限制 Microsoft 365 中的共享

  • 项目

虽然无法完全禁用内部共享或从网站中删除“共享”按钮,但可以通过多种方式限制 Microsoft 365 中的共享以满足组织的需求。

下表列出了共享文件的方法。 选择 “共享方法 ”列中的链接以获取详细信息。

共享方法 说明 限制选项
Microsoft 365 组或团队 如果被授予对 Microsoft Teams 团队或 Microsoft 365 组的访问权限,可以有权编辑关联的 SharePoint 网站中的文件。 如果组或团队是专用的,则用于加入团队的共享邀请将会转到所有者那里以供其审批。 管理员可通过禁用来宾访问或使用敏感度标签来阻止组织外部人员的访问。 管理员还可以将共享限制为 Microsoft 365 组或团队的成员。
SharePoint 网站 可向用户授予对 SharePoint 网站的“所有者”、“成员”或“访问者”访问权限,他们将拥有对网站中文件的相应访问权限级别。 可限制网站权限,以便只有网站所有者可以共享网站。 管理员可以将站点访问和共享限制为安全组的成员、将站点设置为只读或完全阻止访问。
与特定人员共享 网站成员和拥有编辑权限的人员可以提供对文件和文件夹的直接权限,或通过使用特定人员链接进行共享。 可限制网站权限,以便只有网站所有者可以共享文件和文件夹。 在这种情况下,网站成员提供的直接访问和特定人员链接共享将会转到网站所有者那里以供其审批。
OneDrive 共享 OneDrive 所有者可以与他人共享文件和文件夹。 管理员可以将 OneDrive 的总体访问权限限制为安全组中的人员,或将特定 OneDrive 中共享文件和文件夹的访问限制为安全组中的人员。
SharePoint 和 OneDrive 来宾共享 SharePoint 网站所有者和成员以及 OneDrive 所有者可与组织外部的人员共享文件和文件夹。 可针对整个组织或单个网站禁用来宾共享。
你组织中的人员共享链接 SharePoint 网站所有者和成员可以使用你组织中的人员链接(可用于组织内的所有人)来共享文件。 可在网站级别禁用你组织中的人员链接。
创建网站、组和团队 默认情况下,用户可以创建他们可以共享内容的新网站、组和团队。 管理员可限制可创建网站、组和团队的人员。
电子邮件 有权访问文件的人员可通过电子邮件将其发送给其他人。 管理员可以使用敏感度标签对文件进行加密,以防止有人与未经授权的人员共享这些文件。
下载或文件复制 有权访问文件的人员可以下载或复制该文件,并与 Microsoft 365 范围之外的其他人共享。 管理员可以使用敏感度标签对文件进行加密,以防止有人与未经授权的人员共享这些文件。

你还可以限制人员访问共享内容的条件。 有关详细信息,请参阅本文后面的条件访问

虽然可使用本文中介绍的管理员控制措施来限制组织内的共享,但我们强烈建议考虑使用 Microsoft 365 中提供的安全和合规性功能,以创建安全的共享环境。 有关信息,请参阅 使用 Microsoft 365 在 SharePoint 中文件协作使用三层保护配置 Teams

若要了解组织中如何使用共享,请 对文件和文件夹共享 以及 数据访问治理报表使用报表

Microsoft 365 组或团队

若要限制 Microsoft 365 组或 Microsoft Teams 团队中的共享,请务必将组或团队设为私人。 组织内部人员可以随时加入公共组或团队。 除非组或团队是专用的,否则无法在组织内限制团队或其文件的共享。

关闭来宾共享

如果想要阻止 Teams 中的来宾访问,可在 Teams 管理中心内关闭来宾共享。

关闭 Teams 的来宾共享

  1. 在 Teams 管理中心中,展开 “用户>来宾访问 ”选项卡
  2. 关闭 来宾访问
  3. 选择“保存”。

若要阻止 Microsoft 365 组中的来宾访问,可以在 Microsoft 365 管理中心内禁用组来宾访问设置。

禁用 Microsoft 365 组中的来宾共享的具体步骤

  1. 在Microsoft 365 管理中心,选择“设置>组织设置>服务”选项卡

  2. 选择“Microsoft 365 组”。

  3. 清除“允许组所有者将组织外部的人员添加为来宾Microsoft 365 组”和“允许来宾组成员访问组内容检查框。

  4. 选择“保存”。

    Microsoft 365 管理中心中内 Microsoft 365 组共享设置的屏幕截图。

注意

如果想要阻止特定组或团队的来宾共享,可使用 Microsoft PowerShell敏感性标签来执行此操作。

将来宾共享限制为指定的域

可以通过允许或阻止Microsoft Entra ID 中的域来限制来自特定域的用户的来宾共享。 如果已启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成,这也会影响 SharePoint 中的来宾共享。

