受限網站存取控制透過將 SharePoint 網站及其內容的存取權指定給特定群組的使用者,有助於防止過度分享。 不屬於指定群組的使用者無法存取該網站或其內容,即使他們事先擁有權限或共享連結。 你可以透過使用 Microsoft 365 群組、Teams 連線及非群組連線的網站,使用Microsoft 365群組或Microsoft Entra安全群組來套用此政策。
網站存取限制政策會在使用者嘗試開啟網站或存取檔案時生效。 擁有直接檔案權限的使用者仍可在搜尋結果中查看檔案。 不過,如果檔案不屬於指定的群組,他們就無法存取這些檔案。
透過群組會員限制網站存取,可以降低過度分享內容的風險。 關於資料共享的見解,請參閱 資料存取治理報告。
你需要什麼來限制網站存取?
請參閱 SharePoint 進階管理的前置條件。
為您的組織啟用站點層級存取限制
您必須為您的組織啟用站點層級的存取限制,才能為個別站點設定。 您也可以將網站存取限制控制權委派給組織所有網站管理員。
要在您的 SharePoint 管理中心啟用網站層級的存取限制,請遵循以下步驟:
展開 政策 並選擇 存取控制。
選擇 「站點層級存取限制」。
選擇 「允許存取限制 」,然後選擇 「儲存」。
要啟用使用 PowerShell 的組織在站點層級的存取限制,請執行以下指令:
Set-SPOTenant -EnableRestrictedAccessControl $true
指令生效可能需要長達一小時。
將受限存取控制的管理委派給網站管理員
作為 SharePoint 管理員,您也可以將受限存取控制的管理委派給網站管理員。 如果他們更新政策,必須提供適當的理由說明為什麼要更新。
預設情況下,該委派會被關閉。 如果你決定啟用它,請執行以下指令:
Set-SPOTenant -DelegateRestrictedAccessControlManagement $true
一旦限制存取控制權委派給所有網站管理員,他們就能管理該政策。
檢查受限存取控制委託管理狀態,該權限由網站管理員管理
要檢查委派狀態,請執行以下指令:
Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement
注意事項
對於 Microsoft 365 多地理使用者,請分別執行此指令,針對每個想要的地理位置。
限制使用 Microsoft 365 群組或 Microsoft Entra 安全群組存取所有 SharePoint 網站
您可以透過指定 Microsoft Entra 安全群組或 Microsoft 365 群組作為受限制存取控制群組來限制對 SharePoint 網站的存取。 控制組應包含被允許存取網站及其內容的使用者。
對於一個網站,你可以配置最多 10 個 Microsoft Entra 安全群組或 Microsoft 365 群組。 套用該政策後,指定群組中擁有內容存取權限的使用者會被授予存取權限。
重要事項
將人加入受限存取控制群組 (Microsoft Entra 安全群組或 Microsoft 365 群組) 並不會自動賦予使用者存取該網站或內容的權限。 使用者若要存取本政策保護的內容,需同時取得網站或內容存取權限,且成為受限存取控制群組的成員。
注意事項
如果你想根據使用者屬性來建立群組成員資格,也可以將動態安全群組作為受限存取控制群組。
管理網站存取權限
要管理網站存取,請遵循以下步驟:
在 SharePoint 管理中心,展開 「站點 」並選擇 「活動站點」。
選擇你想管理的網站。 網站細節面板會出現。
在 設定 標籤中,選擇「限制網站存取」區塊的 編輯 。
選擇 「限制 SharePoint 網站僅存取指定群組中的使用者 」勾選框。
新增或移除你的安全群組或 Microsoft 365 群組,然後選擇 儲存。
要對該網站實施存取限制,您必須至少在網站存取限制政策中新增一個群組。
對於群組連接的站點,連接該站點的 Microsoft 365 群組是預設的受限存取控制群組。 你可以選擇保留這個群組,並新增更多 Microsoft 365 或 Microsoft Entra 安全群組作為受限存取控制群組。
注意事項
有一個標籤標示為 預設群組 ,與連接在該網站的 Microsoft 365 群組對比,如前一張圖片所示。
要使用 PowerShell 管理 SharePoint 網站的存取限制,請使用以下指令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用網站存取限制 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 新增群組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 編輯群組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 查看群組 | Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 移除群組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
網站管理員經驗
當你將網站存取限制控制權委派給網站管理員後,他們可以在 網站資訊 面板中設定網站存取限制設定。
要限制對 SharePoint 網站的存取:
- 透過使用 Microsoft Entra 安全群組或 Microsoft 365 群組,限制誰能存取網站。
- 新增包含應該有權限的使用者的群組。
- 每個地點最多加十組。
- 當你儲存網站存取限制設定設定時,只有這些群組中的使用者以及已經擁有該內容權限的使用者才能存取該網站。
- 每次更新網站存取限制設定時,請提供理由說明。
網站擁有者體驗
在你將政策套用到網站後, 網站存取 面板會顯示政策狀態以及所有已設定的控制群組,還有 網站資訊 和 權限 面板。
共享與私人頻道網站
