Ошибки «Доступ запрещен» или «Для доступа к этому сайту нужно разрешение» в SharePoint Online и OneDrive для бизнеса

Симптомы

При использовании SharePoint Online или OneDrive для бизнеса появляется одно из следующих сообщений об ошибке:

  • Отказано в доступе
  • Для доступа к этому сайту нужно разрешение
  • Пользователь в каталоге не найден

Причина

Существует множество сценариев, при которых может отобразиться одно из этих сообщений. Наиболее типичная причина заключается в том, что разрешения для пользователя или администратора настроены неправильно или не настроены вообще.

Вариант разрешения 1. Запустите диагностику доступа пользователей

Примечание.

Для использования этой функции требуется учетная запись администратора Microsoft 365. Эта функция недоступна для Microsoft 365 для государственных учреждений, Microsoft 365, предоставляемого 21Vianet, или Microsoft 365 Germany.

Пользователи Центра администрирования Microsoft 365 имеют доступ к диагностике, которую можно выполнить в клиенте, чтобы проверить возможные проблемы с доступом пользователей.

Выберите ниже Выполнить тесты, в результате чего запустится диагностика в Центре администрирования Microsoft 365.

Диагностика выполняет широкий спектр проверок для внутренних пользователей или гостей, которые пытаются получить доступ к сайтам SharePoint и OneDrive.

Вариант разрешения 2. Выберите наиболее подходящий вариант и выполните действия по устранению проблемы

Примечание.

Во многих примерах в этой статье в <качестве заполнителя используется contoso> . В сценарии замените <contoso> доменом, используемым для вашей организации.

При доступе к сайту SharePoint
  1. Определите уровень разрешений, который должен иметь пользователь на сайте (член, владелец и так далее).

  2. Проверьте разрешение, используя функцию Проверка разрешений:

    1. На сайте выберите "Параметры>разрешений сайта".
    2. В верхней ленте выберите Проверить разрешения.
    3. В поле Пользователь или группа введите имя пользователя и выберите Проверить сейчас.
    4. Проверьте разрешения, которыми обладает пользователь на сайте, и через какую группу безопасности (если применимо).
  3. Если у пользователя нет соответствующих разрешений, предоставьте пользователю разрешения к файлу или сайту.

  4. Если пользователь продолжает получать сообщение об ошибке, удалите пользователя из сайта. Затем верните пользователю права доступа к файлу или сайту.

При доступе к сайту OneDrive

Если пользователь является владельцем сайта OneDrive

Эта проблема чаще всего возникает, когда пользователь удаляется и повторно создается с тем же именем участника-пользователя (UPN). Новая учетная запись создается с помощью другого уникального значения идентификатора. Когда пользователь пытается получить доступ к семейству сайтов или OneDrive, идентификатор пользователя указан неправильно. Второй сценарий включает синхронизацию службы каталогов с подразделением Active Directory. Если пользователи, выполнившие вход в SharePoint, перемещаются в другое подразделение, которое в настоящее время не синхронизировано с Microsoft 365, а затем повторно синхронизируется с SharePoint, у них может возникать подобная проблема.

Чтобы устранить эту проблему, удалите новое имя участника-пользователя, если оно существует, а затем восстановите исходное имя участника-пользователя.

Если вы не можете восстановить исходного пользователя и все еще находитесь в этом состоянии, создайте запрос на поддержку:

  1. Войдите в систему как администратор и выберите Несоответствие идентификаторов пользователей сайта OneDrive, после чего будет осуществлен вызов справки в центре администрирования.
  2. В нижней части области выберите Обратиться в службу поддержки>Новый запрос на обслуживание.
  3. Оставьте описание пустым.
  4. После открытия запроса предоставьте агенту поддержки имя участника-пользователя и URL-адрес OneDrive, с которыми возникает проблема.

Если пользователь пытается получить доступ к сайту другого пользователя OneDrive

  1. Определите уровень разрешений, который должен иметь пользователь на сайте (член, владелец и так далее).

  2. Проверьте разрешения с помощью функции Проверить разрешения:

    1. На сайте выберите параметры> разрешений сайта">Параметры сайта".
    2. В верхней ленте выберите Проверить разрешения.
    3. В поле Пользователь или группа введите имя пользователя и выберите Проверить сейчас.
    4. Проверьте разрешения, которыми обладает пользователь на сайте, и через какую группу безопасности (если применимо).
  3. Если у пользователя нет соответствующих разрешений, предоставьте ему разрешения на файл или сайт.

