Compartilhar via

Restringir o acesso a sites do SharePoint com grupos do Microsoft 365 e grupos de segurança Microsoft Entra

O controlo de acesso restrito a sites permite-lhe impedir a partilha excessiva ao designar o acesso de sites do SharePoint e os respetivos conteúdos aos utilizadores num grupo específico. Os utilizadores que não estejam no grupo especificado não podem aceder ao site ou ao respetivo conteúdo, mesmo que tenham permissões anteriores ou uma ligação partilhada. Esta política pode ser aplicada em sites ligados a grupos do Microsoft 365, ligados ao Teams e não ligados a grupos através de grupos do Microsoft 365 ou grupos de segurança Microsoft Entra.

As políticas de restrição de acesso ao site são aplicadas quando um utilizador tenta abrir um site ou aceder a um ficheiro. Os utilizadores com permissões diretas para o ficheiro ainda podem ver ficheiros nos resultados da pesquisa. No entanto, não poderão aceder aos ficheiros se não fizerem parte do grupo especificado.

Captura de ecrã a mostrar as alterações guardadas para o controlo de acesso restrito para sites do SharePoint.

Restringir o acesso ao site através da associação a grupos pode minimizar o risco de partilha excessiva de conteúdos. Para obter informações sobre a partilha de dados, veja Relatórios de governação de acesso a dados.

O que precisa para restringir o acesso ao site?

Quais são os requisitos de licença?

A sua organização tem de ter a licença correta e cumprir determinadas permissões ou funções administrativas para utilizar a funcionalidade descrita neste artigo.

Em primeiro lugar, a sua organização tem de ter uma das seguintes licenças base:

  • Office 365 E3, E5 ou A5
  • Microsoft 365 E1, E3, E5 ou A5

Além disso, precisa de, pelo menos, uma destas licenças:

  • Microsoft 365 Copilot licença: tem de ser atribuída uma licença copilot a pelo menos um utilizador na sua organização (este utilizador não precisa de ser administrador do SharePoint).
  • Licença de Gestão Avançada do Microsoft SharePoint: Disponível como uma compra autónoma.

Requisitos de administrador

Tem de ser um administrador do SharePoint ou ter permissões equivalentes.

Informações adicionais

Se a sua organização tiver uma licença copilot e, pelo menos, uma pessoa na sua organização lhe for atribuída uma licença copilot, os administradores do SharePoint obterão automaticamente acesso às funcionalidades de Gestão Avançada do SharePoint necessárias para a implementação do Copilot.

Para organizações sem uma licença copilot, pode utilizar as funcionalidades de Gestão Avançada do SharePoint ao comprar uma licença de Gestão Avançada do SharePoint autónoma.

Ativar a restrição de acesso ao nível do site para a sua organização

Tem de ativar a restrição de acesso ao nível do site para a sua organização antes de a poder configurar para sites individuais.

Para ativar a restrição de acesso ao nível do site para a sua organização no centro de administração do SharePoint:

  1. Expanda Políticas e selecione Controlo de acesso.

  2. Selecione Restrição de acesso ao nível do site.

  3. Selecione Permitir restrição de acesso e, em seguida, selecione Guardar.

    captura de ecrã da restrição de acesso ao site no centro de administração do SharePoint dashboard.

Para ativar a restrição de acesso ao nível do site para a sua organização com o PowerShell, execute o seguinte comando:

Set-SPOTenant -EnableRestrictedAccessControl $true

O comando pode demorar até uma hora a entrar em vigor.

Observação

Para utilizadores do Microsoft 365 Multi-Geo, execute este comando separadamente para cada localização geográfica pretendida.

Restringir o acesso a todos os sites do SharePoint com grupos do Microsoft 365 ou grupos de segurança Microsoft Entra

Pode restringir o acesso a um site do SharePoint ao especificar Microsoft Entra grupos de segurança ou grupos do Microsoft 365 como o grupo Controle de Acesso Restrito. O grupo de controlo deve ter os utilizadores a quem deve ser permitido o acesso ao site e ao respetivo conteúdo.

Para um site, pode configurar até 10 grupos de segurança Microsoft Entra ou grupos do Microsoft 365. Assim que a política for aplicada, os utilizadores no grupo especificado que têm permissão de acesso ao conteúdo têm permissão de acesso.

