将用户的 OneDrive 内容的访问权限限制为组中的人员
本文中的某些功能需要 Microsoft SharePoint Premium - SharePoint 高级管理
可以使用 OneDrive 访问限制策略,将单个用户的 OneDrive 内容的访问权限限制为安全组中的用户。 非指定组中的用户无法访问内容,即使他们以前具有权限或共享链接也是如此。
该策略使用 Microsoft Entra 安全组 应用,其中包含应该能够访问该 OneDrive 中的文件的人员。
应用策略时,不会向安全组中的人员直接授予对任何文件的权限。 OneDrive 所有者必须像平常一样共享内容。 OneDrive 访问限制策略可阻止安全组中的任何人访问 OneDrive 内容,即使内容与安全组共享也是如此。
当用户尝试访问文件时,将应用访问限制策略。 如果用户对文件具有直接权限,则仍然可以在搜索结果中看到文件,但如果他们不是指定安全组的一部分,则他们无法访问该文件。
还可以将 OneDrive 服务本身的访问权限限制为安全组中的人员。 有关详细信息,请参阅 按安全组限制 OneDrive 访问。
要求
OneDrive 访问限制策略需要 Microsoft SharePoint Premium - SharePoint 高级管理。
为组织启用站点访问限制
必须先为组织启用站点访问限制,然后才能为用户的 OneDrive 配置站点访问限制。
若要在 SharePoint 管理中心中为组织启用网站访问限制,请执行以下操作:
展开 “策略 ”,然后选择“ 访问控制”。
选择“ 站点访问限制”。
选择 “允许访问限制 ”,然后选择“ 保存”。
若要使用 PowerShell 为组织启用站点访问限制,请运行以下命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要长达一小时才能生效。
注意
对于 Microsoft 365 多地理位置用户,请为每个所需的地理位置单独运行此命令。
限制对用户的 OneDrive 内容的访问
每个 OneDrive 最多可以分配 10 个 Microsoft Entra 安全组。 添加安全组后,只有组中的用户有权访问已与他们共享的 OneDrive 中的内容。 如果要将组成员身份基于用户属性,则可以使用 动态安全组 。
重要
OneDrive 的所有者必须包含在你指定的某个安全组中,否则他们将失去对其 OneDrive 及其内容的访问权限。
若要管理 OneDrive 的访问限制,请使用以下命令:
| 操作 | PowerShell 命令 |
|---|---|
| 为给定的 OneDrive 启用访问限制。 (在添加安全组之前运行此命令。) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 添加安全组 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 编辑安全组 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 查看安全组 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 删除安全组 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重置站点访问限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
审核
Microsoft Purview 合规性门户中提供了审核事件,可帮助你监视站点访问限制活动。 为以下活动记录审核事件:
- 为网站应用站点访问限制
- 删除站点的站点访问限制
- 更改站点的站点访问限制组