本文中的某些功能需要Microsoft SharePoint 高级版 - SharePoint 高级管理
受限网站访问控制允许您通过将 SharePoint 网站及其内容的访问权限指定给特定组中的用户来防止过度共享。 不在指定组中的用户无法访问网站或其内容,即使他们具有先前的权限或共享链接也是如此。 可以使用 Microsoft 365 个组或Microsoft Entra安全组在 Microsoft 365 组连接、Teams 连接和非组连接的站点上应用此策略。
当用户尝试打开网站或访问文件时,将应用站点访问限制策略。 对文件具有直接权限的用户仍然可以在搜索结果中查看文件。 但是,如果文件不是指定组的一部分,则他们无法访问这些文件。
通过组成员身份限制网站访问可以最大程度地降低过度共享内容的风险。 有关数据共享的见解,请参阅 数据访问治理报告。
先决条件
站点访问限制策略需要Microsoft SharePoint 高级版 - SharePoint 高级管理。
为组织启用站点级访问限制
必须先为组织启用站点级访问限制,然后才能为单个站点配置该限制。
若要在 SharePoint 管理中心中为组织启用网站级访问限制,请执行以下作:
展开 “策略 ”,然后选择“ 访问控制”。
选择“ 站点级访问限制”。
选择 “允许访问限制 ”,然后选择“ 保存”。
若要使用 PowerShell 为组织启用站点级访问限制,请运行以下命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要长达一小时才能生效。
注意
对于 Microsoft 365 多地理位置用户,请为每个所需的地理位置单独运行此命令。
使用 Microsoft 365 组或Microsoft Entra安全组限制对所有 SharePoint 网站的访问
可以通过将Microsoft Entra安全组或Microsoft 365 组指定为“受限访问控制组”来限制对 SharePoint 网站的访问。 控制组应具有应允许访问网站及其内容的用户。
对于站点,最多可以配置 10 个Microsoft Entra安全组或Microsoft 365 个组。 应用策略后,将允许指定组中对内容具有访问权限的用户进行访问。
重要
将人员添加到受限访问控制组 (Microsoft Entra 安全组或Microsoft 365 组) 不会自动授予用户访问网站或内容的权限。 要使用户能够访问受此策略保护的内容,用户需要同时具有网站或内容访问权限,并且是受限访问控制组的成员。
注意
如果要将组成员身份基于用户属性,还可以将动态安全组用作受限访问控制组。
管理站点的站点访问
管理站点的站点访问:
- 在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
- 选择要管理的网站,并显示网站详细信息面板。
- 在 “设置” 选项卡中,选择“受限网站访问”部分中的 “编辑 ”。
- 选中“将 SharePoint 网站访问权限限制为仅指定组中的用户检查” 框。
- 添加或删除安全组或Microsoft 365 组,然后选择“ 保存”。
若要将网站访问限制应用于网站,必须向站点访问限制策略添加至少一个组。
对于已连接组的站点,连接到网站的 Microsoft 365 组将添加为默认的“受限访问控制组”。 可以选择保留此组,并将更多Microsoft 365 或Microsoft Entra安全组添加为受限访问控制组。
注意
有一个标记标记为 默认组 的 Microsoft 365 组连接到站点,如上图所示。
若要使用 PowerShell 管理 SharePoint 网站的网站访问限制,请使用以下命令:
| 操作 | PowerShell 命令 |
|---|---|
| 启用站点访问限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 添加组 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 编辑组 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 视图组 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 删除组 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重置站点访问限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
网站管理员和网站所有者体验
将策略应用到站点后,除了“网站信息和权限”面板外,还会在“网站”访问面板上显示网站所有者和网站管理员的策略状态和所有配置的控制组。
共享和专用频道网站
共享和专用频道网站与标准频道使用的 Microsoft 365 组连接站点分开。 由于共享和专用频道网站未连接到 Microsoft 365 组,因此应用于团队的站点访问限制策略不会影响它们。 必须单独为每个共享或专用频道网站启用站点访问限制,作为非组连接站点。
对于共享通道网站,只有资源租户中的内部用户受网站访问限制的约束。 外部通道参与者从网站访问限制策略中排除,并且仅根据站点的现有网站权限进行评估。
重要
