Limitare l'accesso al sito di SharePoint con i gruppi di Microsoft 365 e i gruppi di sicurezza Entra
Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint
È possibile limitare l'accesso ai siti e al contenuto di SharePoint agli utenti di un gruppo specifico usando criteri di restrizione dell'accesso al sito. Gli utenti che non fanno parte del gruppo specificato non possono accedere al sito o al relativo contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso. Questo criterio può essere usato con i siti connessi al gruppo, connessi a Teams e non connessi al gruppo di Microsoft 365.
I criteri di restrizione dell'accesso al sito vengono applicati quando un utente tenta di aprire un sito o di accedere a un file. Gli utenti con autorizzazioni dirette per il file possono comunque visualizzare i file nei risultati della ricerca. Tuttavia, non possono accedere ai file se non fanno parte del gruppo specificato.
La limitazione dell'accesso al sito tramite l'appartenenza a gruppi può ridurre al minimo il rischio di sovrasollamento del contenuto. Per informazioni dettagliate sulla condivisione dei dati, vedere Report sulla governance dell'accesso ai dati.
Prerequisiti
I criteri di restrizione dell'accesso al sito richiedono Microsoft SharePoint Premium - Gestione avanzata SharePoint.
Abilitare la restrizione di accesso a livello di sito per l'organizzazione
È necessario abilitare la restrizione di accesso a livello di sito per l'organizzazione prima di poterla configurare per i singoli siti.
Per abilitare la restrizione di accesso a livello di sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint:
Espandere Criteri e selezionare Controllo di accesso.
Selezionare Restrizione di accesso a livello di sito.
Selezionare Consenti restrizione di accesso e quindi selezionare Salva.
Per abilitare la restrizione di accesso a livello di sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:
Set-SPOTenant -EnableRestrictedAccessControl $true
L'effetto del comando potrebbe richiedere fino a un'ora
Nota
Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.
Limitare l'accesso ai siti connessi al gruppo (Gruppi di Microsoft 365 e Teams)
I criteri di restrizione dell'accesso al sito per i siti connessi al gruppo limitano l'accesso al sito di SharePoint ai membri del gruppo o del team di Microsoft 365 associato al sito.
Per gestire la restrizione di accesso al sito per un sito connesso al gruppo nell'interfaccia di amministrazione di SharePoint
- Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.
- Selezionare il sito da gestire e viene visualizzato il pannello dei dettagli del sito.
- Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni .
- Selezionare la casella Limita accesso a questo sito e selezionare Salva.
Per gestire la restrizione di accesso al sito per i siti connessi al gruppo tramite PowerShell, usare i comandi seguenti:
| Azione | Comando PowerShell |
|---|---|
| Abilitare la restrizione di accesso al sito per il sito connesso al gruppo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Visualizzare la restrizione di accesso al sito per il sito connesso al gruppo | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| Disabilitare la restrizione di accesso al sito per il sito connesso al gruppo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
Nota
Dopo aver abilitato i criteri per un sito, il proprietario del sito può visualizzare i dettagli del modo in cui i criteri di restrizione dell'accesso al sito influiscono sul sito.
Per i siti connessi al gruppo, lo stato dei criteri e i dettagli del gruppo di controllo configurato vengono visualizzati nei pannelli Informazioni sito e Autorizzazioni .
Limitare l'accesso al sito a siti non connessi a gruppi
È possibile limitare l'accesso ai siti non connessi a gruppi specificando i gruppi di sicurezza Entra o i gruppi di Microsoft 365 che contengono le persone a cui deve essere consentito l'accesso al sito. È possibile configurare fino a 10 gruppi di sicurezza Entra o gruppi di Microsoft 365. Dopo l'applicazione dei criteri, agli utenti del gruppo specificato con autorizzazioni di accesso al sito viene concesso l'accesso al sito e al relativo contenuto. È possibile usare i gruppi di sicurezza dinamici se si vuole basare l'appartenenza ai gruppi sulle proprietà utente.
Per gestire l'accesso al sito a un sito connesso non di gruppo:
Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.
Selezionare il sito da gestire e viene visualizzato il pannello dei dettagli del sito.
Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni .
Selezionare la casella di controllo Limita l'accesso al sito di SharePoint solo agli utenti nei gruppi specificati .
Aggiungere o rimuovere i gruppi di sicurezza o i gruppi di Microsoft 365 e selezionare Salva.
Affinché la restrizione di accesso al sito venga applicata al sito, è necessario aggiungere almeno un gruppo ai criteri di restrizione dell'accesso al sito.
Per gestire la restrizione di accesso al sito per i siti connessi non di gruppo tramite PowerShell, usare i comandi seguenti:
| Azione | Comando PowerShell |
|---|---|
| Abilitare la restrizione di accesso al sito | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Aggiunta di un gruppo | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Modifica gruppo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Visualizzare il gruppo | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Rimuovi gruppo | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Reimpostare la restrizione di accesso al sito | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Dopo aver abilitato i criteri per i siti di comunicazione, lo stato dei criteri e tutti i gruppi di controllo configurati vengono visualizzati per i proprietari del sito nel pannello di accesso al sito oltre ai pannelli Informazioni sito e Autorizzazioni .
