Restringir o acesso ao site SharePoint com grupos do Microsoft 365 e grupos de segurança Entra
Algumas funcionalidades neste artigo requerem o Microsoft SharePoint Premium – Gestão Avançada do SharePoint
Pode restringir o acesso a sites e conteúdos do SharePoint a utilizadores num grupo específico através de uma política de restrição de acesso a sites. Os utilizadores que não estejam no grupo especificado não podem aceder ao site ou ao respetivo conteúdo, mesmo que tenham permissões anteriores ou uma ligação partilhada. Esta política pode ser utilizada com sites ligados a grupos do Microsoft 365, ligados ao Teams e não ligados a grupos.
As políticas de restrição de acesso ao site são aplicadas quando um utilizador tenta abrir um site ou aceder a um ficheiro. Os utilizadores com permissões diretas para o ficheiro ainda podem ver ficheiros nos resultados da pesquisa. No entanto, não poderão aceder aos ficheiros se não fizerem parte do grupo especificado.
Restringir o acesso ao site através da associação a grupos pode minimizar o risco de partilha excessiva de conteúdos. Para obter informações sobre a partilha de dados, veja Relatórios de governação de acesso a dados.
Pré-requisitos
A política de restrição de acesso ao site requer o Microsoft SharePoint Premium – Gestão Avançada do SharePoint.
Ativar a restrição de acesso ao nível do site para a sua organização
Tem de ativar a restrição de acesso ao nível do site para a sua organização antes de a poder configurar para sites individuais.
Para ativar a restrição de acesso ao nível do site para a sua organização no centro de administração do SharePoint:
Expanda Políticas e selecione Controlo de acesso.
Selecione Restrição de acesso ao nível do site.
Selecione Permitir restrição de acesso e, em seguida, selecione Guardar.
Para ativar a restrição de acesso ao nível do site para a sua organização com o PowerShell, execute o seguinte comando:
Set-SPOTenant -EnableRestrictedAccessControl $true
O comando pode demorar até uma hora a entrar em vigor
Observação
Para utilizadores do Microsoft 365 Multi-Geo, execute este comando separadamente para cada localização geográfica pretendida.
Restringir o acesso a sites ligados a grupos (Grupos do Microsoft 365 e Teams)
A política de restrição de acesso ao site para sites ligados a grupos restringe o acesso do site do SharePoint aos membros do grupo ou equipa do Microsoft 365 associado ao site.
Para gerir a restrição de acesso ao site para um site ligado a grupos no centro de administração do SharePoint
- No centro de administração do SharePoint, expanda Sites e selecione Sites ativos.
- Selecione o site que pretende gerir e o painel de detalhes do site é apresentado.
- No separador Definições , selecione Editar na secção Acesso restrito ao site .
- Selecione a caixa Restringir acesso a este site e selecione Guardar.
Para gerir a restrição de acesso ao site para sites ligados a grupos com o PowerShell, utilize os seguintes comandos:
| Ação | Comando do PowerShell |
|---|---|
| Ativar a restrição de acesso ao site para o site ligado ao grupo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Ver restrição de acesso ao site para o site ligado ao grupo | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| Desativar a restrição de acesso ao site para o site ligado ao grupo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
Observação
Assim que a política estiver ativada para um site, o proprietário do site pode ver os detalhes de como a política de restrição de acesso ao site afeta o site.
Para sites ligados a grupos, a política status e os detalhes do grupo de controlo configurado são apresentados nos painéis Informações e Permissões do Site.
Restringir o acesso ao site a sites não ligados a grupos
Pode restringir o acesso a sites ligados não agrupados ao especificar grupos de segurança entra ou grupos do Microsoft 365 que contêm as pessoas que devem ter permissão para aceder ao site. Pode configurar até 10 grupos de segurança entra ou grupos do Microsoft 365. Assim que a política for aplicada, é concedido acesso ao site e ao respetivo conteúdo aos utilizadores do grupo especificado que têm permissões de acesso ao site. Pode utilizar grupos de segurança dinâmicos se quiser basear a associação a grupos nas propriedades do utilizador.
Para gerir o acesso do site a um site ligado sem grupo:
No centro de administração do SharePoint, expanda Sites e selecione Sites ativos.
Selecione o site que pretende gerir e o painel de detalhes do site é apresentado.
No separador Definições , selecione Editar na secção Acesso restrito ao site .
Selecione a caixa restringir o acesso ao site SharePoint apenas a utilizadores em grupos especificados marcar.
Adicione ou remova os seus grupos de segurança ou grupos do Microsoft 365 e selecione Guardar.
Para que a restrição de acesso ao site seja aplicada ao site, tem de adicionar, pelo menos, um grupo à política de restrição de acesso ao site.
Para gerir a restrição de acesso ao site para sites ligados não agrupados com o PowerShell, utilize os seguintes comandos:
| Ação | Comando do PowerShell |
|---|---|
| Ativar restrição de acesso ao site | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Adicionar grupo | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Editar grupo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Ver grupo | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Remover grupo | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Repor restrição de acesso ao site | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Depois de ativar a política para sites de comunicação, a política status e todos os grupos de controlo configurados são apresentados para os proprietários do site no painel Acesso ao site, além dos painéis Informações e Permissões do Site.
Sites de canais partilhados e privados
Os sites de canais partilhados e privados são separados do site ligado ao grupo do Microsoft 365 que os canais padrão utilizam. Uma vez que os sites de canais partilhados e privados não estão ligados ao grupo do Microsoft 365, as políticas de restrição de acesso ao site aplicadas à equipa não os afetam. Tem de ativar a restrição de acesso ao site para cada site de canal partilhado ou privado separadamente como sites ligados não agrupados.