  4. Если пользователь продолжает получать сообщение об ошибке, удалите пользователя из сайта. Затем верните пользователю права доступа к файлу или сайту.

Когда гость имеет доступ к сайту
  1. Определите уровень разрешений, который должен иметь пользователь на сайте (член, владелец и так далее).

  2. Проверьте разрешение, используя функцию Проверка разрешений:

    1. На сайте выберите "Параметры>разрешений сайта".
    2. В верхней ленте выберите Проверить разрешения.
    3. В поле Пользователь или группа введите имя пользователя и выберите Проверить сейчас.
    4. Проверьте разрешения, которыми обладает пользователь на сайте, и через какую группу безопасности (если применимо).
  3. Если у пользователя нет соответствующих разрешений, предоставьте пользователю разрешения к файлу или сайту.

  4. Если пользователь продолжает получать сообщение об ошибке, удалите пользователя из сайта. Затем верните пользователю права доступа к файлу или сайту.

  5. Если с учетной записью по-прежнему возникают ошибки, советуем полностью удалить гостевую учетную запись из центра администрирования Microsoft 365. Убедитесь, что пользователь удален из семейства сайтов. Затем верните пользователю права доступа к файлу или сайту.

Когда гость принимает приглашение SharePoint Online с помощью другой учетной записи

Чтобы устранить эту проблему, определите, какая учетная запись приняла приглашение, при необходимости удалите неправильную учетную запись, а затем повторно пригласите пользователя на ресурс.

Шаг 1: определите, какая учетная запись имеет доступ в качестве гостя

Если вы можете получить доступ к сайту как неверный гость, выполните следующие действия:

  1. Войдите в систему под учетной записью гостя, которую вы использовали для принятия приглашения.
  2. Выберите изображение профиля в правом верхнем углу, а затем выберите Мои параметры.
  3. В поле Учетная запись, просмотрите адрес электронной почты. Например, i:0#.f|membership|JonDoe@contoso.com. В данном примере JonDoe@contoso.com – это учетная запись электронной почты, которая приняла приглашение.
  4. Если адрес неверен, перейдите к Шаг 2: удаление неверной учетной записи гостя.

Если невозможно получить доступ к сайту в качестве некорректного гостя, выполните следующие действия:

  1. В качестве администратора SharePoint Online войдите в семейство веб-сайтов, которое было предоставлено гостю.
  2. Выберите параметры>сайта параметров.
  3. В разделе Пользователи и разрешения выберите Пользователи и группы.
  4. В конце URL-адреса в окне браузера после части URL-адреса people.aspx заменитеMembershipGroupId=<number> на MembershipGroupId=0 и нажмите клавишу ВВОД.
  5. В списке пользователей найдите имя гостя. Щелкните правой кнопкой мыши на имя пользователя и скопируйте ярлык.
  6. В новом окне или вкладке браузера вставьте URL, скопированный в шаге 5, в адресную строку. Добавьте &force=1 в конец URL-адреса и нажмите клавишу ВВОД.
  7. В поле Учетная запись, просмотрите адрес электронной почты. Например, i:0#.f|membership|JonDoe@contoso.com. В этом примере это JonDoe@contoso.com учетная запись электронной почты, которая принимает приглашение пользователя.
  8. Если адрес неверен, перейдите к Шаг 2: удаление неверной учетной записи гостя.

Шаг 2: удаление неправильной гостевой учетной записи

Управление внешними пользователями осуществляется на основе семейства веб-сайтов для каждого из них. Гостевая учетная запись должна быть удалена из каждого семейства сайтов, к которому ей был предоставлен доступ. Это можно сделать из пользовательского интерфейса SharePoint Online или через командную консоль SharePoint Online в зависимости от используемой версии Microsoft 365.

Для подписок Microsoft 365 бизнеса используйте пользовательский интерфейс SharePoint Online:

  1. Перейдите к Администрирование>Параметры службы>Совместное использование сайтов и документов.
  2. Выберите Удаление определенных внешних пользователей.
  3. Выберите пользователей, которых необходимо удалить, а затем выберите Удалить (значок корзины).

Все остальные подписки должны использовать SharePoint Online Management Shell:

Примечание.

Этот параметр не применяется к Microsoft Office для малого бизнеса (P).

  1. Скачайте и установите командную консоль SharePoint Online. Дополнительные сведения см. в разделе Знакомство с командной консолью SharePoint Online.