Importante

Adicionar pessoas ao grupo Controle de Acesso Restrito (Microsoft Entra grupo de segurança ou grupo do Microsoft 365) não dá automaticamente aos utilizadores permissão de acesso ao site ou ao conteúdo. Para que um utilizador possa aceder ao conteúdo protegido com esta política, o utilizador teria de ter a permissão de acesso ao site ou conteúdo E ser membro do grupo Controle de Acesso Restritos.

Observação

Também pode utilizar grupos de segurança dinâmicos como um grupo de Controle de Acesso restrito se quiser basear a associação a grupos em propriedades de utilizador.

Gerir o acesso ao site de um site

Para gerir o acesso ao site de um site:

  1. No centro de administração do SharePoint, expanda Sites e selecione Sites ativos.
  2. Selecione o site que pretende gerir e o painel de detalhes do site é apresentado.
  3. No separador Definições , selecione Editar na secção Acesso restrito ao site.
  4. Selecione a caixa restringir o acesso ao site SharePoint apenas a utilizadores em grupos especificados marcar.
  5. Adicione ou remova os seus grupos de segurança ou grupos do Microsoft 365 e selecione Guardar.

Para que a restrição de acesso ao site seja aplicada ao site, tem de adicionar, pelo menos, um grupo à política de restrição de acesso ao site.

captura de ecrã a mostrar grupos de segurança de restrição de acesso ao site que estão a ser adicionados a sites ligados sem grupo.

Para um site ligado a um grupo, o grupo do Microsoft 365 ligado ao site é adicionado como o grupo de Controle de Acesso Restrito predefinido. Pode optar por manter este grupo e adicionar mais grupos de Segurança do Microsoft 365 ou Microsoft Entra como grupo Controle de Acesso Restrito.

captura de ecrã a mostrar grupos de segurança de restrição de acesso ao site a serem adicionados a sites ligados.

Observação

Existe uma etiqueta etiquetada como Grupo predefinido marcado com o grupo do Microsoft 365 ligado ao site, conforme mostrado na imagem anterior.

Para gerir a restrição de acesso a sites para um site do SharePoint com o PowerShell, utilize os seguintes comandos:

Ação Comando do PowerShell
Ativar restrição de acesso ao site Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Adicionar grupo Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Editar grupo Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Ver grupo Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Remover grupo Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Repor restrição de acesso ao site Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Experiência de administrador do site e proprietário do site

Depois de aplicar a política ao site, a política status e todos os grupos de controlo configurados são apresentados para proprietários de sites e administradores de sites no painel Acesso ao Site, além dos painéis Informações e Permissões do Site.

captura de ecrã a mostrar o painel de restrição de acesso ao site.

Sites de canais partilhados e privados

Os sites de canais partilhados e privados são separados do site ligado ao grupo do Microsoft 365 que os canais padrão utilizam. Uma vez que os sites de canais partilhados e privados não estão ligados ao grupo do Microsoft 365, as políticas de restrição de acesso ao site aplicadas à equipa não os afetam. Tem de ativar a restrição de acesso ao site para cada site de canal partilhado ou privado separadamente como sites ligados sem grupo.

Para sites de canais partilhados, apenas os utilizadores internos no inquilino do recurso estão sujeitos a restrições de acesso ao site. Os participantes de canais externos são excluídos da política de restrição de acesso ao site e avaliados apenas de acordo com as permissões de site existentes do site.

Importante

Adicionar pessoas ao grupo de segurança ou ao grupo do Microsoft 365 não dá aos utilizadores acesso ao canal no Teams. Recomendamos que adicione ou remova os mesmos utilizadores do canal do Teams no Teams e no grupo de segurança ou grupo do Microsoft 365, para que os utilizadores tenham acesso aos sites do Teams e do SharePoint.

Auditoria

Os eventos de auditoria estão disponíveis no portal do Microsoft Purview para o ajudar a monitorizar as atividades de restrição de acesso ao site. Os eventos de auditoria são registados para as seguintes atividades:

  • Aplicar restrição de acesso ao site para o site
  • Remover a restrição de acesso ao site do site
  • Alterar grupos de restrição de acesso ao site para o site

Reporting

Informações restritas da política de acesso ao site

Enquanto administrador de TI, pode ver os seguintes relatórios para obter mais informações sobre sites do SharePoint protegidos com política de acesso restrito a sites:

  • Sites protegidos por política de acesso restrito a sites (RACProtectedSites)
  • Detalhes das negações de acesso devido à política de acesso restrito ao site (ActionsBlockedByPolicy)

Os relatórios de políticas de acesso a sites restritos estão disponíveis em ambientes de cloud não governamentais, bem como em ambientes de cloud governamentais GCC, GCC-High e DoD. Os relatórios estão atualmente indisponíveis para a Gallatin, mesmo que tenha as licenças necessárias.