仅允许向指定域发出共享邀请

  1. Microsoft Entra管理中心中,展开“外部标识”,然后选择“外部协作设置”。

  2. 在“协作限制”下,选择“拒绝向指定域发出邀请”或“仅允许向指定域发出邀请”,然后键入要使用的域。

  3. 选择“保存”。

    Microsoft Entra ID 中的协作限制设置的屏幕截图。

还可以使用Microsoft Entra ID 中的跨租户访问设置来限制对特定组织的共享。 有关详细信息 ,请参阅将来宾共享限制为特定组织

限制对团队或组成员的访问权限

您可以将 SharePoint 网站和内容的访问权限限制为 Microsoft 365 组或团队成员的用户。 组或团队外部的用户将无法访问网站内容,即使他们具有共享链接。 有关详细信息,请参阅 限制对组成员的 SharePoint 网站访问

SharePoint 网站

你可以将 SharePoint 网站共享的执行者限制为仅限网站所有者。 这将防止网站成员共享网站。 请注意,如果网站连接到了 Microsoft 365 组,组成员可以邀请其他人加入此组,这些用户将拥有网站访问权限。

将网站共享的执行者限制为所有者

  1. 在站点中,选择齿轮图标,然后选择“ 网站权限”。

  2. “共享设置”下,选择“ 更改成员共享方式”。

  3. 选择“网站所有者和成员以及拥有编辑权限的人员可共享文件和文件夹,但只有网站所有者才可共享网站”。

  4. 选择“保存”。

    SharePoint 网站中共享权限设置的屏幕截图。

可以通过关闭访问请求来阻止非网站成员的用户请求访问。

关闭访问请求

  1. 在站点中,选择齿轮图标,然后选择“ 网站权限”。
  2. “共享设置”下,选择“ 更改成员共享方式”。
  3. 关闭 “允许访问请求”,然后选择“ 保存”。

可通过为相应网站允许或阻止域,将网站共享限制为指定域。

按域限制网站共享

  1. 在 SharePoint 管理中心的"网站"下,选择活动网站

  2. 选择要配置的网站。

  3. “设置” 选项卡上的“ 外部文件共享 ”下,选择“ 更多共享设置”。

  4. 在“外部共享的高级设置”下,选中“按域限制共享”。

  5. 添加要允许或阻止的域,然后选择 保存

  6. 选择“保存”

    允许的域网站级别设置的屏幕截图。

限制对安全组成员的访问

您可以将 SharePoint 网站及其内容的访问限制为安全组的成员。 组外部的用户将无法访问网站内容,即使他们具有共享链接。 有关详细信息,请参阅 限制对组成员的 SharePoint 网站访问

阻止访问网站

可通过更改网站的锁定状态,阻止访问网站或将网站设置为只读。 有关详细信息,请参阅锁定和解除锁定网站

权限继承

虽然不推荐,但你可以使用 SharePoint 权限继承自定义网站和子网站的访问级别。

与特定人员共享

如果你想限制网站或其内容的共享,可以将网站配置为仅允许网站所有者共享文件、文件夹和该网站。 配置此项后,网站成员尝试使用 “特定人员” 链接共享文件或文件夹时,会转到网站所有者进行审批。

将网站、文件和文件夹共享的执行者限制为所有者

  1. 在站点中,选择齿轮图标,然后选择“ 网站权限”。

  2. “共享设置”下,选择“ 更改成员共享方式”。

  3. 选择“只有站点所有者可共享文件、文件夹和站点”。

  4. 选择“保存”。

    将 SharePoint 网站中共享权限设置设为仅限所有者的屏幕截图。

OneDrive 共享

管理员可以将 OneDrive 的总体访问权限限制为安全组中的人员,或将特定 OneDrive 中共享文件和文件夹的访问限制为安全组中的人员。

可以将整个组织中的 OneDrive 内容的访问和共享限制为安全组中的用户。 即使这些安全组之外的其他用户获得了 OneDrive 的许可,在此策略生效时,他们也无法访问自己的 OneDrive 或任何共享的 OneDrive 内容。 有关详细信息,请参阅 按安全组限制 OneDrive 访问