  2. Запустите командную консоль SharePoint Online.

  3. Введите следующий командлет:

    $cred = Get-Credential
    
  4. В диалоговом окне Требуются учетные данные Windows PowerShell введите учетную запись администратора и пароль, а затем нажмите ОК.

  5. Подключитесь к SharePoint Online, затем введите следующий командлет:

    Connect-SPOService -Url https://<contoso>-admin.sharepoint.com -Credential $cred
    
  6. Удалите пользователя из каждого семейства сайтов. Введите следующий командлет и нажмите клавишу ВВОД:

    $ExtUser = Get-SPOExternalUser -filter <account@contoso.com>
    

    Примечание.

    В этом командлете замените <account@contoso.com> на затронутую учетную запись.

  7. Чтобы удалить пользователя, введите следующий командлет и нажмите клавишу ВВОД:

     Remove-SPOExternalUser -UniqueIDs @($ExtUser.UniqueId)
    

В результате вышеуказанных действий удаляется доступ внешнего пользователя к SharePoint Online. Однако пользователь по-прежнему будет отображаться в поисковых запросах пользователей и в командной консоли SharePoint Online при использовании командлета SPOUser. Чтобы полностью удалить пользователя из SharePoint Online, необходимо удалить его из списка UserInfo. Это можно сделать двумя способами.

  • Используйте пользовательский интерфейс SharePoint Online. Для этого просмотрите каждое семейство сайтов, к которому пользователь ранее имел доступ, а затем выполните следующие действия:

    1. В семействе сайтов отредактируйте URL-адрес, добавив следующую строку в конец URL-адреса:

      _layouts/15/people.aspx/membershipGroupId=0

      Например, полный URL-адрес будет выглядеть как https://<contoso>.sharepoint.com/_layouts/15/people.aspx/membershipGroupId=0.

    2. Выберите пользователя из списка.

    3. Выберите Удалить разрешения пользователей из ленты.

  • Используйте командную консоль SharePoint Online.

    Примечание.

    Этот параметр не применяется к подпискам для малого бизнеса.

    1. Запустите командную консоль SharePoint Online.

    2. Введите следующий командлет:

      $cred = Get-Credential
      

      В окне «Требуются учетные данные Windows PowerShell» введите учетную запись администратора и пароль, а затем нажмите ОК.

    3. Подключитесь к SharePoint Online, затем введите следующий командлет:

      Connect-SPOService -Url https://<contoso>-admin.sharepoint.com -Credential $cred
      
    4. Удалите пользователя из каждого семейства сайтов. Для этого введите следующий командлет:

      Get-SPOUser -Site https://<contoso>.sharepoint.com | FT –a
      

      Обратите внимание на имя для входа внешнего пользователя в возвращаемых результатах. В качестве внешнего пользователя учетная запись Майкрософт может иметь префикс "live.com#".

      Введите следующий командлет:

      Remove-SPOUser -Site https://<contoso>.sharepoint.com -LoginName live.com#jondoe@company.com
      

      Примечание.

      Замените live.com#jondoe@company.com на пользователя в вашем сценарии.

Далее удалите учетную запись из Azure Active Directory:

  1. Скачайте и установите модуль Azure Active Directory PowerShell и необходимые для него программные компоненты.

  2. Откройте модуль Azure Active Directory PowerShell и выполните следующие команды:

    Connect-MSOLService
    

    Введите учетные данные администратора в диалоговом окне:

    Get-MsolUser -ReturnDeletedUsers -UnlicensedUsersOnly | ft -a
    
  3. Найдите пользователя, которого вы удалили, а затем подтвердите, что он отображается в списке.

    Remove-MsolUser -RemoveFromRecycleBin -UserPrincipalName 'jondoe_contoso.com#EXT#@yourdomaint.onmicrosoft.com'
    

    Примечание.

    Замените jondoe_contoso.com#EXT#@yourdomain.onmicrosoft.com конкретным пользователем в сценарии.

Шаг 3. Очистите кэш браузера

SharePoint Online использует кэширование браузера в нескольких сценариях, в том числе при выборе людей. Несмотря на полное удаление пользователя, он по-прежнему может оставаться в кэше браузера. Очистка кэша браузера устраняет эту проблему. Дополнительные сведения о том, как это сделать в Edge, см. раздел Просмотр и удаление журнала браузера в Microsoft Edge.

