使用 Microsoft 365 群組和 Entra 安全組限制 SharePoint 網站存取
本文中的某些功能需要 Microsoft SharePoint Premium - SharePoint 進階管理
您可以使用網站存取限制原則,將 SharePoint 網站和內容的存取限制限制為特定群組中的使用者。 不在指定群組中的用戶無法存取網站或其內容,即使他們具有先前的許可權或共用連結也一樣。 此原則可以與 Microsoft 365 群組連線、Teams 連線和非群組連線網站搭配使用。
當使用者嘗試開啟網站或存取檔案時,會套用網站存取限制原則。 具有檔案直接許可權的使用者仍然可以在搜尋結果中檢視檔案。 不過,如果檔案不是指定群組的一部分,就無法存取檔案。
透過群組成員資格限制網站存取可以將過度共享內容的風險降到最低。 如需數據共用的深入解析,請 參閱數據存取治理報告。
必要條件
網站存取限制原則需要 Microsoft SharePoint Premium - SharePoint 進階管理。
為您的組織啟用網站層級存取限制
您必須先為組織啟用網站層級存取限制,才能針對個別網站進行設定。
若要在 SharePoint 系統管理中心為您的組織啟用網站層級存取限制:
若要使用 PowerShell 為您的組織啟用網站層級存取限制,請執行下列命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令最多可能需要一小時才會生效
注意事項
針對 Microsoft 365 多地理位置使用者,請針對每個所需的地理位置個別執行此命令。
限制存取 Microsoft 365 群組和 Teams (群組連線的網站)
群組連線網站的網站存取限制原則會將 SharePoint 網站存取限制為與網站相關聯的 Microsoft 365 群組或小組成員。
在 SharePoint 系統管理中心管理群組連線網站的網站存取限制
- 在 SharePoint 系統管理中心中,展開 [ 網站 ],然後選取 [ 使用中網站]。
- 選取您要管理的網站,並顯示 [網站詳細數據] 面板。
- 在 [設定] 索引標籤中,選取 [限制的網站存取] 區段中的 [編輯]。
- 選取 [ 限制存取此網站] 方塊,然後選取 [ 儲存]。
若要啟用群組連線網站的網站存取限制,請執行下列命令:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
若要檢視群組連線網站的網站存取限制,請執行下列命令:
Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl
若要停用群組連線網站的網站存取限制,請執行下列命令:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false
限制非群組連線網站的網站存取
您可以藉由指定 Entra 安全組 或 Microsoft 365 群組來限制非群組連線網站的存取權,這些群組包含應允許存取網站的人員。 您最多可以設定 10 個 Entra 安全組或 Microsoft 365 群組。 套用原則之後,指定群組中具有網站訪問許可權的使用者會被授與網站及其內容的存取權。 如果您想要以使用者屬性作為群組成員資格的基礎,您可以使用 動態安全組 。
若要管理非群組連線網站的網站存取:
- 在 SharePoint 系統管理中心中,展開 [ 網站 ],然後選取 [ 使用中網站]。
- 選取您要管理的網站,並顯示 [網站詳細數據] 面板。
- 在 [設定] 索引標籤中,選取 [限制的網站存取] 區段中的 [編輯]。
- 選取 [ 僅限指定群組中的使用者存取 SharePoint 網站 ] 複選框。
- 新增或移除您的安全組或 Microsoft 365 群組,然後選取 [ 儲存]。
若要將網站存取限制套用至網站,您必須將至少一個群組新增至網站存取限制原則。
若要使用PowerShell管理非群組連線網站的網站存取限制,請使用下列命令:
動作 | PowerShell 命令 |
---|---|
啟用網站存取限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
新增群組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
編輯群組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
檢視群組 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
拿掉群組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
共用和私人頻道網站
共用和私人頻道網站 與標準通道使用的 Microsoft 365 群組連線網站不同。 由於共用和私人頻道網站未連線至 Microsoft 365 群組,因此套用至小組的網站存取限制原則不會影響這些網站。 您必須個別啟用每個共用或私人頻道網站的網站存取限制,作為非群組連線的網站。
針對共用通道網站,只有資源租使用者中的內部使用者受限於網站存取限制。 外部通道參與者會從網站存取限制原則中排除,而且只會根據網站的現有網站許可權進行評估。
重要事項
將人員新增至安全組或 Microsoft 365 群組不會讓使用者存取 Teams 中的頻道。 建議您在 Teams 和安全組或 Microsoft 365 群組中新增或移除 Teams 頻道的相同使用者,讓使用者可以同時存取 Teams 和 SharePoint。
稽核
Purview 合規性入口網站 中提供稽核事件,以協助您監視網站存取限制活動。 稽核事件會針對下列活動記錄:
- 套用網站的網站存取限制
- 拿掉網站的網站存取限制
- 變更網站的網站存取限制群組
相關文章
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應