應用程式限制性網站建立讓 SharePoint 管理員使用 SharePoint Online 管理命令介面來指定哪些第三方應用程式可以在組織內建立 SharePoint 網站。
你可以選擇兩種方式來管理租戶內應用程式的網站建立:拒絕模式 (指定的應用程式無法) 建立網站;以及允許模式 (只有指定的應用程式能) 建立網站。 一旦你在租戶中啟用應用程式的限制性網站建立,預設模式就是 拒絕。
請記住,這些政策只控制哪些應用程式可以建立新網站,不影響使用者或應用程式的網站存取權限。
注意事項
- 限制 OneDrive 和 SharePoint 依應用程式建立網站的功能目前處於預覽階段。
- 管理員可以為以下類別的網站建立獨立設定:所有網站 (,包括 OneDrives) ,所有 SharePoint 網站 (不含 OneDrives) ,OneDrives、團隊網站 (群組連接及經典) ,以及通訊網站。
- 「為應用程式建立受限網站」功能包含模擬模式參數,用以測試假設情境的政策配置。 - 「應用程式網站建立受限制」功能僅影響第三方應用程式。 目前第一方應用程式並未受影響。
你需要什麼來限制 OneDrive 和 SharePoint 網站的建立?
執照要求是什麼?
您的組織需要擁有正確的授權,並符合某些管理權限或角色,才能使用本文所述的功能。
首先,您的組織必須擁有以下其中一種基本授權:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,你至少需要以下一項執照:
- Microsoft 365 Copilot授權:組織中至少有一位使用者必須被指派 Copilot 授權 (該使用者不必是 SharePoint 管理員) 。
- Microsoft SharePoint 進階管理授權: 可單獨購買。
管理員要求
你必須是 SharePoint 管理員 或擁有同等權限。
其他資訊
如果您的組織擁有 Copilot 執照,且至少有一人被指派 Copilot 執照,SharePoint 管理員會自動取得 Copilot 部署所需的 SharePoint 進階管理功能。
對於沒有 Copilot 授權的組織,你可以 購買獨立的 SharePoint 進階管理授權,使用 SharePoint 進階管理功能。
此外,若要使用應用程式的受限網站建立,你需要:
下載並安裝最新版本的 Microsoft Office SharePoint Online 管理外殼。
確保你能設定允許建立 SharePoint 網站的應用程式。
管理使用 SharePoint Online 管理命令介面的應用程式的受限網站建立
您必須是 SharePoint 管理員,或在 Microsoft 365 中擁有等效權限,才能執行 SharePoint Online 管理命令介面的管理腳本。
在使用本文中的腳本之前,你需要先完成以下步驟:
注意事項
如果你安裝了先前版本的 SharePoint Online 管理命令介面,請先到新增或移除程式並卸載「SharePoint Online 管理命令介面」。 然後安裝最新版本。
- 以 SharePoint 管理員身份連接 SharePoint,或在 Microsoft 365 中以同等權限連接 Share Microsoft 365。 欲了解如何操作,請參閱「使用 SharePoint Online 管理命令介面」。
PowerShell 指令概述
| 函數 | 命令 |
|---|---|
| 啟用網站存取限制 | Set-SPORestrictedSiteCreationForApps –Enabled $true |
| 設定模式為允許或拒絕 | Set-SPORestrictedSiteCreationForApps –Mode Allow Set-SPORestrictedSiteCreationForApps –Mode Deny |
| 新增/重新設定 App ID 清單 | Set-SPORestrictedSiteCreationForApps -SiteType <SiteType> -RestrictedSiteCreationApps <comma separated app IDs> |
| 查看應用程式 ID 清單 | Get-SPORestrictedSiteCreationForApps -SiteType <SiteType> |
要取得應用程式 ID,請依照以下步驟操作:
至少以雲端應用程式管理員身份登入 Microsoft Entra 系統管理中心。
瀏覽至 Entra ID>Enterprise 應用程式>所有應用程式。
選擇你想要的應用程式,並查看其應用程式 ID。
注意事項
此功能僅限制第三方應用程式;這不會影響 第一方應用程式。
用於應用程式受限網站創建的網站類型
你需要在更新並查看 App ID 清單時指定 SiteType 參數。 以下是 SiteType 的參數列表:
| 網站類型 | 適用於 |
|---|---|
| 全部 | OneDrive 及所有 SharePoint 網站 |
| SharePoint | 所有 SharePoint 網站 (,但 OneDrive) |
| OneDrive | 只有 OneDrive |
| 小組 | 只有 SharePoint 團隊網站 (群組連接和經典) |
| 通訊 | 僅限 SharePoint 通訊網站 |
注意事項
所有網站 包含除下表中任何模板外的所有網站。 所有網站的 SiteType 會覆蓋所有其他網站。
