可以使用网站访问限制策略,将单个用户的 OneDrive 内容的访问限制为安全组或 Microsoft 365 组中的用户。 非指定组中的用户无法访问内容,即使他们以前具有权限或共享链接也是如此。
使用Microsoft Entra安全组或Microsoft 365 个组应用策略,这些组包含应该能够访问该 OneDrive 中的文件的人员。
应用策略时,不会直接向指定组中的人员授予对任何文件的权限。 OneDrive 所有者必须像平常一样共享内容。 网站访问限制策略会阻止安全组或 Microsoft 365 组中的任何人访问 OneDrive 内容,即使内容是与他们共享的。
当用户尝试访问文件时,将应用访问限制策略。 如果用户对文件具有直接权限,则仍然可以在搜索结果中查看文件,但如果他们不是指定组的一部分,他们将无法访问该文件。
还可以将 OneDrive 服务本身的访问权限限制为安全组中的人员。 有关详细信息,请参阅 按安全组限制 OneDrive 访问。
限制特定 OneDrive 访问需要什么?
许可证要求是什么?
组织需要拥有适当的许可证并满足某些管理权限或角色才能使用本文中所述的功能。
首先,组织必须具有以下基本许可证之一:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,至少需要以下许可证之一:
- 智能 Microsoft 365 Copilot 副驾驶®许可证:至少必须为组织中的一个用户分配 Copilot 许可证, (此用户不需要是 sharePoint 管理员) 。
- Microsoft SharePoint 高级管理许可证: 作为独立购买提供。
管理员要求
您必须是 SharePoint 管理员 或具有等效权限。
其他信息
如果你的组织具有 Copilot 许可证,并且至少为组织中的一个人分配了 Copilot 许可证,则 SharePoint 管理员会自动获得对 Copilot 部署所需的 SharePoint 高级管理功能的访问权限。
对于没有 Copilot 许可证的组织,可以通过购买独立的 SharePoint 高级管理许可证来使用 SharePoint 高级管理功能。
为组织启用站点访问限制
必须先为组织启用站点访问限制,然后才能为用户的 OneDrive 配置站点访问限制。
若要在 SharePoint 管理中心中为组织启用网站访问限制,请执行以下作:
展开 “策略 ”,然后选择“ 访问控制”。
选择“ 站点访问限制”。
选择 “允许访问限制 ”,然后选择“ 保存”。
若要使用 PowerShell 为组织启用站点访问限制,请运行以下命令:
Set-SPOTenant -EnableRestrictedAccessControl $true
命令可能需要长达一小时才能生效。
注意
对于 Microsoft 365 多地理位置用户,请为每个所需的地理位置单独运行此命令。
限制对用户的 OneDrive 内容的访问
每个 OneDrive 最多可以分配 10 个Microsoft Entra安全性或Microsoft 365 个组。 添加组后,只有组中的用户有权访问已与他们共享的 OneDrive 中的内容。 如果要将组成员身份基于用户属性,则可以使用 动态安全组 。
重要
OneDrive 的所有者必须包含在你指定的安全或Microsoft 365 组中,否则他们将失去对其 OneDrive 及其内容的访问权限。
若要管理 OneDrive 的访问限制,请使用以下命令:
| 操作 | PowerShell 命令 |
|---|---|
| 为给定的 OneDrive 启用访问限制。 (在添加安全性或Microsoft 365 个组之前运行此命令。) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 添加 security/Microsoft 365 组 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 编辑安全性/Microsoft 365 组 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 查看安全性/Microsoft 365 组 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 删除安全/Microsoft 365 组 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重置站点访问限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
使用受限网站访问策略共享网站
根据受限访问控制策略,不允许用户和组共享 OneDrive 网站。
默认情况下,共享控件功能处于禁用状态。 若要启用它,请以管理员身份在 SharePoint Online 命令行管理程序 中运行以下 PowerShell 命令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
与用户共享
仅允许属于受限访问控制组的用户共享。 将阻止与受限访问控制组以外的任何人共享,如下所示:
与组共享
允许共享Microsoft Entra安全或Microsoft 365 个组,这些组是受限访问控制组列表的一部分。 因此,不允许与除外部用户或 SharePoint 组以外的所有其他组(包括所有人)共享。
注意
目前,作为受限访问控制组一部分的嵌套安全组不允许共享网站及其内容。 将在下一个版本迭代中添加此支持。
配置访问拒绝错误页的“了解详细信息”链接
配置“了解详细信息”链接,以通知因受限制的站点访问控制策略而被拒绝访问 OneDrive 站点的用户。 通过此可自定义的错误链接,可以为用户提供更多信息和指导。
注意
“了解详细信息”链接是一个租户级设置,适用于启用了受限访问控制策略的所有 OneDrive 站点。
若要配置链接,请在 SharePoint PowerShell 中运行以下命令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
若要提取链接的值,请运行以下命令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
当用户选择“ 在此处详细了解组织策略 ”链接时,将启动配置的“了解详细信息”链接。
受限站点访问策略见解
作为 IT 管理员,可以查看以下报告,深入了解受限制站点访问策略保护的 OneDrive 站点:
- 受受限站点访问策略 (RACProtectedSites) 保护的网站
- 由于站点访问受限而拒绝访问的详细信息 (ActionsBlockedByPolicy)
注意
生成每个报表可能需要几个小时。
受限制站点访问策略保护的网站报告
可以在 SharePoint PowerShell 中运行以下命令,以生成、查看和下载报表:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 生成报告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
生成受限制站点访问策略保护的站点列表 |
| 查看报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
报表显示受策略保护的页面浏览量最高的前 100 个网站。 |
| 下载报表 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此命令必须以管理员身份运行。 下载的报表位于运行命令的路径上。 |
| 受限制网站访问保护的网站百分比报告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
此报表显示受策略保护的网站占网站总数的百分比 |
由于受限制的站点访问策略而拒绝访问
可以运行以下命令来创建、提取和查看因受限制的站点访问报告而拒绝访问的报告:
| 操作 | PowerShell 命令 | 说明 |
|---|---|---|
| 创建访问拒绝报告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
创建用于提取访问拒绝详细信息的新报表 |
| 提取访问拒绝报告状态 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
提取生成的报表的状态。 |
| 过去 28 天内的最新访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
获取过去 28 天内发生的最近 100 次访问拒绝的列表 |
| 查看被拒绝访问的热门用户列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
获取收到最多访问拒绝的前 100 个用户的列表 |
| 查看收到最多访问拒绝的顶级站点列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
获取访问拒绝最多的前 100 个站点的列表 |
| 跨不同类型的站点分布访问拒绝 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
显示不同类型站点之间访问拒绝的分布情况 |
注意
若要查看最多 10,000 个拒绝,必须下载报告。 以管理员身份运行下载命令,下载的报表位于运行命令的路径上。
审核
Microsoft Purview 门户中提供了审核事件,可帮助监视站点访问限制活动。 为以下活动记录审核事件:
- 为网站应用站点访问限制
- 删除站点的站点访问限制
- 更改站点的站点访问限制组