Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint
Il controllo degli accessi al sito con restrizioni consente di impedire la sovrasciezione designando l'accesso dei siti di SharePoint e del relativo contenuto agli utenti di un gruppo specifico. Gli utenti che non fanno parte del gruppo specificato non possono accedere al sito o al relativo contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso. Questo criterio può essere applicato ai siti connessi a gruppi, a Teams e non connessi a gruppi di Microsoft 365 usando gruppi di Microsoft 365 o gruppi di sicurezza Microsoft Entra.
I criteri di restrizione dell'accesso al sito vengono applicati quando un utente tenta di aprire un sito o di accedere a un file. Gli utenti con autorizzazioni dirette per il file possono comunque visualizzare i file nei risultati della ricerca. Tuttavia, non possono accedere ai file se non fanno parte del gruppo specificato.
La limitazione dell'accesso al sito tramite l'appartenenza a gruppi può ridurre al minimo il rischio di sovrasollamento del contenuto. Per informazioni dettagliate sulla condivisione dei dati, vedere Report sulla governance dell'accesso ai dati.
Prerequisiti
I criteri di restrizione dell'accesso al sito richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint.
Abilitare la restrizione di accesso a livello di sito per l'organizzazione
È necessario abilitare la restrizione di accesso a livello di sito per l'organizzazione prima di poterla configurare per i singoli siti.
Per abilitare la restrizione di accesso a livello di sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint:
Espandere Criteri e selezionare Controllo di accesso.
Selezionare Restrizione di accesso a livello di sito.
Selezionare Consenti restrizione di accesso e quindi selezionare Salva.
Per abilitare la restrizione di accesso a livello di sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:
Set-SPOTenant -EnableRestrictedAccessControl $true
L'applicazione del comando potrebbe richiedere fino a un'ora.
Nota
Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.
Limitare l'accesso a tutti i siti di SharePoint usando il gruppo di Microsoft 365 o i gruppi di sicurezza Microsoft Entra
È possibile limitare l'accesso a un sito di SharePoint specificando Microsoft Entra gruppi di sicurezza o i gruppi di Microsoft 365 come gruppo con restrizioni Controllo di accesso. Il gruppo di controllo deve avere gli utenti a cui deve essere consentito l'accesso al sito e al relativo contenuto.
Per un sito, è possibile configurare fino a 10 gruppi di sicurezza Microsoft Entra o gruppi di Microsoft 365. Dopo aver applicato i criteri, agli utenti del gruppo specificato che dispongono dell'autorizzazione di accesso al contenuto è consentito l'accesso.
Importante
L'aggiunta di utenti al gruppo restricted Controllo di accesso (Microsoft Entra gruppo di sicurezza o al gruppo di Microsoft 365) non concede automaticamente agli utenti l'autorizzazione di accesso al sito o al contenuto. Per consentire a un utente di accedere al contenuto protetto con questo criterio, è necessario che l'utente disponga dell'autorizzazione di accesso al sito o al contenuto e che sia membro del gruppo Con restrizioni Controllo di accesso.
Nota
È anche possibile usare i gruppi di sicurezza dinamici come gruppo con restrizioni Controllo di accesso se si vuole basare l'appartenenza al gruppo sulle proprietà utente.
Gestire l'accesso al sito per un sito
Per gestire l'accesso al sito per un sito:
- Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.
- Selezionare il sito da gestire e viene visualizzato il pannello dei dettagli del sito.
- Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni.
- Selezionare la casella di controllo Limita l'accesso al sito di SharePoint solo agli utenti nei gruppi specificati .
- Aggiungere o rimuovere i gruppi di sicurezza o i gruppi di Microsoft 365 e selezionare Salva.
Affinché la restrizione di accesso al sito venga applicata al sito, è necessario aggiungere almeno un gruppo ai criteri di restrizione dell'accesso al sito.
Per un sito connesso a un gruppo, il gruppo di Microsoft 365 connesso al sito viene aggiunto come gruppo Controllo di accesso con restrizioni predefinito. È possibile scegliere di mantenere questo gruppo e aggiungere altri gruppi di sicurezza di Microsoft 365 o Microsoft Entra come gruppo con restrizioni Controllo di accesso.
Nota
Esiste un tag etichettato come Gruppo predefinito contrassegnato per il gruppo di Microsoft 365 connesso al sito, come illustrato nell'immagine precedente.
Per gestire la restrizione di accesso al sito per un sito di SharePoint tramite PowerShell, usare i comandi seguenti:
| Azione | Comando PowerShell |
|---|---|
| Abilitare la restrizione di accesso al sito | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Aggiunta di un gruppo | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Modifica gruppo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Visualizzare il gruppo | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Rimuovi gruppo | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Reimpostare la restrizione di accesso al sito | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Esperienza di amministratore del sito e proprietario del sito
Dopo aver applicato i criteri al sito, lo stato dei criteri e tutti i gruppi di controllo configurati vengono visualizzati per i proprietari del sito e gli amministratori del sito nel pannello di accesso al sito oltre ai pannelli Informazioni sito e Autorizzazioni .
Siti di canale condivisi e privati
I siti di canale condivisi e privati sono separati dal sito connesso al gruppo di Microsoft 365 usato dai canali standard. Poiché i siti di canale condivisi e privati non sono connessi al gruppo di Microsoft 365, i criteri di restrizione dell'accesso al sito applicati al team non li influiscono. È necessario abilitare separatamente la restrizione di accesso al sito per ogni sito di canale condiviso o privato come siti connessi non a gruppi.