将人员添加到安全组或Microsoft 365 组不会向用户授予对 Teams 中的频道的访问权限。 我们建议在 Teams 和安全组或 Microsoft 365 组中添加或删除 Teams 通道的相同用户,以便用户可以同时访问 Teams 和 SharePoint 网站。
审核
Microsoft Purview 门户中提供了审核事件,可帮助监视站点访问限制活动。 为以下活动记录审核事件:
- 为网站应用站点访问限制
- 删除站点的站点访问限制
- 更改站点的站点访问限制组
Reporting
受限站点访问策略见解
IT 管理员可查看以下报告,深入了解受限制网站访问策略保护的 SharePoint 网站:
- 受受限站点访问策略 (RACProtectedSites) 保护的网站
- 由于站点访问受限而拒绝访问的详细信息 (ActionsBlockedByPolicy)
注意
生成每个报表可能需要几个小时。
受限制站点访问策略保护的网站报告
可以在 SharePoint PowerShell 中运行以下命令,以生成、查看和下载报表:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 生成报告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
生成受限制站点访问策略保护的站点列表 |
| 查看报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
报表显示受策略保护的页面浏览量最高的前 100 个网站。 |
| 下载报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此命令必须以管理员身份运行。 下载的报表位于运行命令的路径上。 |
| 受限制网站访问保护的网站百分比报告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
此报表显示受策略保护的网站占网站总数的百分比 |
由于受限制的站点访问策略报告而拒绝访问
可以运行以下命令来创建、提取和查看因受限制的站点访问报告而拒绝访问的报告:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 创建访问拒绝报告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
创建用于提取访问拒绝详细信息的新报表 |
| 提取访问拒绝报告状态 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
提取生成的报表的状态。 |
| 过去 28 天内的最新访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
获取过去 28 天内发生的最近 100 次访问拒绝的列表 |
| 查看被拒绝访问的热门用户列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
获取收到最多访问拒绝的前 100 个用户的列表 |
| 查看收到最多访问拒绝的顶级站点列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
获取访问拒绝最多的前 100 个站点的列表 |
| 跨不同类型的站点分布访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
显示不同类型站点之间访问拒绝的分布情况 |
注意
若要查看最多 10,000 个拒绝,必须下载报告。 以管理员身份运行下载命令,下载的报表位于运行命令的路径上。
与受限访问控制组之外的用户共享网站和内容 (选择加入功能)
默认情况下,SharePoint 网站及其内容的共享不遵循受限网站访问策略。 SharePoint 管理员可以选择限制与非受限访问控制组成员的用户共享网站及其内容。
若要限制与受限访问控制组外部的用户共享功能,请启用此功能,以管理员身份在 SharePoint Online 命令行管理程序 中运行以下 PowerShell 命令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
与用户共享
应用共享限制后,将阻止非受限访问控制组成员的用户共享。
与组共享
允许Microsoft Entra安全或Microsoft 365 个组共享,这些组属于“受限访问控制组”列表。 因此,不允许与除外部用户或 SharePoint 组以外的所有其他组(包括所有人)共享。
注意
属于受限访问控制组的嵌套安全组不允许共享网站及其内容。 将在下一个版本迭代中添加此支持。
配置访问拒绝错误页的“了解详细信息”链接 (选择加入功能)
配置 “了解详细信息” 链接,通知因受限制的网站访问控制策略而被拒绝访问 SharePoint 网站的用户。 通过此可自定义的错误链接,可以为用户提供更多信息和指导。
注意
“了解详细信息”链接是一种租户级设置,适用于启用了受限访问控制策略的所有站点。
若要配置链接,请在 SharePoint PowerShell 中运行以下命令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
若要提取链接的值,请运行以下命令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
当用户选择“ 在此处详细了解组织策略 ”链接时,将启动配置的“了解详细信息”链接。