| 類型 | 範本名稱 | 範本識別碼 | 原因 |
|---|---|---|---|
| SharePoint Embedded | CSPCONTAINER | 70 | SharePoint 嵌入式體驗則是另外管理的 |
| 重定向網站 | 重定向網站 | 301 | SharePoint 的關鍵功能 |
| 我的網站主機 | MYSITEHOST | 54 | 核心遺址 |
| 租戶管理員 | 租戶管理員 | 16 | 核心遺址 |
限制網站建立應用程式拒絕與允許模式的運作方式
應用程式模式的限制性網站建立會被所有網站類型政策共享。 無法對一種網站類型使用拒絕模式,卻對其他網站類型使用允許模式。
當應用程式的限制性網站建立處於 拒絕 模式時,若該應用程式的 App ID 出現在任何設定為任何網站類型的清單中,且該類型適用於該網站,該應用程式將被阻止建立網站。 例如,若應用程式的應用程式 ID 出現在任何以 All、SharePoint 或 Communication 網站類型配置的清單中,則該應用程式被阻止建立 SharePoint 通訊網站。
當應用程式的受限網站建立設定為 允許 模式時,只有當應用程式的 App ID 在設定並設定為網站類型的清單中,且該類型適用於該網站時,應用程式才被允許建立網站。 例如,如果應用程式的 App ID 在以 All 或 OneDrive 網站類型配置的清單中,就能建立 OneDrive。
啟用應用程式的網站建立受限
Set-SPORestrictedSiteCreationForApps –Enabled $true SharePoint Online 管理命令介面中的 cmdlet 允許管理員啟用租戶的受限網站建立功能與政策。
範例:Set-SPORestrictedSiteCreationForApps –Enabled $true
設定模式為允許或拒絕
你可以指定允許使用參數 Allow () 或不允許使用參數 Deny (建立特定類型的網站的應用程式) 。
範例:將應用程式的受限網站建立模式設為允許
Set-SPORestrictedSiteCreationForApps –Enabled:$true –Mode Allow
注意事項
從拒絕切換到允許模式會跳出訊息:「你確定要從拒絕切換到允許嗎? 切換將移除所有現有的限制配置。」 當你從允許模式切換到拒絕模式時,也會出現類似的訊息。
在應用程式清單中設定應用程式 ID
當你在受限網站應用程式清單中設定應用程式 ID 時,這個指令會替換你指定的應用程式 ID 來取代目前的清單。 你無法新增或移除個別應用程式 ID——每次執行指令都會替換該網站類型的新清單。 為了避免移除其他應用程式的存取權限,請務必在指令中包含你想允許的所有應用程式 ID。
範例 1:若要只允許帶有 ID 281e395b-7316-4cb2-b5bb-8881426ee411 的應用程式建立所有網站,請在 SharePoint Online 管理命令介面執行以下指令:
Set-SPORestrictedSiteCreationForApps –SiteType "All" -RestrictedSiteCreationApps "281e395b-7316-4cb2-b5bb-8881426ee411"
此指令會將現有清單替換為僅指定的應用程式 ID。 只有這個應用程式能建立類型為「All」的網站。
範例 2:要更新允許建立團隊站的應用程式 ID 清單,請在 SharePoint Online 管理命令介面中使用以下指令:
Set-SPORestrictedSiteCreationForApps –SiteType "Team" -RestrictedSiteCreationApps "78159241-04a9-41d2-8dd4-ac568e9766a3,1f95829b-e1c8-4406-b2be-508c36f4bca5"
此指令將目前 Teams 網站允許的應用程式清單替換為僅指定的應用程式 ID。
範例 3:要控制哪些應用程式可以建立通訊網站,請使用一個空的 App ID 清單 () "" ,並搭配以下 Set-SPORestrictedSiteCreationForApps 指令:
Set-SPORestrictedSiteCreationForApps –SiteType "Communication" -RestrictedSiteCreationApps ""
- 允許模式: 沒有任何應用程式能建立溝通網站。
- 否認模式: 所有應用程式都能建立溝通網站。
此指令根據當前模式 (允許或拒絕) 設定政策,並將其套用到通訊站點。 將應用程式 ID 「」加入允許建立通訊網站的應用程式清單——這代表:
查看應用程式 ID 清單
你可以透過執行「取得」指令,在受限制網站應用程式清單中查看受限制或已允許的應用程式。 此指令預設包含所有設定。
你可以不 Get-SPORestrictedSiteCreationForApps 使用任何參數來回傳:Enabled、 Mode,以及一個字典,將每個網站類型與其設定的應用程式 ID 匹配。
你也可以執行這個用篩選條件 -SiteType 的指令,回傳特定網站類型的應用程式 ID:
Get-SPORestrictedSiteCreationForApps -SiteType <SiteType>
範例:查看所有可以建立所有網站的應用程式 ID。
Get-SPORestrictedSiteCreationForApps –SiteType All