Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El control de acceso restringido al sitio ayuda a evitar el uso compartido excesivo al designar el acceso de los sitios de SharePoint y su contenido a los usuarios de un grupo específico. Los usuarios que no están en el grupo especificado no pueden acceder al sitio ni a su contenido, incluso si tenían permisos anteriores o un vínculo compartido. Puede aplicar esta directiva en sitios conectados a grupos de Microsoft 365, conectados a Teams y no conectados a grupos mediante grupos de Microsoft 365 o grupos de seguridad Microsoft Entra.
Las directivas de restricción de acceso al sitio surten efecto cuando un usuario intenta abrir un sitio o acceder a un archivo. Los usuarios con permisos directos para el archivo todavía pueden ver archivos en los resultados de la búsqueda. Sin embargo, no pueden acceder a los archivos si no forman parte del grupo especificado.
Restringir el acceso al sitio a través de la pertenencia a grupos puede minimizar el riesgo de compartir contenido en exceso. Para obtener información sobre el uso compartido de datos, consulte Informes de gobernanza del acceso a datos.
¿Qué necesita para restringir el acceso al sitio?
Consulte Requisitos previos para la administración avanzada de SharePoint.
Habilitación de la restricción de acceso de nivel de sitio para su organización
Debe habilitar la restricción de acceso de nivel de sitio para su organización para poder configurarla para sitios individuales. También puede delegar el control de restricción de acceso al sitio a todos los administradores de sitio de su organización.
Para habilitar la restricción de acceso de nivel de sitio para su organización en el Centro de administración de SharePoint, siga estos pasos:
Expanda Directivas y seleccione Control de acceso.
Seleccione Restricción de acceso de nivel de sitio.
Seleccione Permitir restricción de acceso y, a continuación, seleccione Guardar.
Para habilitar la restricción de acceso de nivel de sitio para su organización mediante PowerShell, ejecute el siguiente comando:
Set-SPOTenant -EnableRestrictedAccessControl $true
El comando puede tardar hasta una hora en surtir efecto.
Delegar la administración de Access Control restringidas a administradores del sitio
Como administrador de SharePoint, también puede delegar la administración de Access Control restringidos a los administradores del sitio. Si actualizan la directiva, deben proporcionar una justificación adecuada sobre por qué se está actualizando la directiva.
De forma predeterminada, la delegación está desactivada. Si decide habilitarlo, ejecute el siguiente comando:
Set-SPOTenant -DelegateRestrictedAccessControlManagement $true
Una vez que el Access Control restringido se delega en todos los administradores del sitio, pueden administrar la directiva.
Comprobación del estado de la administración de delegados del control de acceso restringido a los administradores del sitio
Para comprobar el estado de la delegación, ejecute el siguiente comando:
Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement
Nota:
Para los usuarios de Microsoft 365 Multi-Geo, ejecute este comando por separado para cada ubicación geográfica deseada.
Restringir el acceso a todos los sitios de SharePoint mediante grupos de Microsoft 365 o grupos de seguridad de Microsoft Entra
Puede restringir el acceso a un sitio de SharePoint especificando Microsoft Entra grupos de seguridad o grupos de Microsoft 365 como grupo de Access Control restringido. El grupo de control debe incluir los usuarios a los que se permite el acceso al sitio y su contenido.
Para un sitio, puede configurar hasta 10 grupos de seguridad Microsoft Entra o grupos de Microsoft 365. Una vez que aplique la directiva, se concederá acceso a los usuarios del grupo especificado que tengan permiso de acceso al contenido.
Importante
Agregar personas al grupo de Access Control restringido (Microsoft Entra grupo de seguridad o grupo de Microsoft 365) no concede automáticamente a los usuarios permiso de acceso al sitio o al contenido. Para que un usuario acceda al contenido protegido por esta directiva, el usuario necesita el permiso de acceso al sitio o al contenido y ser miembro del grupo Access Control restringido.
Nota:
También puede usar grupos de seguridad dinámicos como un grupo de Access Control restringido si desea basar la pertenencia a grupos en las propiedades de usuario.
Administración del acceso al sitio para un sitio
Para administrar el acceso al sitio de un sitio, siga estos pasos:
En el Centro de administración de SharePoint, expanda Sitios y seleccione Sitios activos.
