使用 Microsoft 365 个组和 Entra 安全组限制 SharePoint 网站访问
本文中的某些功能需要Microsoft SharePoint 高级版 - SharePoint 高级管理
可以使用网站访问限制策略,将 SharePoint 网站和内容的访问限制为特定组中的用户。 不在指定组中的用户无法访问网站或其内容,即使他们具有先前的权限或共享链接也是如此。 此策略可用于 Microsoft 365 组连接、Teams 连接和非组连接的站点。
当用户尝试打开网站或访问文件时,将应用站点访问限制策略。 对文件具有直接权限的用户仍然可以在搜索结果中查看文件。 但是,如果文件不是指定组的一部分,则他们无法访问这些文件。
通过组成员身份限制网站访问可以最大程度地降低过度共享内容的风险。 有关数据共享的见解,请参阅 数据访问治理报告。
先决条件
网站访问限制策略需要 Microsoft SharePoint 高级版 - SharePoint 高级管理。
为组织启用站点级访问限制
必须先为组织启用站点级访问限制,然后才能为单个站点配置该限制。
若要在 SharePoint 管理中心中为组织启用网站级访问限制,请执行以下操作:
展开 “策略 ”,然后选择“ 访问控制”。
选择“ 站点级访问限制”。
选择 “允许访问限制 ”,然后选择“ 保存”。
若要使用 PowerShell 为组织启用站点级访问限制,请运行以下命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要长达一小时才能生效
注意
对于 Microsoft 365 多地理位置用户,请为每个所需的地理位置单独运行此命令。
限制对组连接的站点的访问 (Microsoft 365 组 和 Teams)
组连接网站的网站访问限制策略将 SharePoint 网站访问限制为与网站关联的 Microsoft 365 组或团队的成员。
在 SharePoint 管理中心中管理已连接组的网站的网站访问限制
- 在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
- 选择要管理的网站,并显示网站详细信息面板。
- 在“设置”选项卡中,选择“受限网站访问”部分中的“编辑”。
- 选择“ 限制对此网站的访问 ”框,然后选择“ 保存”。
若要使用 PowerShell 管理组连接的站点的站点访问限制,请使用以下命令:
| 操作 | PowerShell 命令 |
|---|---|
| 为已连接组的站点启用站点访问限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 查看组连接站点的站点访问限制 | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| 禁用已连接组的站点的站点访问限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
注意
为网站启用策略后,网站所有者可以查看站点访问限制策略如何影响网站的详细信息。
对于已连接组的站点,策略状态和配置的控制组详细信息显示在“网站信息和权限”面板上。
限制对非组连接的站点的站点访问
可以通过指定 Entra 安全组 或Microsoft包含应允许访问站点的人员的 365 个组来限制对非组连接的站点的访问。 最多可以配置 10 个 Entra 安全组或Microsoft 365 个组。 应用策略后,指定组中具有网站访问权限的用户将被授予对网站及其内容的访问权限。 如果要将组成员身份基于用户属性,则可以使用 动态安全组 。
若要管理对非组连接站点的站点访问,请执行以下操作:
在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
选择要管理的网站,并显示网站详细信息面板。
在“设置”选项卡中,选择“受限网站访问”部分中的“编辑”。
选中“将 SharePoint 网站访问权限限制为仅指定组中的用户检查” 框。
添加或删除安全组或Microsoft 365 组,然后选择“ 保存”。
若要将网站访问限制应用于网站,必须向站点访问限制策略添加至少一个组。
若要使用 PowerShell 管理非组连接站点的站点访问限制,请使用以下命令:
| 操作 | PowerShell 命令 |
|---|---|
| 启用站点访问限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 添加组 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 编辑组 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 视图组 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 删除组 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重置站点访问限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
为通信网站启用策略后,除了“网站信息和权限”面板外,还会在网站访问面板上为网站所有者显示策略状态和所有配置的控制组。
共享和专用频道网站
共享和专用频道网站 与标准频道使用的 Microsoft 365 组连接站点分开。 由于共享和专用频道网站未连接到 Microsoft 365 组,因此应用于团队的站点访问限制策略不会影响它们。 必须单独为每个共享或专用频道网站启用非组连接站点的网站访问限制。
