受限網站存取控制可透過指定 SharePoint 網站及其內容的存取權限給特定群組的使用者,來防止過度分享。 不屬於指定群組的使用者無法存取該網站或其內容,即使他們事先擁有權限或共享連結。 此政策可套用於使用 Microsoft 365 群組連接、Teams 連接及非群組連接的 Microsoft 365 群組或 Microsoft Entra 安全群組的站點。
當使用者嘗試開啟網站或存取檔案時,會套用網站存取限制政策。 擁有直接檔案權限的使用者仍可在搜尋結果中查看檔案。 不過,如果檔案不屬於指定的群組,他們就無法存取這些檔案。
透過群組會員限制網站存取,可以降低過度分享內容的風險。 關於資料共享的見解,請參閱 資料存取治理報告。
你需要什麼來限制網站存取?
執照要求是什麼?
您的組織需要擁有正確的授權,並符合某些管理權限或角色,才能使用本文所述的功能。
首先,您的組織必須擁有以下其中一種基本授權:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,你至少需要以下一項執照:
- Microsoft 365 Copilot授權:組織中至少有一位使用者必須被指派 Copilot 授權 (該使用者不必是 SharePoint 管理員) 。
- Microsoft SharePoint 進階管理授權: 可單獨購買。
管理員要求
你必須是 SharePoint 管理員 或擁有同等權限。
其他資訊
如果您的組織擁有 Copilot 執照,且至少有一人被指派 Copilot 執照,SharePoint 管理員會自動取得 Copilot 部署所需的 SharePoint 進階管理功能。
對於沒有 Copilot 授權的組織,你可以 購買獨立的 SharePoint 進階管理授權,使用 SharePoint 進階管理功能。
為您的組織啟用站點層級存取限制
您必須為您的組織啟用站點層級的存取限制,才能為個別站點設定。
要在 SharePoint 管理中心啟用組織的站點層級存取限制:
展開 政策 並選擇 存取控制。
選擇 「站點層級存取限制」。
選擇 「允許存取限制 」,然後選擇 「儲存」。
要啟用使用 PowerShell 的組織在站點層級的存取限制,請執行以下指令:
Set-SPOTenant -EnableRestrictedAccessControl $true
指令生效可能需要長達一小時。
注意事項
對於 Microsoft 365 多地理使用者,請分別執行此指令,針對每個想要的地理位置。
限制使用 Microsoft 365 群組或 Microsoft Entra 安全群組存取所有 SharePoint 網站
您可以透過指定 Microsoft Entra 安全群組或 Microsoft 365 群組作為受限制存取控制群組來限制對 SharePoint 網站的存取。 控制組應該包含應被允許存取網站及其內容的使用者。
對於一個網站,你可以配置最多 10 個 Microsoft Entra 安全群組或 Microsoft 365 群組。 一旦政策套用,指定群組中擁有內容存取權限的使用者即可存取。
重要事項
將人加入受限存取控制群組 (Microsoft Entra 安全群組或 Microsoft 365 群組) 並不會自動賦予使用者存取該網站或內容的權限。 使用者若要存取受此政策保護的內容,必須同時擁有網站或內容存取權限,且必須是受限存取控制群組的成員。
注意事項
如果你想根據使用者屬性來建立群組成員資格,也可以將動態安全群組作為受限存取控制群組。
管理網站存取權限
管理網站存取權限:
- 在 SharePoint 管理中心,展開 「站點 」並選擇 「活動站點」。
- 選擇你想管理的網站,網站詳細資料面板就會顯示出來。
- 在 設定 標籤中,選擇「限制網站存取」區塊的 編輯 。
- 選擇 「限制 SharePoint 網站僅存取指定群組中的使用者 」勾選框。
- 新增或移除你的安全群組或 Microsoft 365 群組,然後選擇 儲存。
若要對該網站實施存取限制,您必須至少在網站存取限制政策中新增一個群組。
對於群組連接的站點,連接該站點的 Microsoft 365 群組會被加入為預設的受限存取控制群組。 你可以選擇保留這個群組,並新增更多 Microsoft 365 或 Microsoft Entra 安全群組作為受限存取控制群組。
注意事項
有一個標籤標示為 預設群組 ,與連接在該網站的 Microsoft 365 群組對比,如前一張圖片所示。
要管理使用 PowerShell 的 SharePoint 網站存取限制,請使用以下指令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用網站存取限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 新增群組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 編輯群組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 查看群組 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 移除群組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
網站管理員與網站擁有者經驗
一旦你將政策套用到網站,除了網站資訊與權限面板外,網站擁有者和管理員的政策狀態及所有已設定的控制群組也會顯示。
共享與私人頻道網站
共享與私人頻道站點與標準頻道使用的 Microsoft 365 群組連接站點是分開的。 由於共享與私人頻道站點並未連接到 Microsoft 365 群組,因此套用給團隊的網站存取限制政策不會影響它們。 您必須分別為每個共享或私人頻道站點啟用非群組連結站點的存取限制。