Seleccione el sitio que desea administrar. Aparece el panel de detalles del sitio.
En la pestaña Configuración , seleccione Editar en la sección Acceso restringido al sitio.
Active la casilla Restringir el acceso del sitio de SharePoint solo a los usuarios de grupos especificados .
Agregue o quite los grupos de seguridad o los grupos de Microsoft 365 y seleccione Guardar.
Para aplicar la restricción de acceso al sitio, debe agregar al menos un grupo a la directiva de restricción de acceso al sitio.
Para un sitio conectado de grupo, el grupo de Microsoft 365 conectado al sitio es el grupo de Access Control restringido predeterminado. Puede elegir mantener este grupo y agregar más grupos de seguridad de Microsoft 365 o Microsoft Entra como grupo de Access Control restringido.
Nota:
Hay una etiqueta etiquetada como Grupo predeterminado marcada con el grupo de Microsoft 365 conectado al sitio, como se muestra en la imagen anterior.
Para administrar la restricción de acceso al sitio de un sitio de SharePoint mediante PowerShell, use los siguientes comandos:
| Acción | Comando de PowerShell |
|---|---|
| Habilitación de la restricción de acceso al sitio | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Agregar grupo | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Editar grupo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Ver grupo | Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Quitar grupo | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Restablecer la restricción de acceso al sitio | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Experiencia de administrador del sitio
Después de delegar el control de restricción de acceso al sitio a los administradores del sitio, pueden configurar la configuración de restricción de acceso al sitio en el panel Información del sitio.
Para restringir el acceso a un sitio de SharePoint:
- Limite quién puede acceder a un sitio mediante Microsoft Entra grupos de seguridad o grupos de Microsoft 365.
- Agregue los grupos que contienen los usuarios que deben tener acceso.
- Agregue hasta 10 grupos para cada sitio.
- Al guardar la configuración de restricción de acceso al sitio, solo los usuarios de esos grupos y los usuarios que ya tienen permiso para el contenido pueden acceder al sitio.
- Proporcione una justificación cada vez que actualice la configuración de restricción de acceso al sitio.
Experiencia del propietario del sitio
Después de aplicar la directiva al sitio, el panel Acceso al sitio muestra el estado de la directiva y todos los grupos de control configurados para los propietarios del sitio, además de los paneles Información del sitio y Permisos .
Sitios de canal compartidos y privados
Los sitios de canal compartido y privado son independientes del sitio conectado a grupos de Microsoft 365 que usan los canales estándar. Dado que los sitios de canal compartido y privado no están conectados al grupo de Microsoft 365, las directivas de restricción de acceso al sitio aplicadas al equipo no les afectan. Debe habilitar la restricción de acceso al sitio para cada sitio de canal compartido o privado por separado como sitios conectados no agrupados.
En el caso de los sitios de canal compartido, solo los usuarios internos del inquilino del recurso están sujetos a restricciones de acceso al sitio. Los participantes del canal externo se excluyen de la directiva de restricción de acceso al sitio y solo se evalúan según los permisos de sitio existentes del sitio.
Importante
Agregar personas al grupo de seguridad o al grupo de Microsoft 365 no da a los usuarios acceso al canal en Teams. Agregue o quite los mismos usuarios del canal de Teams en Teams y el grupo de seguridad o grupo de Microsoft 365, por lo que los usuarios tienen acceso a los sitios de Teams y SharePoint.
Auditoría
El portal de Microsoft Purview proporciona eventos de auditoría que le ayudan a supervisar las actividades de restricción de acceso al sitio. El sistema registra eventos de auditoría para las siguientes actividades:
- Aplicación de la restricción de acceso al sitio para un sitio
- Eliminación de la restricción de acceso al sitio para un sitio
- Cambio de grupos de restricciones de acceso al sitio para un sitio
- Justificación del administrador del sitio para actualizar la restricción de acceso al sitio
Reporting
Información de directivas de acceso a sitios restringidos
Como administrador de TI, puede ver los informes siguientes para obtener más información sobre los sitios de SharePoint protegidos con la directiva de acceso a sitios restringidos:
- Sitios protegidos por la directiva de acceso a sitios restringidos (RACProtectedSites)
- Detalles de denegaciones de acceso debido a la directiva de acceso restringido al sitio (ActionsBlockedByPolicy)
Los informes no están disponibles actualmente para Gallatin, incluso si tiene las licencias necesarias.