При очистке кэша убедитесь, что также выбран параметр Файлы cookie и данные веб-сайтов.

Шаг 4. Повторно пригласите гостя

После выполнения предыдущих действий повторно пригласите гостя на сайт, используя нужный адрес электронной почты. Чтобы убедиться, что конечный пользователь принимает соответствующий адрес электронной почты, следует скопировать ссылку в приглашении, а затем вставить ее в сеанс просмотра InPrivate. Это позволяет убедиться, что кэшированные учетные данные не используются для принятия приглашения.

Дополнительные сведения

Гостевое приглашение не требуется принимать с использованием того же адреса, на который оно отправлялось. Это разовое приглашение. Если другой пользователь принимает приглашение или если пользователь, который принимает приглашение, выполняет вход с помощью учетной записи, отличной от адреса электронной почты, на который было отправлено приглашение, может появиться сообщение об отказе в доступе.

Например, пользователь выполнил вход в браузер с помощью учетной записи Майкрософт, и пользователь получает приглашение по электронной почте через учетную запись внешнего пользователя в почтовом приложении пользователя. Затем пользователь должен выбрать ссылку, чтобы принять приглашение. Однако, основываясь на файлах cookie браузера пользователя, пользователь случайно принимает приглашение с помощью неправильного удостоверения.

Когда пользователь выполняет вход в ресурс с помощью учетной записи внешнего пользователя, пользователь получает ошибку, сообщающую о том, что пользователь в каталоге не найден.

При доступе к списку "Запросы на доступ"

Чтобы устранить эту проблему, пользователи должны являться администраторами семейства сайтов или членами группы владельцев для сайта. Группа владельцев также должна иметь разрешения на доступ к списку Запросы на доступ. Используйте следующие решения, соответствующие вашей конфигурации.

Администратор семейства веб-сайтов

Если затронутый пользователь должен являться администратором семейства сайтов, обратитесь к разделу Управление администраторами семейства сайтов.

Добавление пользователя в группу владельцев для сайта

Если пользователь должен являться владельцем сайта, добавьте его в группу владельцев для сайта:

  1. Как пользователь, который может изменить разрешения для сайта, просмотрите затронутый сайт или семейство сайтов. Выберите параметры>сайта параметров.
  2. Выберите Разрешения для сайта.
  3. Выберите группу владельцев для сайта.
  4. Выберите Создать.
  5. В диалоговом окне Общий доступ введите учетную запись пользователя, которого необходимо добавить в группу. Затем выберите Общий доступ.
  6. Убедитесь, что теперь пользователь может получить доступ к списку и одобрить или отклонить запросы.

Убедитесь, что группа владельцев имеет разрешения в списке запросов на доступ

Если группа владельцев была изменена или удалена из списка запросов на доступ, необходимо добавить разрешения группы владельцев для этого списка. Кроме того, убедитесь, что затронутый пользователь включен в список владельцев. Для этого выполните указанные ниже действия.

  1. Как пользователь, у которого есть уровень разрешений для управления разрешениями на затрагиваемом сайте и который также имеет доступ к списку запросов на доступ (например, администратор семейства сайтов), просмотрите список запросов на доступ в Internet Explorer.

  2. Нажмите клавишу F12, чтобы закрыть окно средств разработчика.

  3. Выберите вкладку Сеть и нажмите клавишу F5, чтобы включить сбор сетевого трафика.

  4. Обновите страницу «Запросы на доступ». После загрузки страницы нажмите Shift+F5, чтобы отключить сбор сетевого трафика.

  5. В окне средств разработчика дважды щелкните первый результат в списке URL-адресов. Этот URL-адрес оканчивается на pendingreq.aspx.

  6. В окне средств разработчика выберите Текст ответа.

  7. В поле поиска введите pagelistid:, затем нажмите клавишу ВВОД.

    Примечание.

    В результатах поиска будет выделен текст pageListId.

  8. Скопируйте GUID, который следует за pageListId. GUID находится между символами открывающей ( { ) и закрывающей фигурной скобки ( } ), как показано ниже:

    {GUID}

    Примечание.

    При копировании GUID включите символы открывающей и закрывающей фигурной скобки. Этот GUID является идентификатором для списка запросов на доступ к SharePoint Online для вашей организации.

  9. В адресной строке браузера введите https://<URL of affected site, or site collection>/_layouts/15/ListEdit.aspx?List=<{GUID}> и нажмите кнопку ВВОД.