Siti di canale condivisi e privati
I siti di canale condivisi e privati sono separati dal sito connesso al gruppo di Microsoft 365 usato dai canali standard. Poiché i siti di canale condivisi e privati non sono connessi al gruppo di Microsoft 365, i criteri di restrizione dell'accesso al sito applicati al team non li influiscono. È necessario abilitare la restrizione di accesso al sito per ogni sito di canale condiviso o privato separatamente come siti connessi non di gruppo.
Per i siti di canale condiviso, solo gli utenti interni nel tenant delle risorse sono soggetti a restrizioni di accesso al sito. I partecipanti al canale esterno vengono esclusi dai criteri di restrizione dell'accesso al sito e valutati solo in base alle autorizzazioni del sito esistenti del sito.
Importante
L'aggiunta di persone al gruppo di sicurezza o al gruppo di Microsoft 365 non consente agli utenti di accedere al canale in Teams. È consigliabile aggiungere o rimuovere gli stessi utenti del canale teams in Teams e nel gruppo di sicurezza o nel gruppo di Microsoft 365 in modo che gli utenti abbiano accesso sia a Teams che a SharePoint.
Condivisione di siti con criteri di accesso al sito con restrizioni
La condivisione dei siti di SharePoint e del relativo contenuto può essere bloccata con utenti e gruppi non consentiti in base ai criteri di controllo di accesso con restrizioni.
La funzionalità di controllo di condivisione è disabilitata per impostazione predefinita. Per abilitarlo, eseguire il comando di PowerShell seguente in SharePoint Online Management Shell come amministratore:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Condivisione con gli utenti
La condivisione è consentita solo con gli utenti che fanno parte di gruppi di controllo di accesso con restrizioni. La condivisione verrà bloccata con tutti gli utenti esterni ai gruppi di controllo di accesso con restrizioni, come illustrato di seguito:
Condivisione con gruppi
La condivisione è consentita con i gruppi Microsoft Entra Security o M365 che fanno parte dell'elenco di gruppi di controllo di accesso con restrizioni. Pertanto, la condivisione con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint, non sarà consentita.
Nota
Attualmente, la condivisione di un sito e del relativo contenuto non sarà consentita per i gruppi di sicurezza annidati che fanno parte dei gruppi di controllo di accesso con restrizioni. Questo supporto verrà aggiunto nell'iterazione della versione successiva.
Configurare il collegamento per altre informazioni per la pagina degli errori di negazione dell'accesso
Configurare il collegamento altre informazioni per informare gli utenti a cui è stato negato l'accesso a un sito di SharePoint a causa dei criteri di controllo di accesso al sito con restrizioni. Con questo collegamento di errore personalizzabile, è possibile fornire altre informazioni e indicazioni agli utenti.
Nota
Il collegamento Altre informazioni è un'impostazione a livello di tenant che si applica a tutti i siti in cui sono abilitati criteri di controllo di accesso con restrizioni.
Per configurare il collegamento, eseguire il comando seguente in SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Per recuperare il valore del collegamento, eseguire il comando seguente:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Il collegamento per altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .
Informazioni dettagliate sui criteri di accesso al sito con restrizioni
In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere informazioni più dettagliate sui siti di SharePoint protetti con criteri di accesso al sito con restrizioni:
- Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
- Dettagli delle negazioni di accesso dovute all'accesso limitato al sito (ActionsBlockedByPolicy)
Nota
La generazione di ogni report può richiedere alcune ore.
Report dei siti protetti da criteri di accesso ai siti con restrizioni
È possibile eseguire i comandi seguenti in SharePoint PowerShell per generare, visualizzare e scaricare i report:
| Azione | Comando PowerShell | Descrizione |
|---|---|---|
| Generare report | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Genera un elenco di siti protetti da criteri di accesso ai siti con restrizioni |
| Visualizzare il report | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Il report mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri. |
| Scaricare il report | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Questo comando deve essere eseguito come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando. |
| Percentuale di siti protetti con report di accesso al sito con restrizioni | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti |
Access denials a causa di criteri di accesso al sito con restrizioni
È possibile eseguire i comandi seguenti per creare, recuperare e visualizzare report per attacchi denial di accesso a causa di report di accesso al sito con restrizioni:
| Azione | Comando PowerShell | Descrizione |
|---|---|---|
| Creare un report access denials | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crea un nuovo report per il recupero dei dettagli di negazione di accesso |
| Recuperare lo stato del report access denials | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Recupera lo stato del report generato. |
| Negazioni di accesso più recenti negli ultimi 28 giorni | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Ottiene un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni |
| Visualizzare l'elenco dei principali utenti a cui è stato negato l'accesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Ottiene un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di access denial |
| Visualizzare l'elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Ottiene un elenco dei primi 100 siti con il maggior numero di access denial |
| Distribuzione di negazioni di accesso tra diversi tipi di siti | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Mostra la distribuzione di access denial tra diversi tipi di siti |
Nota
Per visualizzare fino a 10.000 negazioni, è necessario scaricare i report. Eseguire il comando di download come amministratore e i report scaricati si troveranno nel percorso da cui è stato eseguito il comando.
Controllo
Gli eventi di controllo sono disponibili nel portale di conformità di Purview per monitorare le attività di restrizione dell'accesso al sito. Gli eventi di controllo vengono registrati per le attività seguenti:
- Applicazione della restrizione di accesso al sito per il sito
- Rimozione della restrizione di accesso al sito per il sito
- Modifica dei gruppi di restrizioni di accesso al sito per il sito
Articoli correlati
Criteri di accesso condizionale per siti di SharePoint e OneDrive