Freigabe ist nur für Benutzer zulässig, die Teil von Gruppen mit eingeschränkter Zugriffssteuerung sind. Die Freigabe wird für personen außerhalb der Gruppen mit eingeschränkten Zugriffssteuerungen blockiert, wie unten gezeigt:
Freigeben für Gruppen
Die Freigabe ist für Microsoft Entra Security- oder M365-Gruppen zulässig, die Teil der Liste der Gruppen mit eingeschränktem Zugriff sind. Daher ist die Freigabe für alle anderen Gruppen, einschließlich Jeder außer externen Benutzern oder SharePoint-Gruppen, nicht zulässig.
Hinweis
Derzeit ist die Freigabe einer Website und ihrer Inhalte für die geschachtelten Sicherheitsgruppen, die Teil der Gruppen mit eingeschränkter Zugriffssteuerung sind, nicht zulässig. Diese Unterstützung wird in der nächsten Releaseiteration hinzugefügt.
Konfigurieren des Links "Weitere Informationen" für die Seite "Zugriffsverweigerungsfehler"
Konfigurieren Sie Ihren Link "Weitere Informationen", um Benutzer zu informieren, denen der Zugriff auf eine SharePoint-Website aufgrund der Richtlinie für die eingeschränkte Websitezugriffssteuerung verweigert wurde. Mit diesem anpassbaren Fehlerlink können Sie Ihren Benutzern weitere Informationen und Anleitungen bereitstellen.
Hinweis
Der Link "Weitere Informationen" ist eine Einstellung auf Mandantenebene, die für alle Websites gilt, für die die Richtlinie für die Eingeschränkte Zugriffssteuerung aktiviert ist.
Führen Sie den folgenden Befehl in SharePoint PowerShell aus, um den Link zu konfigurieren:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Führen Sie den folgenden Befehl aus, um den Wert des Links abzurufen:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Der konfigurierte Link weitere Informationen wird gestartet, wenn der Benutzer hier den Link Weitere Informationen zu den Richtlinien Ihrer organization auswählt.
Einblicke in Richtlinien für eingeschränkten Zugriff auf Websites
Als IT-Administrator können Sie die folgenden Berichte anzeigen, um weitere Einblicke in SharePoint-Websites zu erhalten, die mit einer Richtlinie für den eingeschränkten Zugriff auf Websites geschützt sind:
- Websites, die durch eine Richtlinie für eingeschränkten Zugriff auf Websites geschützt sind (RACProtectedSites)
- Details zu Zugriffsverweigerungen aufgrund des eingeschränkten Websitezugriffs (ActionsBlockedByPolicy)
Hinweis
Es kann einige Stunden dauern, jeden Bericht zu generieren.
Bericht zu Websites, die durch Richtlinien für eingeschränkten Zugriff geschützt sind
Sie können die folgenden Befehle in SharePoint PowerShell ausführen, um die Berichte zu generieren, anzuzeigen und herunterzuladen:
| Aktion | PowerShell-Befehl | Beschreibung |
|---|---|---|
| Bericht generieren | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Generiert eine Liste von Websites, die durch eine Richtlinie für eingeschränkten Websitezugriff geschützt sind. |
| Bericht anzeigen | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Der Bericht zeigt die 100 Websites mit den höchsten Seitenaufrufen an, die durch die Richtlinie geschützt sind. |
| Bericht herunterladen | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Dieser Befehl muss als Administrator ausgeführt werden. Der heruntergeladene Bericht befindet sich in dem Pfad, unter dem der Befehl ausgeführt wurde. |
| Prozentsatz der Website, die mit einem Eingeschränkten Websitezugriffsbericht geschützt ist | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Dieser Bericht zeigt den Prozentsatz der Websites, die durch die Richtlinie geschützt sind, an der Gesamtzahl der Websites an. |
Zugriffsverweigerungen aufgrund einer Richtlinie für eingeschränkten Websitezugriff
Sie können die folgenden Befehle ausführen, um Berichte für Zugriffsverweigerungen aufgrund von Berichten über eingeschränkten Websitezugriff zu erstellen, abzurufen und anzuzeigen:
| Aktion | PowerShell-Befehl | Beschreibung |
|---|---|---|
| Erstellen eines Berichts zu Zugriffsverweigerungen | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Erstellt einen neuen Bericht zum Abrufen von Zugriffsverweigerungsdetails. |
| Abrufen des Zugriffsverweigerungsberichts status | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Ruft die status des generierten Berichts ab. |
| Letzte Zugriffsverweigerung in den letzten 28 Tagen | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Ruft eine Liste der letzten 100 Zugriffsverweigerungen ab, die in den letzten 28 Tagen aufgetreten sind. |
| Anzeigen der Liste der wichtigsten Benutzer, denen der Zugriff verweigert wurde | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Ruft eine Liste der 100 häufigsten Benutzer ab, die die meisten Zugriffsverweigerungen erhalten haben. |
| Anzeigen der Liste der wichtigsten Websites, die die meisten Zugriffsverweigerungen erhalten haben | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Ruft eine Liste der 100 websites mit den meisten Zugriffsverweigerungen ab. |
| Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Standorten | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Zeigt die Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Websites an. |
Hinweis
Um bis zu 10.000 Ablehnungen anzuzeigen, müssen Sie die Berichte herunterladen. Führen Sie den Downloadbefehl als Administrator aus, und die heruntergeladenen Berichte befinden sich in dem Pfad, von dem aus der Befehl ausgeführt wurde.
Überwachung
Überwachungsereignisse sind im Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Websitezugriffseinschränkungsaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:
- Anwenden der Websitezugriffseinschränkung für die Website
- Entfernen der Websitezugriffseinschränkung für die Website
- Ändern von Websitezugriffseinschränkungsgruppen für website
Verwandte Artikel
Richtlinie für bedingten Zugriff für SharePoint-Websites und OneDrive