    Примечание.

    В этом адресе <URL-адрес> затронутого сайта или семейства веб-сайтов представляет URL-адрес семейства веб-сайтов, в котором необходимо изменить запросы на доступ (например, https://contoso.sharepoint.com). А <{GUID}> представляет GUID, скопированный на шаге 8.

  10. На странице Параметры выберите Разрешения для этого списка.

  11. Убедитесь, что группа владельцев для сайта включена в список разрешений для списка запросов на доступ. Если группа владельцев для семейства сайтов не существует, выберите Предоставить разрешения, введите имя группы владельцев для сайта в диалоговом окне Общий доступ и выберите Общий доступ.

  12. Выполните действия в разделе Добавить пользователя в группу владельцев для сайта, чтобы убедиться, что пользователь включен в группу владельцев.

Дополнительные сведения

Эта проблема возникает из-за того, что разрешение на утверждение или отклонение ожидающих запросов в списке запросов на доступ имеют только администраторы семейства сайтов или пользователи, которые являются членами группы владельцев для семейства сайтов. В случаях, когда пользователи являются членами группы владельцев для сайта, группа владельцев также должна иметь разрешения на полный доступ, чтобы иметь доступ к списку запросов на доступ.

Дополнительные сведения о том, как настроить и управлять запросами на доступ, см. в разделе Настройка и управление запросами на доступ.

Дополнительные сведения о том, как использовать средства разработчика F12, см. в разделе Использование средств разработчика F12.

При доступе к общей папке

Чтобы устранить данную проблему, воспользуйтесь одним из описанных ниже обходных путей в зависимости от вашей ситуации:

  • Обменивайтесь отдельными файлами, но не папками.

  • Предоставляйте доступ к целому семейству сайтов или дочернему сайту.

  • Если на вашем сайте не требуется режим блокировки разрешения ограниченного доступа пользователей, отключите эту функцию семейства сайтов.

    Примечание.

    Другие функции, такие как публикация, могут потребовать правильной работы этой функции.

Когда вы делитесь папкой с пользователем, который не может получить доступ к родительской папке или сайту, SharePoint предоставляет пользователю ограниченный доступ к родительским элементам. В частности, SharePoint позволяет пользователю получать доступ к папке без получения разрешения на доступ к родительской папке и другим элементам (кроме ограниченного доступа). Однако после включения режима блокировки разрешения ограниченного доступа пользователей пользователь не имеет доступа к папке, так как необходимое разрешение ограниченного доступа для других элементов больше не работает правильно.

Что такое разрешение «ограниченного доступа»?

Уровень разрешений ограниченного доступа предоставляется редко. Это позволяет пользователю или группе просматривать страницу сайта или библиотеку, чтобы получить доступ к определенному элементу содержимого без просмотра всего списка. Например, если вы делитесь одним элементом в списке или библиотеке с пользователем, у которого нет разрешения на открытие или редактирование других элементов в библиотеке, SharePoint автоматически предоставляет ограниченный доступ к родительскому списку. Это позволяет пользователю просмотреть определенный элемент, которым вы поделились. Другими словами, уровень разрешений ограниченного доступа включает все разрешения, необходимые пользователю для доступа к необходимому элементу.

Для получения дополнительной информации о функциях семейства сайтов, которые включают режим блокировки разрешения ограниченного доступа пользователей, см. раздел Включение или отключение функций семейства сайтов.

Когда пользователь пытается утвердить задачу рабочего процесса утверждения

Чтобы устранить эту проблему, предоставьте доступ на изменение к определенному списку задач для рабочего процесса затронутому пользователю.

Кроме того, пользователь, утверждающий элемент в рамках рабочего процесса, также должен иметь доступ на чтение к элементу, который является целью рабочего процесса.

Такое поведение является особенностью данного продукта. Пользователи, которые пытаются утвердить задачу рабочего процесса в SharePoint 2010, но имеют только разрешения на изменение элемента списка задач, не могут просматривать страницу формы задачи. Пользователь должен иметь по крайней мере доступ на чтение к списку задач рабочего процесса.

Дополнительные сведения о рабочих процессах утверждения см. в разделе Общие сведения о рабочих процессах утверждения в SharePoint 2010.

Дополнительные сведения об уровнях разрешений в SharePoint Online см. в разделе Общие сведения об уровнях разрешений.

Требуется дополнительная помощь? Посетите сайт сообщества SharePoint.