可以使用 OneDrive 访问限制策略,将单个用户的 OneDrive 内容的访问权限限制为安全组中的用户。 非指定组中的用户无法访问内容,即使他们以前具有权限或共享链接也是如此。 有关详细信息,请参阅 将用户的 OneDrive 内容的访问权限限制为组中的人员

SharePoint 和 OneDrive 来宾共享

如果想要阻止与组织外部的人员共享 SharePoint 或 OneDrive 文件和文件夹,可针对整个组织或单个网站关闭来宾共享。

针对组织关闭 SharePoint 来宾共享

  1. 在 SharePoint 管理中心的"策略"下,选择共享

  2. 在“外部共享”下,将 SharePoint 滑块向下拖动到“仅限组织中的人员”。 (OneDrive 滑块依赖于 SharePoint,并且也将设置为 “仅限组织中的人员”。)

  3. 选择“保存”。

    将 SharePoint 组织级别共享设置设为面向所有人的屏幕截图。

针对网站关闭来宾共享

  1. 在 SharePoint 管理中心的"网站"下,选择活动网站

  2. 选择要配置的网站。

  3. “设置” 选项卡上的“ 外部文件共享”下,从下拉列表中选择“ 仅限组织中的人员 ”。

  4. 选择“保存”。

    将 SharePoint 网站级别共享设置设为仅面向组织中的人员的屏幕截图。

可以通过在“Microsoft 365 管理中心”中选择用户并在“OneDrive”选项卡上选择“管理外部共享”来关闭单个 OneDrive 的来宾共享。

如果想要允许与组织外部的人员共享,但要确保每个人都进行身份验证,可以针对整个组织或单个网站禁用任何人(匿名共享)链接。

在组织级别关闭任何人链接

  1. 在 SharePoint 管理中心的"策略"下,选择共享

  2. 在“外部共享”下,将 SharePoint 滑块向下拖动到“新来宾和现有来宾”。 (OneDrive 滑块依赖于 SharePoint,还将设置为 “新建”和“现有来宾”。)

  3. 选择“保存”。

    将 SharePoint 组织级别共享设置设为面向新来宾和现有来宾的屏幕截图。

关闭站点的“任何人”链接

  1. 在 SharePoint 管理中心的"网站"下,选择活动网站

  2. 选择要配置的网站。

  3. “设置” 选项卡上的“ 外部文件共享”下,从下拉列表中选择 “新建和现有来宾 ”。

    将 SharePoint 网站级别共享设置设为面向新设置和现有设置的屏幕截图。

默认情况下,网站的成员可以使用你组织中的人员链接来与组织中的其他人共享文件和文件夹。 你可以使用 PowerShell 禁用你组织中的人员链接:

Set-SPOSite -Identity <site> -DisableCompanyWideSharingLinks Disabled

例如:

Set-SPOSite -Identity https://contoso.sharepoint.com -DisableCompanyWideSharingLinks Disabled

请注意,如果禁用组织链接中的人员,则网站中共享文件的人员可能需要使用特定人员链接,该链接最多可与 50 人共享。

创建网站、组和团队

默认情况下,用户可以创建他们可以共享内容的新网站、组和团队(具体取决于你的共享设置)。 你可限制可创建网站、组和团队的人员。 请参阅以下参考:

注意

限制组创建将限制团队创建。

电子邮件

可通过加密防止不必要的电子邮件共享。 这将防止电子邮件被转发或与未经授权的用户共享。 你可以使用敏感度标签来启用电子邮件加密。 有关详细信息 ,请参阅使用敏感度标签限制对内容的访问以应用加密

下载或文件复制

有权访问 Microsoft 365 中的文件和文件夹的用户可以下载文件并将其复制到外部媒体。 若要减少不必要的文件共享的风险,可使用敏感度标签对内容进行加密。 用户还可以 在共享文件时阻止文件下载

条件访问

Microsoft Entra条件访问提供了基于网络位置、设备运行状况、登录风险和其他因素来限制或阻止与人员共享的选项。 查看什么是条件访问?

SharePoint 为非托管设备和网络位置提供与Microsoft Entra条件访问的直接集成。 有关详细信息,请参阅以下参考:

限制可邀请来宾的人员

Microsoft 365 来宾共享设置参考