Nota:
Cada informe puede tardar unas horas en generarse.
Sitios protegidos por un informe de directiva de acceso a sitios restringidos
Ejecute los siguientes comandos en SharePoint PowerShell para generar, ver y descargar los informes:
| Acción | Comando de PowerShell | Descripción |
|---|---|---|
| Generar informe | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Genera una lista de sitios protegidos por la directiva de acceso a sitios restringidos |
| Ver informe | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
El informe muestra los 100 sitios principales con las vistas de página más altas protegidas por la directiva. |
| Descargar informe | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Ejecute este comando como administrador. El informe descargado se encuentra en la ruta de acceso donde se ejecutó el comando. |
| Porcentaje de sitio protegido con un informe de acceso restringido al sitio | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Este informe muestra el porcentaje de sitios protegidos por la directiva del número total de sitios |
Denegaciones de acceso debido al informe de directiva de acceso restringido al sitio
Ejecute los siguientes comandos para crear, capturar y ver el informe de denegaciones de acceso debido a informes de acceso restringido al sitio:
| Acción | Comando de PowerShell | Descripción |
|---|---|---|
| Creación de un informe de denegación de acceso | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crea un nuevo informe para capturar detalles de denegación de acceso |
| Captura del estado del informe de denegaciones de acceso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Captura el estado del informe generado. |
| Denegaciones de acceso más recientes en los últimos 28 días | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Obtiene una lista de las 100 denegaciones de acceso más recientes que se han producido en los últimos 28 días. |
| Visualización de la lista de usuarios principales a los que se denegó el acceso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Obtiene una lista de los 100 usuarios principales que recibieron más denegaciones de acceso. |
| Visualización de la lista de sitios principales que recibieron la mayoría de las denegaciones de acceso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Obtiene una lista de los 100 sitios principales que tenían más denegaciones de acceso. |
| Distribución de denegaciones de acceso entre diferentes tipos de sitios | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Muestra la distribución de denegaciones de acceso entre diferentes tipos de sitios. |
Nota:
Para ver hasta 10 000 denegaciones, debe descargar los informes. Ejecute el comando de descarga como administrador. Los informes descargados se encuentran en la ruta de acceso donde se ejecuta el comando.
Uso compartido del sitio y el contenido con usuarios fuera de grupos de Access Control restringidos (funcionalidad de participación)
De forma predeterminada, el uso compartido de sitios de SharePoint y su contenido no sigue la directiva de acceso restringido al sitio. El administrador de SharePoint puede optar por restringir el uso compartido de un sitio y su contenido con usuarios que no son miembros del grupo de Access Control restringido.
Para restringir la funcionalidad de uso compartido a usuarios fuera del grupo de Access Control restringido, ejecute el siguiente comando de PowerShell en Shell de administración de SharePoint Online como administrador:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Uso compartido con usuarios
Al aplicar la restricción de uso compartido, bloquea el uso compartido para los usuarios que no son miembros del grupo de Access Control restringido.
Uso compartido con grupos
Se permite el uso compartido con Microsoft Entra Security o grupos de Microsoft 365 que forman parte de la lista grupos de Access Control restringidos. No se permite el uso compartido con todos los demás grupos, incluidos Todos excepto usuarios externos o grupos de SharePoint.
Nota:
Ahora se permite el uso compartido de un sitio y su contenido para los grupos de seguridad anidados que forman parte de los grupos de Access Control restringidos.
Configurar el vínculo Más información para la página de error de denegación de acceso (funcionalidad de participación)
Configure el vínculo Más información para informar a los usuarios a los que se les deniega el acceso a un sitio de SharePoint debido a la directiva de control de acceso a sitios restringidos. Al personalizar este vínculo de error, puede proporcionar más información e instrucciones a los usuarios.
Nota:
El vínculo Más información es una configuración de nivel de inquilino que se aplica a todos los sitios con la directiva de Access Control restringido habilitada.
Para configurar el vínculo, ejecute el siguiente comando en SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
Para capturar el valor del vínculo, ejecute el siguiente comando:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
El vínculo Más información configurado se inicia cuando el usuario selecciona el vínculo Más información sobre las directivas de su organización aquí .
Artículos relacionados
Directiva de acceso condicional para sitios de SharePoint y OneDrive