對於共享頻道站點,只有資源租戶中的內部使用者會受到站點存取限制。 外部頻道參與者不包含網站存取限制政策,僅依據網站現有權限進行評估。
重要事項
新增人員到安全群組或 Microsoft 365 群組,並不會讓使用者在 Teams 中存取該頻道。 我們建議新增或移除 Teams 頻道的相同使用者,以及安全群組或 Microsoft 365 群組,讓使用者能同時存取 Teams 和 SharePoint 網站。
稽核
審核事件可在 Microsoft Purview 入口網站提供,協助您監控網站存取限制活動。 審計事件記錄於以下活動:
- 為網站套用存取限制
- 移除網站存取限制
- 更改網站存取限制群組
報告
限制網站存取政策洞察
作為 IT 管理員,您可以參考以下報告,以獲得更多關於受限制網站存取政策保護的 SharePoint 網站的見解:
- 受限制網站存取政策 (RACProtectedSites)
- 因網站存取受限而被拒絕存取的詳細資訊 (ActionsBlockedByPolicy)
注意事項
產生每份報告可能需要幾個小時。
受限制存取政策保護的網站報告
你可以在 SharePoint PowerShell 中執行以下指令來產生、檢視及下載報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 產生報告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
產生受限制網站存取政策保護的網站清單 |
| 查看報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
報告顯示受該政策保護的前100個頁面瀏覽量最高的網站。 |
| 下載報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此指令必須以管理員身份執行。 下載的報告位於執行指令的路徑上。 |
| 受限制存取保護的網站比例報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
本報告顯示受該政策保護的網站佔總據點數的百分比 |
因網站存取政策受限而被拒絕的存取報告
你可以執行以下指令來建立、擷取並查看因網站存取受限而被拒絕存取的報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 建立存取拒絕報告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
建立一份新的報告以取得存取拒絕的詳細資訊 |
| 取回存取拒絕報告狀態 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
取得產生報告的狀態。 |
| 過去28天內最新的存取拒絕 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
取得過去28天內最近100起存取拒絕的清單 |
| 查看被拒絕存取的頂尖用戶名單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
獲得前 100 位最多存取拒絕用戶的名單 |
| 查看收到最多存取拒絕的熱門網站列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
獲得前100個最多存取拒絕網站的清單 |
| 不同類型網站間的存取拒絕分布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
顯示不同類型網站間存取拒絕的分布 |
注意事項
要查看最多10,000件拒絕申請,您必須下載相關報告。 以管理員身份執行下載指令,下載的報告會顯示在執行指令的路徑上。
與受限存取控制群組以外的用戶分享網站及內容 (選擇加入功能)
SharePoint 網站及其內容的分享預設不會遵守受限的網站存取政策。 SharePoint 管理員可以選擇限制與非受限存取控制群組成員的使用者分享網站及其內容。
若要限制與受限存取控制群組外使用者的分享能力,請啟用該群組,請以管理員身份在 SharePoint Online 管理命令介面執行以下 PowerShell 指令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
與使用者分享
一旦實施分享限制,非受限存取控制群組成員的用戶將被封鎖分享。
與團體分享
允許與 Microsoft Entra Security 或 Microsoft 365 群組分享,這些群組屬於受限存取控制群組清單。 因此,不允許與其他所有群組共享,包括除外部使用者或 SharePoint 群組外的所有人。
注意事項
限制存取控制群組中巢狀的安全群組不允許分享網站及其內容。 這項支援將在下一版本版本中加入。
設定「了解更多」連結以顯示存取拒絕錯誤頁面 (選擇加入功能)
設定「 了解更多 」連結,通知因受限網站存取控制政策而被拒絕存取 SharePoint 網站的使用者。 透過這個可自訂的錯誤連結,你可以為使用者提供更多資訊與指引。
注意事項
「了解更多」連結是一個租戶層級設定,適用於所有啟用受限存取控制政策的網站。
要設定連結,請在 SharePoint PowerShell 中執行以下指令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
要取得連結的值,請執行以下指令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
當使用者選擇「 了解您組織政策」 連結時,已設定的「了解更多」連結會啟動。