Per i siti di canale condiviso, solo gli utenti interni nel tenant delle risorse sono soggetti a restrizioni di accesso al sito. I partecipanti al canale esterno vengono esclusi dai criteri di restrizione dell'accesso al sito e valutati solo in base alle autorizzazioni del sito esistenti del sito.
Importante
L'aggiunta di persone al gruppo di sicurezza o al gruppo di Microsoft 365 non consente agli utenti di accedere al canale in Teams. È consigliabile aggiungere o rimuovere gli stessi utenti del canale Teams in Teams e nel gruppo di sicurezza o nel gruppo di Microsoft 365, in modo che gli utenti abbiano accesso ai siti di Teams e SharePoint.
Controllo
Gli eventi di controllo sono disponibili nel portale di Microsoft Purview per monitorare le attività di restrizione dell'accesso al sito. Gli eventi di controllo vengono registrati per le attività seguenti:
- Applicazione della restrizione di accesso al sito per il sito
- Rimozione della restrizione di accesso al sito per il sito
- Modifica dei gruppi di restrizioni di accesso al sito per il sito
Creazione di report
Informazioni dettagliate sui criteri di accesso al sito con restrizioni
In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere informazioni più dettagliate sui siti di SharePoint protetti con criteri di accesso al sito con restrizioni:
- Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
- Dettagli delle negazioni di accesso dovute all'accesso limitato al sito (ActionsBlockedByPolicy)
Nota
La generazione di ogni report può richiedere alcune ore.
Report dei siti protetti da criteri di accesso ai siti con restrizioni
È possibile eseguire i comandi seguenti in SharePoint PowerShell per generare, visualizzare e scaricare i report:
| Azione | Comando PowerShell | Descrizione |
|---|---|---|
| Generare report | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Genera un elenco di siti protetti da criteri di accesso ai siti con restrizioni |
| Visualizzare il report | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Il report mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri. |
| Scaricare il report | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Questo comando deve essere eseguito come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando. |
| Percentuale di siti protetti con report di accesso al sito con restrizioni | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti |
Access denials due to restricted site access policy report
È possibile eseguire i comandi seguenti per creare, recuperare e visualizzare report per attacchi denial di accesso a causa di report di accesso al sito con restrizioni:
| Azione | Comando PowerShell | Descrizione |
|---|---|---|
| Creare un report access denials | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crea un nuovo report per il recupero dei dettagli di negazione di accesso |
| Recuperare lo stato del report access denials | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Recupera lo stato del report generato. |
| Negazioni di accesso più recenti negli ultimi 28 giorni | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Ottiene un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni |
| Visualizzare l'elenco dei principali utenti a cui è stato negato l'accesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Ottiene un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di access denial |
| Visualizzare l'elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Ottiene un elenco dei primi 100 siti con il maggior numero di access denial |
| Distribuzione di negazioni di accesso tra diversi tipi di siti | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Mostra la distribuzione di access denial tra diversi tipi di siti |
Nota
Per visualizzare fino a 10.000 negazioni, è necessario scaricare i report. Eseguire il comando di download come amministratore e i report scaricati si trovano nel percorso da cui è stato eseguito il comando.
Condivisione del sito e del contenuto con utenti esterni ai gruppi di Controllo di accesso con restrizioni (funzionalità di consenso esplicito)
Per impostazione predefinita, la condivisione dei siti di SharePoint e del relativo contenuto non rispetta i criteri di accesso ai siti con restrizioni. L'amministratore di SharePoint può scegliere di limitare la condivisione del sito e del relativo contenuto con gli utenti che non sono membri del gruppo Con restrizioni Controllo di accesso.
Per limitare la funzionalità di condivisione con utenti esterni al gruppo Restricted Controllo di accesso, abilitarla, eseguire il comando di PowerShell seguente in SharePoint Online Management Shell come amministratore:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Condivisione con gli utenti
Dopo aver applicato la restrizione di condivisione, la condivisione viene bloccata per gli utenti che non sono membri del gruppo Restricted Controllo di accesso.
Condivisione con gruppi
La condivisione è consentita con i gruppi Microsoft Entra Security o Microsoft 365 che fanno parte dell'elenco Gruppi di Controllo di accesso con restrizioni. Pertanto, la condivisione con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint, non è consentita.
Nota
La condivisione di un sito e del relativo contenuto non è consentita per i gruppi di sicurezza annidati che fanno parte dei gruppi con restrizioni Controllo di accesso. Questo supporto verrà aggiunto nell'iterazione della versione successiva.
Configurare il collegamento Altre informazioni per la pagina degli errori di rifiuto di accesso (funzionalità di consenso esplicito)
Configurare il collegamento Altre informazioni per informare gli utenti a cui è stato negato l'accesso a un sito di SharePoint a causa dei criteri di controllo di accesso al sito con restrizioni. Con questo collegamento di errore personalizzabile, è possibile fornire altre informazioni e indicazioni agli utenti.
Nota
Il collegamento Altre informazioni è un'impostazione a livello di tenant che si applica a tutti i siti con criteri di Controllo di accesso con restrizioni abilitati.
Per configurare il collegamento, eseguire il comando seguente in SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Per recuperare il valore del collegamento, eseguire il comando seguente:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Il collegamento per altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .
Articoli correlati
Criteri di accesso condizionale per siti di SharePoint e OneDrive