Para sites de canais partilhados, apenas os utilizadores internos no inquilino do recurso estão sujeitos a restrições de acesso ao site. Os participantes de canais externos são excluídos da política de restrição de acesso ao site e avaliados apenas de acordo com as permissões de site existentes do site.
Importante
Adicionar pessoas ao grupo de segurança ou ao grupo do Microsoft 365 não dará aos utilizadores acesso ao canal no Teams. Recomenda-se adicionar ou remover os mesmos utilizadores do canal de equipas no Teams e no grupo de segurança ou grupo do Microsoft 365 para que os utilizadores tenham acesso ao Teams e ao SharePoint.
Partilha de sites com a política de acesso restrito a sites
A partilha de sites do SharePoint e respetivos conteúdos pode ser bloqueada com utilizadores e grupos que não são permitidos de acordo com a política de controlo de acesso restrito.
A funcionalidade de controlo de partilha está desativada por predefinição. Para a ativar, execute o seguinte comando do PowerShell na Shell de Gestão do SharePoint Online como Administrador:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Partilhar com utilizadores
A partilha só é permitida com utilizadores que façam parte de grupos de controlo de acesso restritos. A partilha será bloqueada com qualquer pessoa fora dos grupos de controlo de acesso restrito, conforme mostrado abaixo:
Partilhar com grupos
A partilha é permitida com Microsoft Entra grupos de Segurança ou M365 que fazem parte da lista de grupos de controlo de acesso restrito. Assim, não será permitida a partilha com todos os outros grupos, incluindo Todos, exceto utilizadores externos ou grupos do SharePoint.
Observação
Atualmente, a partilha de um site e do respetivo conteúdo não será permitida para os grupos de segurança aninhados que fazem parte dos grupos de controlo de acesso restrito. Este suporte será adicionado na próxima iteração de versão.
Configurar a ligação saiba mais para a página de erro de negação de acesso
Configure a ligação saiba mais para informar os utilizadores a quem foi negado o acesso a um site do SharePoint devido à política de controlo de acesso ao site restrita. Com esta ligação de erro personalizável, pode fornecer mais informações e orientações aos seus utilizadores.
Observação
A ligação saiba mais é uma definição ao nível do inquilino que se aplica a todos os sites que tenham a política de controlo de acesso restrito ativada.
Para configurar a ligação, execute o seguinte comando no SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Para obter o valor da ligação, execute o seguinte comando:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
A ligação saiba mais configurada é iniciada quando o utilizador seleciona a ligação Saiba mais sobre as políticas da sua organização aqui .
Informações restritas da política de acesso ao site
Enquanto administrador de TI, pode ver os seguintes relatórios para obter mais informações sobre sites do SharePoint protegidos com política de acesso restrito a sites:
- Sites protegidos por política de acesso restrito a sites (RACProtectedSites)
- Detalhes das negações de acesso devido a acesso restrito ao site (ActionsBlockedByPolicy)
Observação
Pode demorar algumas horas a gerar cada relatório.
Sites protegidos por relatório de política de acesso a sites restritos
Pode executar os seguintes comandos no SharePoint PowerShell para gerar, ver e transferir os relatórios:
| Ação | Comando do PowerShell | Descrição |
|---|---|---|
| Gerar relatório | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Gera uma lista de sites protegidos por política de acesso restrito a sites |
| Ver relatório | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
O relatório mostra os 100 principais sites com as vistas de página mais altas que estão protegidas pela política. |
| Transferir relatório | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Este comando tem de ser executado como administrador. O relatório transferido está localizado no caminho onde o comando foi executado. |
| Percentagem de site protegido com relatório de acesso restrito ao site | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Este relatório mostra a percentagem de sites protegidos pela política do número total de sites |
Negações de acesso devido à política de acesso restrito ao site
Pode executar os seguintes comandos para criar, obter e ver relatórios de negações de acesso devido a relatórios de acesso restrito ao site:
| Ação | Comando do PowerShell | Descrição |
|---|---|---|
| Criar relatório denials de acesso | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Cria um novo relatório para obter detalhes de negação de acesso |
| Obter status de relatório denials de acesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Obtém a status do relatório gerado. |
| Negações de acesso mais recentes nos últimos 28 dias | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Obtém uma lista das 100 negações de acesso mais recentes que ocorreram nos últimos 28 dias |
| Ver lista dos principais utilizadores a quem foi negado o acesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Obtém uma lista dos 100 principais utilizadores que receberam mais negações de acesso |
| Ver lista de sites principais que receberam mais negações de acesso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Obtém uma lista dos 100 principais sites com mais negações de acesso |
| Distribuição de denials de acesso entre diferentes tipos de sites | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Mostra a distribuição de denials de acesso em diferentes tipos de sites |
Observação
Para ver até 10 000 negações, tem de transferir os relatórios. Execute o comando de transferência como administrador e os relatórios transferidos estarão localizados no caminho a partir do qual o comando foi executado.
Auditoria
Os eventos de auditoria estão disponíveis no portal de conformidade do Purview para o ajudar a monitorizar as atividades de restrição de acesso ao site. Os eventos de auditoria são registados para as seguintes atividades:
- Aplicar restrição de acesso ao site para o site
- Remover a restrição de acesso ao site do site
- Alterar grupos de restrição de acesso ao site para o site
Artigos relacionados
Política de acesso condicional para sites do SharePoint e OneDrive