对于共享通道网站,只有资源租户中的内部用户受网站访问限制的约束。 外部通道参与者从网站访问限制策略中排除,并且仅根据站点的现有网站权限进行评估。
重要
将人员添加到安全组或Microsoft 365 组不会向用户授予对 Teams 中的频道的访问权限。 建议在 Teams 和安全组或 Microsoft 365 组中添加或删除团队通道的相同用户,以便用户可以同时访问 Teams 和 SharePoint。
使用受限网站访问策略共享网站
根据受限访问控制策略,不允许用户和组共享 SharePoint 网站及其内容。
默认情况下,共享控件功能处于禁用状态。 若要启用它,请在 SharePoint Online 命令行管理程序中以管理员身份运行以下 PowerShell 命令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
与用户共享
仅允许属于受限访问控制组的用户共享。 将阻止与受限访问控制组以外的任何人共享,如下所示:
与组共享
允许Microsoft Entra安全或 M365 组共享,这些组属于受限访问控制组列表。 因此,不允许与除外部用户或 SharePoint 组以外的所有其他组(包括所有人)共享。
注意
目前,作为受限访问控制组一部分的嵌套安全组不允许共享网站及其内容。 将在下一个版本迭代中添加此支持。
配置访问拒绝错误页的“了解详细信息”链接
配置“了解详细信息”链接,以通知因受限制的网站访问控制策略而被拒绝访问 SharePoint 网站的用户。 通过此可自定义的错误链接,可以为用户提供更多信息和指导。
注意
“了解详细信息”链接是一个租户级设置,适用于已启用受限访问控制策略的所有站点。
若要配置链接,请在 SharePoint PowerShell 中运行以下命令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
若要提取链接的值,请运行以下命令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
当用户选择“ 在此处详细了解组织策略 ”链接时,将启动配置的“了解详细信息”链接。
受限站点访问策略见解
IT 管理员可查看以下报告,深入了解受限制网站访问策略保护的 SharePoint 网站:
- 受受限站点访问策略 (RACProtectedSites) 保护的网站
- 由于站点访问受限而拒绝访问的详细信息 (ActionsBlockedByPolicy)
注意
生成每个报表可能需要几个小时。
受限制站点访问策略保护的网站报告
可以在 SharePoint PowerShell 中运行以下命令,以生成、查看和下载报表:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 生成报告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
生成受限制站点访问策略保护的站点列表 |
| 查看报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
报表显示受策略保护的页面浏览量最高的前 100 个网站。 |
| 下载报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此命令必须以管理员身份运行。 下载的报表位于运行命令的路径上。 |
| 受限制网站访问保护的网站百分比报告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
此报表显示受策略保护的网站占网站总数的百分比 |
由于受限制的站点访问策略而拒绝访问
可以运行以下命令来创建、提取和查看因受限制的站点访问报告而拒绝访问的报告:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 创建访问拒绝报告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
创建用于提取访问拒绝详细信息的新报表 |
| 提取访问拒绝报告状态 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
提取生成的报表的状态。 |
| 过去 28 天内的最新访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
获取过去 28 天内发生的最近 100 次访问拒绝的列表 |
| 查看被拒绝访问的热门用户列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
获取收到最多访问拒绝的前 100 个用户的列表 |
| 查看收到最多访问拒绝的顶级站点列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
获取访问拒绝最多的前 100 个站点的列表 |
| 跨不同类型的站点分布访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
显示不同类型站点之间访问拒绝的分布情况 |
注意
若要查看最多 10,000 个拒绝,必须下载报告。 以管理员身份运行下载命令,下载的报表将位于运行命令的路径上。
审核
Purview 合规性门户中提供了审核事件,可帮助监视站点访问限制活动。 为以下活动记录审核事件:
- 为网站应用站点访问限制
- 删除站点的站点访问限制
- 更改站点的站点访问限制组