Observação

Pode demorar algumas horas a gerar cada relatório.

Sites protegidos por relatório de política de acesso a sites restritos

Pode executar os seguintes comandos no SharePoint PowerShell para gerar, ver e transferir os relatórios:

Ação Comando do PowerShell Descrição
Gerar relatório Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Gera uma lista de sites protegidos por política de acesso restrito a sites
Ver relatório Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> O relatório mostra os 100 principais sites com as vistas de página mais altas que estão protegidas pela política.
Transferir relatório Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Este comando tem de ser executado como administrador. O relatório transferido está localizado no caminho onde o comando foi executado.
Percentagem de site protegido com relatório de acesso restrito ao site Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary Este relatório mostra a percentagem de sites protegidos pela política do número total de sites

Denials de acesso devido a um relatório de política de acesso ao site restrito

Pode executar os seguintes comandos para criar, obter e ver relatórios de negações de acesso devido a relatórios de acesso restrito ao site:

Ação Comando do PowerShell Descrição
Criar relatório denials de acesso Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Cria um novo relatório para obter detalhes de negação de acesso
Obter status de relatório denials de acesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Obtém a status do relatório gerado.
Negações de acesso mais recentes nos últimos 28 dias Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Obtém uma lista das 100 negações de acesso mais recentes que ocorreram nos últimos 28 dias
Ver lista dos principais utilizadores a quem foi negado o acesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Obtém uma lista dos 100 principais utilizadores que receberam mais negações de acesso
Ver lista de sites principais que receberam mais negações de acesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Obtém uma lista dos 100 principais sites com mais negações de acesso
Distribuição de denials de acesso entre diferentes tipos de sites Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Mostra a distribuição de denials de acesso em diferentes tipos de sites

Observação

Para ver até 10 000 negações, tem de transferir os relatórios. Execute o comando de transferência como administrador e os relatórios transferidos estão localizados no caminho a partir do qual o comando foi executado.

Partilha de site e conteúdo com utilizadores fora dos Grupos de Controle de Acesso Restritos (capacidade de optar ativamente por participar)

A partilha de sites do SharePoint e respetivos conteúdos não honra a política de acesso restrito ao site por predefinição. O administrador do SharePoint pode optar por restringir a partilha do site e o respetivo conteúdo com utilizadores que não sejam membros do grupo Controle de Acesso Restrito.

Para restringir a capacidade de partilha com utilizadores fora do grupo Controle de Acesso Restrito, ative-o, execute o seguinte comando do PowerShell no Shell de Gerenciamento do SharePoint Online como Administrador:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false

Partilhar com utilizadores

Assim que a restrição de partilha for aplicada, a partilha é bloqueada para utilizadores que não sejam membros do grupo Controle de Acesso Restrito.

captura de ecrã da partilha com a mensagem dos utilizadores.

Partilhar com grupos

A partilha é permitida com a Segurança Microsoft Entra ou os grupos do Microsoft 365 que fazem parte da lista de grupos de Controle de Acesso Restritos. Assim, não é permitida a partilha com todos os outros grupos, incluindo Todos, exceto utilizadores externos ou grupos do SharePoint.

captura de ecrã da partilha com a mensagem de grupos.

Observação

A partilha de um site e o respetivo conteúdo não é permitida para os grupos de segurança aninhados que fazem parte dos grupos de Controle de Acesso Restritos. Este suporte será adicionado na próxima iteração de versão.

Configurar a ligação Saiba mais para a página de erro denial de acesso (capacidade de optar ativamente por participar)

Configure a ligação Saiba mais para informar os utilizadores a quem foi negado o acesso a um site do SharePoint devido à política de controlo de acesso ao site restrita. Com esta ligação de erro personalizável, pode fornecer mais informações e orientações aos seus utilizadores.

Observação

A ligação Saiba mais é uma definição ao nível do inquilino que se aplica a todos os sites com a política de Controle de Acesso Restrita ativada.

Para configurar a ligação, execute o seguinte comando no SharePoint PowerShell:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”

Para obter o valor da ligação, execute o seguinte comando:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink

A ligação saiba mais configurada é iniciada quando o utilizador seleciona a ligação Saiba mais sobre as políticas da sua organização aqui .

Captura de ecrã que mostra a ligação saiba mais para Controle de Acesso Restritos.

Política de acesso condicional para sites do SharePoint e OneDrive

Relatórios de Governação de Acesso a Dados

  • Last updated on