使用 Microsoft 365 组和 Entra 安全组限制 SharePoint 网站访问
本文中的某些功能需要Microsoft Syntex - SharePoint 高级管理
可以使用网站访问限制策略,将 SharePoint 网站和内容的访问限制为特定组中的用户。 不在指定组中的用户无法访问网站或其内容,即使他们具有先前的权限或共享链接也是如此。 此策略可用于 Microsoft 365 组连接、Teams 连接和非组连接的站点。
当用户尝试打开网站或访问文件时,将应用站点访问限制策略。 对文件具有直接权限的用户仍然可以在搜索结果中查看文件。 但是,如果文件不是指定组的一部分,则他们无法访问这些文件。
通过组成员身份限制网站访问可以最大程度地降低过度共享内容的风险。 有关数据共享的见解,请参阅 数据访问治理报告。
先决条件
网站访问限制策略需要 Microsoft Syntex - SharePoint 高级管理。
为组织启用站点级访问限制
必须先为组织启用站点级访问限制,然后才能为单个站点配置该限制。
若要在 SharePoint 管理中心中为组织启用网站级访问限制,请执行以下操作:
若要使用 PowerShell 为组织启用站点级访问限制,请运行以下命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要长达一小时才能生效
注意
对于 Microsoft 365 多地理位置用户,请为每个所需的地理位置单独运行此命令。
限制对组连接的站点的访问 (Microsoft 365 组 和 Teams)
组连接网站的网站访问限制策略将 SharePoint 网站访问权限限制为与网站关联的 Microsoft 365 组或团队的成员。
在 SharePoint 管理中心中管理已连接组的网站的网站访问限制
- 在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
- 选择要管理的网站,并显示网站详细信息面板。
- 在“设置”选项卡中,选择“受限网站访问”部分中的“编辑”。
- 选择“ 限制对此网站的访问 ”框,然后选择“ 保存”。
若要为已连接组的站点启用站点访问限制,请运行以下命令:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
若要查看已连接组的站点的站点访问限制,请运行以下命令:
Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl
若要禁用已连接组的站点的站点访问限制,请运行以下命令:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false
限制对非组连接的站点的站点访问
可以通过指定 Entra 安全组 或 Microsoft 365 组来限制对非组连接站点的访问,这些组包含应允许访问站点的人员。 最多可以配置 10 个 Entra 安全组或 Microsoft 365 组。 应用策略后,指定组中具有网站访问权限的用户将被授予对网站及其内容的访问权限。 如果要将组成员身份基于用户属性,则可以使用 动态安全组 。
若要管理对非组连接站点的站点访问,请执行以下操作:
- 在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
- 选择要管理的网站,并显示网站详细信息面板。
- 在“设置”选项卡中,选择“受限网站访问”部分中的“编辑”。
- 选中“将 SharePoint 网站访问权限限制为仅指定组中的用户检查” 框。
- 添加或删除安全组或 Microsoft 365 组,然后选择“ 保存”。
若要将网站访问限制应用于网站,必须向站点访问限制策略添加至少一个组。
若要使用 PowerShell 管理非组连接站点的站点访问限制,请使用以下命令:
操作 | PowerShell 命令 |
---|---|
启用站点访问限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
添加组 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
编辑组 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
视图组 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
删除组 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
重置站点访问限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
共享和专用频道网站
共享和专用频道网站 与标准频道使用的 Microsoft 365 组连接站点分开。 由于共享和专用频道网站未连接到 Microsoft 365 组,因此应用于团队的网站访问限制策略不会影响它们。 必须单独为每个共享或专用频道网站启用非组连接站点的网站访问限制。
对于共享通道网站,只有资源租户中的内部用户受网站访问限制的约束。 外部通道参与者从网站访问限制策略中排除,并且仅根据站点的现有网站权限进行评估。
重要
将人员添加到安全组或 Microsoft 365 组不会向用户授予对 Teams 中的频道的访问权限。 建议在 Teams 和安全组或 Microsoft 365 组中添加或删除团队通道的相同用户,以便用户可以同时访问 Teams 和 SharePoint。
审核
Purview 合规性门户中提供了审核事件,可帮助监视站点访问限制活动。 为以下活动记录审核事件:
- 为网站应用站点访问限制
- 删除站点的站点访问限制
- 更改站点的站点访问限制组
相关文章
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