共享與私人頻道站點與標準頻道使用的 Microsoft 365 群組連接站點是分開的。 由於共享與私人頻道站點並未連接到 Microsoft 365 群組,因此套用給團隊的網站存取限制政策不會影響它們。 您必須分別為每個共享或私人頻道站點啟用非群組連結站點的存取限制。
對於共享頻道站點,只有資源租戶中的內部使用者會受到站點存取限制。 外部頻道參與者不包含網站存取限制政策,僅依據網站現有權限進行評估。
重要事項
新增人員到安全群組或 Microsoft 365 群組,並不會讓使用者在 Teams 中存取該頻道。 在 Teams 中新增或移除相同的 Teams 頻道使用者,以及安全群組或 Microsoft 365 群組,讓使用者同時存取 Teams 和 SharePoint 網站。
稽核
Microsoft Purview 入口網站提供稽核事件,協助你監控網站存取限制活動。 系統會記錄以下活動的稽核事件:
- 為網站套用網站存取限制
- 解除網站存取限制
- 更改網站存取限制群組
- 網站管理員更新網站存取限制的理由
報告
限制網站存取政策洞察
作為 IT 管理員,您可以參考以下報告,以獲得更多關於受限制網站存取政策保護的 SharePoint 網站的見解:
- 受限制網站存取政策 (RACProtectedSites)
- 因網站存取政策受限而被拒絕存取的詳細資訊 (ActionsBlockedByPolicy)
即使你擁有必要的執照,目前也無法取得 Gallatin 的報告。
注意事項
產生每份報告可能需要幾個小時。
受限制存取政策保護的網站報告
請在 SharePoint PowerShell 中執行以下指令來產生、檢視及下載報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 產生報告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
產生受限制網站存取政策保護的網站清單 |
| 查看報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
報告顯示受該政策保護的前100個頁面瀏覽量最高的網站。 |
| 下載報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
以管理員身份執行這個指令。 下載的報告位於執行指令的路徑上。 |
| 受限制存取保護的網站比例報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
本報告顯示受該政策保護的網站佔總據點數的百分比 |
因網站存取政策受限而被拒絕的存取報告
執行以下指令以建立、取回並查看因網站存取受限而被拒絕存取的報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 建立存取拒絕報告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
建立一份新的報告以取得存取拒絕的詳細資訊 |
| 取回存取拒絕報告狀態 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
取得產生報告的狀態。 |
| 過去28天內最新的存取拒絕 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
取得過去28天內最近100起存取拒絕的清單 |
| 查看被拒絕存取的頂尖用戶名單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
獲得前 100 位最多存取拒絕用戶的名單 |
| 查看收到最多存取拒絕的熱門網站列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
獲得前100個最多存取拒絕網站的清單 |
| 不同類型網站間的存取拒絕分布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
顯示不同類型網站間存取拒絕的分布 |
注意事項
要查看最多10,000件拒絕申請,您必須下載相關報告。 以管理員身份執行下載指令。 下載的報告就在你執行指令的路徑上。
與受限存取控制群組以外的用戶分享網站及內容 (選擇加入功能)
預設情況下,分享 SharePoint 網站及其內容並不符合受限的網站存取政策。 SharePoint 管理員可以選擇限制與非受限存取控制群組成員的使用者分享網站及其內容。
若要限制分享權限僅限於受限存取控制群組外的使用者,請以管理員身份在 SharePoint Online 管理命令介面執行以下 PowerShell 指令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
與使用者分享
當你套用分享限制時,它會阻止非受限存取控制群組成員的使用者分享。
與團體分享
允許與 Microsoft Entra Security 或 Microsoft 365 群組共享,這些群組屬於受限存取控制群組清單。 不允許與其他所有群組分享,包括除了外部使用者或 SharePoint 群組外的所有人。
注意事項
現在允許在受限存取控制群組中巢狀的安全群組分享網站及其內容。
設定「了解更多」連結以顯示存取拒絕錯誤頁面 (選擇加入功能)
設定「 了解更多 」連結,通知因受限網站存取控制政策而被拒絕存取 SharePoint 網站的使用者。 透過自訂這個錯誤連結,你可以為使用者提供更多資訊和指引。
注意事項
「了解更多」連結是一個租戶層級設定,適用於所有啟用受限存取控制政策的網站。
要設定連結,請在 SharePoint PowerShell 中執行以下指令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
要取得連結的值,請執行以下指令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
當使用者選擇「了解您組織政策」連結時,已設定的「了解更多」連結會啟動。
